Vers une anomysation des décisions de justice ? L’exemple du Tribunal de la fonction publique de l’Union européenne
par Sean VAN RAEPENBUSCH, Président du Tribunal de la fonction publique de l’Union européenne, Professeur à l’Institut d’Études européennes (Université Libre de Bruxelles)1.
La diffusion de l’information sur Internet et les performances des moteurs de recherche, qui permettent à tout internaute d’accéder en permanence et pour une durée illimitée aux données à caractère personnel d’une personne, et ce, en effectuant une recherche à partir du nom de cette dernière, posent, à l’évidence, problème au regard du droit au respect de la vie privée. Les bases numériques de jurisprudence, qui se sont multipliées ces dernières années dans le souci, certes, louable de rendre accessible un outil documentaire complet et de faciliter ainsi l’information du public sur l’état du droit, sont, elles aussi, susceptibles d’avoir un impact réel, et parfois fort préjudiciable, sur les vies personnelles et professionnelles des personnes concernées, dès lors que, si elles ne sont pas anonymisées, elles peuvent être utilisées à des fins étrangères à la connaissance du droit.
§ 1 – Le cadre juridique
Il n’est pas inutile, à titre liminaire, de rappeler brièvement le cadre juridique de la matière à échelle de l’Union européenne. Les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, qui, depuis l’entrée en vigueur du traité de Lisbonne, a la même valeur juridique que les traités (article 6, paragraphe 1, TUE), proclament les droits au respect de la vie privée et à la protection des données à caractère personnel. Aux termes du paragraphe 2 de l’article 8 de la Charte, en particulier, « [les données à caractère personnel] doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi » et que toute personne « a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification ». Par ailleurs, l’article 16, paragraphe 1, TFUE reproduit le contenu de l’article 8, paragraphe 1, de la Charte concernant la protection des données à caractère personnel, tandis que le paragraphe 2 du même article confère au Parlement européen et au Conseil une base juridique pour fixer des règles y relatives à l’égard des institutions, organes et organismes de l’Union, ainsi que des « États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union ». De telles règles avaient déjà été énoncées, avant l’entrée en vigueur du traité de Lisbonne, dans la directive 95/462, adressée aux États membres, et dans le règlement n° 45/20013, lequel concernant le « traitement des données à caractère personnel par toutes les institutions ou organes communautaires » (art. 3).
Les exigences énoncées à l’article 8, paragraphe 2, de la Charte ont été mises en œuvre, notamment, par les articles 6 et 7 de la directive 95/46 (correspondant aux articles 4 et 5 du règlement n° 45/2001), qui énoncent les « principes » relatifs respectivement à la « qualité » des données auxquels doit se conformer leur traitement4 et à la « légitimation » des traitements de données5.
§ 2 – L’apport de la jurisprudence de la Cour de justice
La portée du droit à la protection des données à caractère personnel, particulièrement en rapport avec les développements des technologies de l’information, a également été cernée par plusieurs arrêts de la Cour de justice, qui n’a pas manqué de s’appuyer sur la jurisprudence de la Cour de Strasbourg. La jurisprudence est, de longue date, fixée en ce sens que l’opération consistant à faire figurer sur une page Internet des données à caractère personnel est à considérer comme un « traitement » au sens de la directive 95/466 (arrêt du 6 novembre 2003, Lindqvist, C-101/01, point 25), même dans l’hypothèse où elle concerne exclusivement des informations déjà publiées telles quelles dans les médias (arrêt du 16 décembre 2008, Markkinapörssi et Satamedia, C-73/07, points 48 et 49). Il ressort également de la jurisprudence que, dès lors que des données à caractère personnel sont collectées et communiquées ou communicables à des tiers, un tel traitement constitue une ingérence dans la vie privée (voir, en ce sens, arrêt du 20 mai 2003, Österreichischer Rundfunk e.a., C-465/00, C-138/01, C-139/01, points 73 à 757). En outre, pour être justifiée, une telle ingérence, si elle n’est pas indubitablement consentie par la personne concernée, doit être prévue par la loi d’une façon suffisamment prévisible, ainsi qu’il ressort de l’article 8 de la Convention européenne des droits de l’homme et des libertés fondamentales (CEDH), tel qu’interprété par la Cour de Strasbourg8, et proportionnée au but légitime poursuivi (même arrêt, points 76 et 77).
