CONCLUSIONS DE L'AVOCAT GÉNÉRAL
M. ANTONIO TIZZANO
présentées le 19 septembre 2002(1)

Affaire C-101/01

Bodil Lindqvist
contre
Åklagarkammaren i Jönköping

[demande de décision préjudicielle formée par le Göta hovrätt (Suède)]

«Directive 95/46/CE – Champ d'application»

1. Par ordonnance du 23 février 2001, le Göta hovrätt (Suède) a posé à la Cour sept questions préjudicielles sur l’interprétation de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (2) (ci-après la «directive 95/46» ou tout simplement la «directive»). Ces questions concernent en particulier le champ d’application de la directive, le transfert de données à caractère personnel vers des pays tiers, la compatibilité de la directive avec les principes généraux en matière de liberté d’expression et la possibilité de prévoir sur le plan national un régime plus restrictif que le régime communautaire.

Cadre normatif

La convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales

2. Afin de tracer le cadre juridique pertinent aux fins de la présente procédure, il convient avant tout de rappeler les dispositions des articles 8 et 10 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

3. Le premier de ces articles dispose en particulier:

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.

2. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. »

4. Le second dispose quant à lui:

« 1. Toute personne a droit à la liberté d’expression. Ce droit comprend la liberté d’opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorités publiques et sans considération de frontière. Le présent article n’empêche pas les États de soumettre les entreprises de radiodiffusion, de cinéma ou de télévision à un régime d’autorisations.

2. L’exercice de ces libertés comportant des devoirs et des responsabilités peut être soumis à certaines formalités, conditions, restrictions ou sanctions prévues par la loi, qui constituent des mesures nécessaires, dans une société démocratique, à la sécurité nationale, à l’intégrité territoriale ou à la sûreté publique, à la défense de l’ordre et à la prévention du crime, à la protection de la santé ou de la morale, à la protection de la réputation ou des droits d’autrui, pour empêcher la divulgation d’informations confidentielles ou pour garantir l’autorité et l’impartialité du pouvoir judiciaire. »

La directive 95/46

5. L’instrument qui entre en ligne de compte sur le plan communautaire est la directive 95/46, adoptée sur la base de l’article 100 A du traité CE (devenu, après modification, article 95 CE) pour favoriser la libre circulation des données à caractère personnel grâce à l’harmonisation des dispositions législatives, réglementaires et administratives des États membres sur la protection des personnes physiques à l’égard du traitement de ces données.

6. La directive repose sur l’idée que «les différences entre États membres quant au niveau de protection des droits et libertés des personnes, notamment du droit à la vie privée, à l’égard des traitements de données à caractère personnel peuvent empêcher la transmission de ces données du territoire d’un État membre à celui d’un autre État membre» et «que ces différences peuvent dès lors constituer un obstacle à l’exercice d’une série d’activités économiques à l’échelle communautaire, fausser la concurrence et empêcher les administrations de s’acquitter des responsabilités qui leur incombent en vertu du droit communautaire» (septième considérant). Le législateur communautaire a estimé par conséquent «que, pour éliminer les obstacles à la circulation des données à caractère personnel, le niveau de protection des droits et libertés des personnes à l’égard du traitement de ces données [devait] être équivalent dans tous les États membres». Pour ce faire, il a jugé qu’une mesure d’harmonisation sur le plan communautaire était nécessaire étant donné que l’objectif de la libre circulation des données à caractère personnel, «fondamental pour le marché intérieur, ne [pouvait] pas être atteint par la seule action des États membres, compte tenu en particulier de l’ampleur des divergences qui [existaient] [...] entre les législations nationales applicables en la matière et de la nécessité de coordonner les législations des États membres pour que le flux transfrontalier de données à caractère personnel soit réglementé d’une manière cohérente et conforme à l’objectif du marché intérieur au sens de l’article 7 A du traité» (huitième considérant). En revanche, après l’adoption d’une mesure d’harmonisation, «du fait de la protection équivalente résultant du rapprochement des législations nationales, les États membres ne [pourraient] plus faire obstacle à la libre circulation entre eux de données à caractère personnel pour des raisons relatives à la protection des droits et libertés des personnes, notamment du droit à la vie privée» (neuvième considérant).

