CJUE, 4 mai 2017, aff. C-13/16 « Rīgas satiksme »

L’obtention d’informations auprès d’un tiers peut parfois être un préalable indispensable à l’introduction d’une action en justice. Lorsque ces informations sont des données à caractère personnel, leur communication doit toutefois respecter la législation applicable en la matière.

En l’espèce, à la suite d’un accident de la route, la société de transport de la ville de Riga, en Lettonie, avait tenté d’obtenir de la police  nationale l’identité et l’adresse d’un tiers impliqué dans l’accident, contre lequel elle souhaitait engager une action pour obtenir réparation du dommage. L’autorité de police ayant procédé aux constatations sur les lieux du dommage n’avait déféré que partiellement à cette demande.

Devant la justice administrative, la société de transport Rigas satiskme faisait valoir que l’article 7, point 6 de la loi lettone sur la protection des données pouvait servir de base juridique à l’obligation pour la police de communiquer les informations complètes sur le passager. Cet article transpose l’article 7 sous f) de la directive 95/46 sur la protection des données à caractère personnel, qui dispose qu’un traitement de données est possible si « […] f) il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er paragraphe 1 ».

En cassation, la juridiction lettone a soumis à la CJUE une question visant à déterminer si la disposition précitée fait obligation de communiquer à un tiers des données personnelles lorsque ces données sont nécessaires à l’introduction d’un recours en indemnisation contre la personne concernée par les données. Elle lui a également demandé si la circonstance que le passager ait été mineur au moment de l’accident modifiait la réponse.

Par un arrêt du 6 mai 2017, la Cour a répondu assez logiquement que l’article 7 sous f) de la directive 95/46 n’impose aucune obligation pour le responsable de traitement de communiquer les données. En effet, l’article 7 de la directive ne fait qu’établir la liste des différentes bases légales sur lesquelles doivent reposer les traitements de données pour être licites. Lorsque les conditions sont remplies (intérêt légitime, nécessité du traitement et pondération avec les droits et libertés de la personne concernée), le responsable de traitement peut procéder à la communication des données, mais rien n’indique qu’il le doive.

La Cour note cependant que la directive, même si elle ne le prévoit pas expressément, ne s’oppose pas à ce qu’une législation nationale rende la communication obligatoire dans certaines situations, sous réserve que les conditions posées par l’article 7 sous f) soient réunies.

En l’espèce, la Cour estime que les deux premières conditions, au moins, auraient pu être réunies : (i) l’obtention d’une information d’ordre personnel concernant une personne ayant porté atteinte à la propriété et permettant de l’assigner en justice est un intérêt « légitime » ; (ii) la communication de l’adresse et/ou du numéro d’identification en sus des seuls nom et prénom est ici « nécessaire » pour assigner. En ce qui concerne la nécessité de vérifier si les droits et libertés de la personne concernée ne devraient pas prévaloir, la Cour rappelle qu’il s’agit là d’une analyse devant être menée in concreto. Elle indique en tout état de cause que la circonstance que la personne concernée soit un mineur ne devrait pas à elle seule influer sur cette dernière condition et ainsi justifier le refus de communiquer les données.

La position de la CJUE sur l’interprétation de l’article 7 f) de la directive 95/46 apparaît transposable dans le cadre des dispositions très similaires de l’article 6.1f) du Règlement Européen sur la protection des données.