7. Cela étant, le législateur communautaire a considéré que, pour déterminer un niveau de protection «équivalent dans tous les États membres», il fallait tenir compte de la nécessité de sauvegarder «les droits fondamentaux des personnes» (troisième considérant). Ainsi, il a considéré en particulier «que l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et dans les principes généraux du droit communautaire». Dès lors, il a estimé que «le rapprochement de ces législations ne [devait] pas conduire à affaiblir la protection qu’elles assurent mais [devait], au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté» (dixième considérant).

8. C’est à la lumière de ces prémisses et de ces motifs qu’il convient par conséquent de lire l’article 1 ^er de la directive, qui en définit l’objet comme suit:

« 1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel.

2. Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1. »

9. En ce qui concerne les principales définitions figurant à l’article 2 de la directive, il y a lieu en l’espèce de rappeler que:

a) par «données à caractère personnel» on entend «toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale»;

b) par «traitement de données à caractère personnel» on entend «toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction»;

c) par «fichier de données à caractère personnel» on entend «tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique»;

d) par «responsable du traitement» on entend «la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel».

10. L’article 3 définit le champ d’application de la directive en précisant, au paragraphe 1, qu’elle «s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier». Aux termes du paragraphe 2, le traitement de données à caractère personnel:

–: «mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal»,

–: ou «effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques» (3)

est toutefois exclu du champ d’application de la directive.

11. Il y a lieu en outre de rappeler en l’espèce certaines dispositions du chapitre II de la directive ( «Conditions générales de licéité des traitements de données à caractère personnel»), en commençant par l’article 7 qui porte sur les cas dans lesquels le traitement de données à caractère personnel peut être effectué. À cet égard, il y a lieu de signaler en particulier que, outre d’autres hypothèses non pertinentes en l’espèce, il est indiqué sous a) qu’un tel traitement peut être effectué si «la personne concernée a indubitablement donné son consentement».

12. L’article 8 instaure quant à lui un régime spécial pour certaines catégories de données sensibles. Le paragraphe 1 prévoit en particulier qu’en principe les «États membres interdisent le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle». Parmi d’autres exceptions non pertinentes en l’espèce, le paragraphe 2 précise cependant que cette disposition ne s’applique pas lorsque «la personne concernée a donné son consentement explicite à un tel traitement, sauf dans le cas où la législation de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée».

13. Pour concilier les exigences de la protection à l’égard du traitement de données à caractère personnel et le principe de la liberté d’expression, l’article 9 dispose ensuite que les «États membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s’avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d’expression».

14. Toujours en ce qui concerne les «conditions générales de licéité des traitements de données à caractère personnel», il convient en outre de rappeler en l’espèce que, en vertu de l’article 18 et sauf exception, les traitements de données à caractère personnel doivent faire l’objet d’une notification préalable par leurs responsables auprès d’autorités de contrôle spécialement créées par les États membres.

15. Nous citerons enfin l’article 25 de la directive, aux termes duquel «le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir lieu que si [...] le pays tiers en question assure un niveau de protection adéquat» (paragraphe 1). Le caractère adéquat du niveau de protection «s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées» (paragraphe 2).

La législation suédoise

16. Le royaume de Suède a transposé la directive 95/46 par la Personuppgiftslag (4) (loi sur les données à caractère personnel). Aux fins de la présente espèce, il y a lieu de souligner en particulier que, aux termes de l’article 49, paragraphe 1, sous b) à d), de cette loi, sont réprimés pénalement en Suède: la non-communication d’un traitement automatisé de données à l’autorité de contrôle compétente (la Datainspektion), le traitement de données sensibles, telles les données concernant la santé, et le transfert non autorisé vers des pays tiers de données à caractère personnel faisant l’objet d’un traitement. Il est à relever en outre qu’il ressort des travaux préparatoires de la Personuppgiftslag que cette loi n’est pas destinée à avoir un champ d’application différent de celui de la directive.

Faits et procédure

17. À l’automne 1998, en dehors de son emploi habituel, M ^me Lindqvist travaillait à titre bénévole comme catéchiste dans la paroisse d’Alseda en Suède. Dans le cadre de cette activité, pour permettre aux paroissiens d’obtenir facilement les informations dont ils pouvaient avoir besoin, M ^me Lindqvist a créé une page d’accueil sur Internet, en y insérant certaines données sur elle-même, sur son mari et sur seize collègues de la paroisse identifiés, selon le cas, soit par leur seul prénom, soit également par leur nom. Plus précisément, les fonctions occupées par ses collègues et leurs loisirs étaient décrits en termes légèrement humoristiques sur la page d’accueil; dans certains cas, leur situation de famille, leur numéro de téléphone et d’autres informations personnelles étaient également indiqués. Parmi les diverses informations fournies, il était mentionné en particulier, pour ce qui nous intéresse, qu’une collègue se trouvait en congé de maladie partiel à cause d’une blessure au pied. Il était également possible d’accéder à cette page d’accueil à partir du site Internet de l’Église de Suède sur lequel un lien avait été inséré à la demande de M ^me Lindqvist.

18. M ^me Lindqvist n’avait pas informé ses collègues de l’existence de la page d’accueil, lesquels n’avaient par conséquent pas consenti au traitement de leurs données. La Datainspektion n’avait pas non plus été informée de la création de la page d’accueil et aucun traitement de données à caractère personnel ne lui avait été notifié. L’existence de la page d’accueil a toutefois été brève, M ^me Lindqvist l’ayant supprimée dès qu’elle a eu connaissance du fait que certains de ses collègues n’appréciaient pas son initiative.

19. Du fait de la création de la page d’accueil et malgré sa suppression en temps opportun, M ^me Lindqvist a fait l’objet de poursuites pénales en Suède en application de l’article 49, paragraphe 1, sous b) à d), de la Personuppgiftslag. Dans le cadre de ces poursuites, il lui a été reproché en particulier d’avoir traité des données à caractère personnel, dans le cadre d’un traitement automatisé, sans faire de déclaration écrite préalable auprès de la Datainspektion, d’avoir traité des données sensibles, telles celles relatives à la blessure de sa collègue et au congé de maladie partiel qui s’en est suivi et d’avoir transféré sans autorisation vers des pays tiers des données à caractère personnel faisant l’objet d’un traitement.

20. M ^me Lindqvist a reconnu les circonstances de fait exposées par le ministère public, mais a nié s’être rendue responsable d’une infraction. Ses arguments ont toutefois été rejetés par le juge saisi, qui l’a condamnée au paiement d’une amende par un jugement dont M ^me Lindqvist a ensuite fait appel devant le Göta hovrätt.

21. Eu égard au fait que la compatibilité de la législation suédoise avec les dispositions de la directive avait été contestée au cours de la procédure et que de délicates questions d’interprétation de ces dispositions avait été soulevées, le Göta hovrätt a par conséquent sursis à statuer pour déférer à la Cour de justice les questions préjudicielles suivantes:

« 1): La mention d’une personne ─ par son nom ou par son nom et son numéro de téléphone ─ sur une page d’accueil sur Internet est-elle une opération qui relève du champ d’application de la directive? Le fait de faire figurer, sur une page d’accueil sur Internet que l’on a soi-même construite, un certain nombre de personnes, ainsi que des affirmations et des déclarations sur les conditions de travail et les passe-temps de ces personnes, constitue-t-il un ’traitement de données à caractère personnel, automatisé en tout ou en partie‘?

2): Au cas où la question précédente appellerait une réponse négative, le fait de créer, sur une page d’accueil sur Internet, des pages spécifiques pour une bonne quinzaine de personnes, avec des liens entre les pages qui permettent une recherche par prénom, peut-il être considéré comme constituant un ’traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier au sens de l’article 3, paragraphe 1?

Si l’une des questions précédentes appelle une réponse affirmative, le hovrätt pose en outre les questions suivantes.

3): Le fait d’insérer des données de ce type sur des collègues de travail sur une page d’accueil privée, qui est cependant accessible à tous ceux qui connaissent l’adresse de la page, peut-il être considéré comme échappant au champ d’application de la directive en vertu de l’une des exceptions figurant à l’article 3, paragraphe 2?

4): L’indication, sur une page d’accueil, qu’un collègue de travail mentionné par son nom s’est blessé au pied et est en congé de maladie partiel est-elle une donnée à caractère personnel relative à la santé qui, aux termes de l’article 8, paragraphe 1, ne peut faire l’objet d’un traitement?

5): Le transfert de données à caractère personnel vers des pays tiers est interdit dans certains cas en vertu de la directive. Si une personne insère, en Suède, à l’aide d’un ordinateur, des données à caractère personnel sur une page d’accueil qui est stockée sur un serveur en Suède ─ de sorte que les données à caractère personnel deviennent accessibles à des ressortissants de pays tiers ─, cela constitue-t-il un transfert de données vers des pays tiers au sens de la directive? La réponse reste-t-elle la même si, selon les informations dont nous disposons, aucun ressortissant d’un pays tiers n’a en fait pris connaissance des données ou si le serveur en question se trouve, d’un point de vue purement physique, dans un pays tiers?

6): Les dispositions de la directive peuvent-elles, dans un cas comme celui de l’espèce, être considérées comme impliquant une restriction contraire aux principes généraux de liberté d’expression ou à d’autres droits et libertés applicables dans l’Union européenne et qui correspondent notamment à l’article 10 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales?

Enfin, le hovrätt pose la question suivante.

7): Un État membre peut-il, dans les domaines visés dans les questions qui précèdent, disposer d’une protection plus forte des données à caractère personnel ou d’un champ d’application plus large que celui qui résulte de la directive, même lorsque l’on ne se trouve pas en présence de l’un des intérêts mentionnés à l’article 13? »

22. Au cours de la procédure qui a ensuite été engagée devant la Cour, outre M ^me Lindqvist et le royaume de Suède, le royaume des Pays-Bas, le Royaume-Uni et la Commission ont présenté des observations.

Analyse juridique

Introduction

23. Comme nous l’avons vu, la juridiction de renvoi soumet à la Cour de nombreuses questions relatives au champ d’application de la directive, à l’interprétation des articles 8 et 25, à la validité de ses dispositions par rapport aux principes généraux du droit communautaire et à la possibilité pour les États membres d’assurer un niveau de protection plus élevé que celui qui est garanti par la directive.

24. En ce qui concerne plus particulièrement le champ d’application de la directive, le juge de renvoi ne semble pas douter du fait que l’on se trouve en l’occurrence en présence d’un « traitement de données à caractère personnel », ce qui n’a d’ailleurs été mis en doute par aucune des parties qui sont intervenues. De fait, il est manifeste:

–: d’une part, que les informations relatives aux collègues de M ^me Lindqvist (prénom, nom, numéro de téléphone, fonctions exercées, loisirs, etc.) constituent des « données à caractère personnel », «toute information concernant une personne physique identifiée ou identifiable» relevant de cette catégorie [article 2, sous a)],

–: d’autre part, que le fait d’insérer des informations sur une page d’accueil du type de celle en cause donne lieu à un « traitement »des données à caractère personnel, étant donné qu’à cet égard aussi la directive retient une acception particulièrement large qui recouvre «toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction» [article 2, sous b)].

25. Cependant, tout « traitement de données à caractère personnel » ne rentre pas dans le champ d’application de la directive. L’article 3, paragraphe 1, dispose en effet que la directive ne s’applique qu’au traitement de données à caractère personnel « automatisé en tout ou en partie » ou au traitement « non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». En termes plus généraux, en vertu du paragraphe 2 de cet article, la directive ne s’applique pas au traitement de données à caractère personnel « mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire » (5) (premier tiret) et au traitement « effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques » (second tiret).

26. En ce qui concerne la délimitation du champ d’application de la directive par ces dispositions, la juridiction de renvoi souhaite par conséquent savoir, dans le cadre des trois premières questions:

i) si l’insertion des informations en question sur la page d’accueil constitue un traitement de données à caractère personnel « automatisé en tout ou en partie » (première question) ou un traitement « non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier » (deuxième question);

ii) si un traitement de données à caractère personnel du type de celui qui est considéré est en tout état de cause exclu du champ d’application de la directive parce qu’il est « mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire » ou parce qu’il est « effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques » (troisième question).

27. Nonobstant l’ordre suivi par la juridiction de renvoi, il convient à notre avis de résoudre à titre préliminaire les problèmes soulevés dans le cadre de la troisième question. En effet, étant donné le caractère plus général de l’article 3, paragraphe 2, il nous paraît manifeste que les traitements de données à caractère personnel automatisés en tout ou en partie et les traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier sont également exclus du champ d’application de la directive lorsqu’ils sont mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire ou lorsqu’ils sont effectués par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques. Dès lors, une réponse affirmative à la troisième question rendrait superflu l’examen des deux premières questions. Nous commencerons par conséquent par l’examen de cette question.

Sur la troisième question

Arguments des parties

28. Des observations ont été présentées sur cette question par toutes les parties intervenantes, à l’exception du Royaume-Uni qui s’est borné à examiner les cinquième et sixième questions.

29. M ^me Lindqvist considère que seuls les traitements de données à caractère personnel effectués dans le cadre d’une activité économique relèvent du champ d’application de la directive, laquelle ne viserait par conséquent pas un traitement (tel que celui qui nous intéresse) effectué sans aucune rémunération et en dehors de toute activité à caractère économique. Dans le cas contraire, selon M ^me Lindqvist, il se poserait un problème de validité de la directive, l’article 95 CE (sur la base duquel la directive a été adoptée) ne permettant pas de réglementer au niveau communautaire des activités qui n’ont aucun rapport avec l’objectif de la réalisation du marché intérieur. Soumettre de telles activités à une directive d’harmonisation adoptée sur la base de cet article impliquerait en fait une violation du principe consacré à l’article 5 CE, en vertu duquel la «Communauté agit dans les limites des compétences qui lui sont conférées et des objectifs qui lui sont assignés par le présent traité».

30. Bien qu’il entretienne certains doutes à cet égard, le gouvernement suédois semble lui aussi considérer que la publication de données à caractère personnel sur une page d’accueil créée par une personne physique dans l’exercice de sa liberté d’expression et sans aucun lien avec une quelconque activité professionnelle ou commerciale ne relève pas du champ d’application du droit communautaire. En revanche, en ce qui concerne la portée du second tiret de l’article 3, paragraphe 2, le gouvernement suédois considère que la diffusion de données à caractère personnel au moyen d’Internet ne peut être qualifiée d’ «activité exclusivement personnelle ou domestique» dans la mesure où elle consiste à transmettre celles-ci à un nombre indéterminé de personnes.

31. Le gouvernement néerlandais, pour sa part, ne considère pas que le traitement en question échappe au champ d’application de la directive par application des limites posées par les premier et second tirets de l’article 3, paragraphe 2. En particulier, il exclut lui aussi que l’activité en question soit de nature purement personnelle ou domestique, étant donné qu’elle implique la diffusion de données à caractère personnel à un nombre indéterminé et illimité de personnes.

32. Enfin, selon la Commission, il y a lieu d’interpréter largement le champ d’application de la directive, de sorte qu’elle viserait un traitement du type de celui en cause. En ce qui concerne le premier tiret de l’article 3, paragraphe 2, la Commission souligne en particulier que le droit communautaire ne régit pas uniquement les activités économiques et observe notamment que l’article 6 UE impose le respect des droits fondamentaux en tant que principes généraux de l’ordre juridique communautaire. Elle observe ensuite que, comme cela résulte de son préambule, la directive vise également à contribuer au progrès social et au bien-être des individus et qu’il n’est du reste pas possible d’exclure qu’elle entende également réglementer la libre circulation des données à caractère personnel comme exercice d’une activité sociale dans le cadre de l’intégration et du fonctionnement du marché intérieur. En outre, selon la Commission, l’activité en question tombe également dans le champ d’application du droit communautaire parce que M ^me Lindqvist est, au sens de l’article 49 CE, «destinataire de services» (6) connexes à l’utilisation d’Internet (en particulier de services de télécommunications). La Commission observe enfin que l’on n’est pas en l’occurrence en présence d’une «activité exclusivement personnelle ou domestique»: en premier lieu, parce qu’une page d’accueil est accessible à quiconque utilise un moteur de recherche et non seulement à qui en connaît déjà l’adresse; en second lieu, parce que de telles activités sont par définition uniquement celles qui concernent la vie privée de celui qui traite les données.

Appréciation

33. Comme cela a été souligné à plusieurs reprises, il faut déterminer en l’espèce si un traitement de données à caractère personnel du type de celui en cause échappe au champ d’application de la directive en vertu de l’article 3, paragraphe 2, parce qu’il est «mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire» ou parce qu’il est «effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques».

34. En commençant par le second aspect, nous partageons l’avis de la Commission et des gouvernements suédois et néerlandais selon lequel un traitement tel que celui qui est examiné en l’espèce ne peut pas être considéré comme effectué pour l’exercice d’ «activités exclusivement personnelles ou domestiques». Nous considérons en effet que cette catégorie recouvre uniquement des activités telles que «la correspondance et la tenue de répertoires d’adresses» (mentionnées à titre d’exemple au douzième considérant), c’est-à-dire des activités manifestement privées et confidentielles, destinées à ne pas sortir de la sphère personnelle ou domestique des intéressés. Nous ne pensons par conséquent pas que l’on puisse considérer comme telle une activité qui présente une forte connotation sociale, telle l’activité de catéchiste exercée par M ^me Lindqvist au sein de la communauté paroissiale. Et ce d’autant plus que le traitement effectué échappe clairement à la sphère personnelle et domestique de M ^me Lindqvist, étant donné qu’il comporte la publication de données à caractère personnel sur une page d’accueil accessible à tous, de toutes les parties du monde, notamment grâce à un lien inséré sur un site connu du public (et, en tout état de cause, qui peut être retrouvé facilement avec un moteur de recherche), tel celui de l’Église de Suède.

35. En revanche, nous sommes d’accord avec M ^me Lindqvist sur le fait que le traitement en cause est mis en oeuvre «pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire».

36. À cet égard, nous observons en effet que la page d’accueil en question a été créée par M ^me Lindqvist sans aucun but lucratif et uniquement à titre de support de l’activité de catéchiste exercée bénévolement et en dehors de toute relation de travail au sein de la communauté paroissiale. Le traitement de données à caractère personnel sur lequel porte la discussion a donc été effectué pour une activité à caractère non économique, qui ne présente aucun lien (ou, tout au moins, aucun lien direct) avec l’exercice des libertés fondamentales garanties par le traité et ne fait l’objet d’aucune réglementation spécifique sur le plan communautaire. Il s’en déduit par conséquent, à notre avis, que ce traitement a été mis en oeuvre pour l’exercice d’une activité qui ne relève pas du champ d’application du droit communautaire, au sens de l’article 3, paragraphe 2, de la directive.

37. La thèse de la Commission, selon laquelle l’activité en question relèverait du champ d’application du droit communautaire parce qu’en l’exerçant M ^me Lindqvist était destinataire de nombreux services connexes à l’utilisation d’Internet (en particulier de services de télécommunications) et se prévalait par conséquent des droits conférés par l’article 49 CE, nous semble du reste forcée. En effet, mis à part le fait qu’aucun élément transfrontalier pouvant justifier l’application de l’article 49 CE au cas d’espèce ne ressort de l’ordonnance de renvoi ou du dossier (7) , il ne nous paraît que trop évident que l’article 3, paragraphe 2, de la directive serait vidé de tout sens si le champ d’application du droit communautaire englobait toutes les activités, même non économiques, pour l’exercice desquelles des services de télécommunications ou d’autres services sont utilisés. Si l’on suivait cette logique, il faudrait également soumettre à la directive, à chaque fois qu’il est fait usage de ces services pour leur exercice, les activités «prévues aux titres V et VI du traité sur l’Union européenne» qui sont pourtant expressément mentionnées à l’article 3, paragraphe 2, à titre d’exemple d’ «activités qui ne relèvent pas du champ d’application du droit communautaire».

38. D’ailleurs, la tentative de la Commission d’inclure l’activité de M ^me Lindqvist dans le champ d’application de la directive au motif que celle-ci ne poursuit pas uniquement des buts économiques, mais vise également des objectifs connexes à des exigences de caractère social et à la sauvegarde des droits fondamentaux nous paraît également forcée.

39. À cet égard, il convient de rappeler que la directive a été adoptée sur la base de l’article 100 A du traité pour favoriser la libre circulation des données à caractère personnel grâce à l’harmonisation des dispositions législatives, réglementaires et administratives des États membres sur la protection des personnes physiques à l’égard du traitement de ces données. Le législateur communautaire a voulu en particulier instaurer un niveau de protection «équivalent dans tous les États membres», afin d’éliminer les obstacles à la circulation des données à caractère personnel dérivant des «différences entre États membres quant au niveau de protection des droits et libertés des personnes, notamment du droit à la vie privée» (septième et huitième considérants) (8) . En effet, une fois la directive d’harmonisation adoptée, «du fait de la protection équivalente résultant du rapprochement des législations nationales, les États membres ne [pourraient] plus faire obstacle à la libre circulation entre eux de données à caractère personnel pour des raisons relatives à la protection des droits et libertés des personnes, notamment du droit à la vie privée» (neuvième considérant).

40. Il est vrai que, pour déterminer le niveau de protection «équivalent dans tous les États membres», le législateur communautaire a tenu compte de la nécessité de promouvoir «le progrès économique et social» et, surtout, de sauvegarder «les droits fondamentaux des personnes» (deuxième et troisième considérants), afin de garantir un «niveau élevé» de protection (dixième considérant). Il a cependant toujours agi dans le cadre et dans le but de réaliser l’objectif principal de la directive, à savoir favoriser la libre circulation des données à caractère personnel, cela étant considéré comme «fondamental pour le marché intérieur» (huitième considérant).

41. La promotion du progrès économique et social et la sauvegarde des droits fondamentaux représentent par conséquent des valeurs et des exigences importantes dont le législateur communautaire a tenu compte en définissant les dispositions harmonisées nécessaires pour l’établissement et le fonctionnement du marché intérieur, mais ne constituent pas des objectifs autonomes de la directive. Il faudrait considérer sinon que la directive vise également à protéger les individus à l’égard du traitement des données à caractère personnel indépendamment de l’objectif consistant à favoriser la libre circulation de ces données, avec la conséquence incongrue de faire relever du champ d’application de celle-ci des traitements effectués pour l’exercice d’activités qui ont une certaine importance sociale, mais qui ne présentent aucun rapport avec l’établissement et le fonctionnement du marché intérieur.

42. D’autre part, comme l’a souligné M ^me Lindqvist, si l’on attribuait à la directive, outre le but de favoriser la libre circulation des données à caractère personnel dans le marché intérieur, des objectifs supplémentaires et autonomes connexes à des exigences de caractère social et à la sauvegarde des droits fondamentaux (en particulier du droit à la vie privée), on risquerait de mettre en cause la validité même de la directive, étant donné que la base juridique de celle-ci serait manifestement inappropriée dans ce cas. En effet, l’article 100 A du traité ne saurait être invoqué à titre de fondement de mesures qui dépassent les finalités spécifiques mentionnées dans cette disposition, à savoir pour des mesures qui ne seraient pas justifiées par l’objectif de favoriser «l’établissement et le fonctionnement du marché intérieur».

43. Rappelons à cet égard que, dans l’arrêt qui a annulé la directive 98/43/CE (9) pour défaut de base juridique, la Cour a récemment eu l’occasion de préciser que «les mesures visées à l’article 100 A, paragraphe 1, du traité sont destinées à améliorer les conditions de l’établissement et du fonctionnement du marché intérieur. Interpréter cet article en ce sens qu’il donnerait au législateur communautaire une compétence générale pour réglementer le marché intérieur serait non seulement contraire au libellé même des dispositions précitées, mais également incompatible avec le principe consacré à l’article 3 B du traité CE (devenu article 5 CE) selon lequel les compétences de la Communauté sont des compétences d’attribution» (10) . En ce qui concerne spécifiquement la protection des droits fondamentaux, nous rappellerons que dans l’avis 2/94, rendu après l’adoption de la directive, la Cour a explicitement affirmé qu’ «aucune disposition du traité ne confère aux institutions communautaires, de manière générale, le pouvoir d’édicter des règles en matière de droits de l’homme» (11) .

44. À la lumière de l’ensemble de ces considérations, nous proposons par conséquent de répondre à la première question que, en vertu de l’article 3, paragraphe 2, premier tiret, de la directive, ne relève pas du champ d’application de la directive un traitement de données à caractère personnel consistant en la création, sans aucun but lucratif, d’une page d’accueil du type de celle en cause, qui est exclusivement destinée à servir de support à une activité de catéchiste exercée, à titre bénévole et en dehors de toute relation de travail, au sein de la communauté paroissiale.

Sur les autres questions

45. Ayant conclu qu’un traitement de données à caractère personnel du type de celui qui est considéré en l’espèce ne relève pas du champ d’application de la directive, nous estimons qu’il n’est pas nécessaire d’examiner les autres questions formulées par la juridiction de renvoi.

Conclusions

46. À la lumière des considérations que nous venons d’exposer, nous proposons par conséquent à la Cour de répondre comme suit au Göta hovrätt:

«En vertu de l’article 3, paragraphe 2, premier tiret, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ne relève pas du champ d’application de la directive un traitement de données à caractère personnel consistant en la création, sans aucun but lucratif, d’une page d’accueil du type de celle en cause, qui est exclusivement destinée à servir de support à une activité de catéchiste exercée, à titre bénévole et en dehors de toute relation de travail, au sein de la communauté paroissiale.»

1 –: Langue originale: l'italien.

2 –: JO L 281, p. 31.

3 –: À titre d’exemple d’activités «exclusivement personnelles ou domestiques», le douzième considérant mentionne en particulier «la correspondance et la tenue de répertoires d’adresses».

4 –: . Svensk författningssamling (SFS) 1998, n° 204.

5 –: À titre d’exemple, les dispositions en question citent les activités «prévues aux titres V et VI du traité sur l’Union européenne». Elles ajoutent ensuite que sont exclus, en tout état de cause, les «traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal».

6 –: À cet égard, la Commission invoque en particulier, par analogie, les arrêts du 31 janvier 1984, Luisi et Carbone (286/82 et 26/83, Rec. p. 377), et du 2 février 1989, Cowan (186/87, Rec. p. 195).

7 –: Voir notamment, en dernier lieu, les arrêts du 9 septembre 1999, RI. SAN. (C-108/98, Rec. p. I-5219, point 23); du 21 octobre 1999, Jägerskiöld (C-97/98, Rec. p. I-7319, point 42), et du 11 avril 2000, Deliège (C-51/96 et C-191/97, Rec. p. I-2549, point 58).

8 –: Il est souligné en particulier au septième considérant que ces différences pouvaient «constituer un obstacle à l’exercice d’une série d’activités économiques à l’échelle communautaire, fausser la concurrence et empêcher les administrations de s’acquitter des responsabilités qui leur incombent en vertu du droit communautaire».

9 –: Directive du Parlement européen et du Conseil, du 6 juillet 1998, concernant le rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de publicité et de parrainage en faveur des produits du tabac (JO L 213, p. 9).

10 –: Ordonnance du 3 avril 2000, Allemagne/Parlement et Conseil (C-376/98, Rec. p. I-2247, point 83).

11 –: Avis du 28 mars 1996 (Rec. p. I-1759, point 27).