C’est surtout dans son arrêt du 13 mai 2014 (Google Spain et Google, C-131/12) que la Cour de justice a été amenée à fournir un enseignement décisif sur la portée des exigences liées au respect de la vie privée et à la protection des données à caractère personnel à l’ère des technologies de l’information, jusqu’à en tirer l’existence d’un « droit à l’oubli » : d’une part, la Cour reconnaît la responsabilité de l’exploitant du moteur de recherche s’agissant du traitement de telles données, alors même qu’il n’exercerait aucun contrôle sur celles-ci, ces données étant publiées sur les pages web de tiers. Selon la Cour, l’activité des moteurs de recherche joue précisément un rôle décisif dans la diffusion globale de ces données en ce qu’elle les rend accessibles à tout internaute effectuant une recherche à partir du nom de la personne concernée ; elle s’ajoute ainsi au traitement effectué par les éditeurs de sites Web ; d’autre part, le traitement de données à caractère personnel auquel se livre l’exploitant d’un moteur de recherche « est susceptible d’affecter significativement les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel lorsque la recherche à l’aide de ce moteur est effectuée à partir du nom d’une personne physique, dès lors que ledit traitement permet à tout internaute d’obtenir par la liste de résultats un aperçu structuré des informations relatives à cette personne trouvable sur Internet, qui touchent potentiellement à une multitude d’aspects de sa vie privée et qui, sans ledit moteur de recherche, n’auraient pas ou seulement que très difficilement pu être interconnectées, et ainsi d’établir un profil plus ou moins détaillé de celle-ci. En outre, l’effet de l’ingérence dans lesdits droits de la personne concernée se trouve démultiplié en raison du rôle important que jouent Internet et les moteurs de recherche dans la société moderne, lesquels confèrent aux informations contenues dans une telle liste de résultats un caractère ubiquitaire » (point 80 ; voir également, en ce sens, arrêt du 2011, eDate Advertising e.a., C-509/09 et C-161/10, point 45). En d’autres termes, le danger des utilisations abusives des données, car détournées de leur finalité, réside dans le profilage des individus, ce qui peut laisser craindre des discriminations ou des préjugés à leur encontre.
Selon la Cour, il importe, au vu de la gravité de cette ingérence, de rechercher un juste équilibre entre l’intérêt légitime des internautes potentiellement intéressés à avoir accès à l’information en cause et les droits fondamentaux au titre des articles 7 et 8 de la Charte. Certes, en règle générale, les droits protégés par ces articles prévalent, non seulement sur le seul intérêt économique de l’exploitant du moteur de recherche, mais également sur celui des internautes. Toutefois, l’équilibre recherché peut « dépendre, dans des cas particuliers, de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à disposer de cette information, lequel peut varier, notamment, en fonction du rôle joué par cette personne dans la vie publique » (point 81).
Le cas d’espèce était, à vrai dire, assez topique : un journal espagnol avait publié, en janvier et mars 1998, une annonce pour la vente aux enchères immobilière liée à une saisie pratiquée en recouvrement de dettes de sécurité sociale, en mentionnant le nom de la personne concernée. Cette dernière s’était plaint, en mars 2010, auprès de l’Agencia Española de Protección de Datos (AEPD) en expliquant que, lorsqu’un internaute introduisait son nom dans Google, il obtenait des liens vers deux pages du quotidien sur lesquelles figurait l’annonce en question, alors même que la saisie, dont il avait fait l’objet, avait été entièrement réglée depuis plusieurs années et que la mention de celle-ci était désormais dépourvue de toute pertinence. La réclamation, qui tendait notamment à ce que fût ordonnée à Google Spain ou à Google Inc. de supprimer ou d’occulter les données personnelles du requérant afin qu’elles cessassent d’apparaître dans les résultats de recherche et ne figurassent plus dans les liens du quotidien, a été accueillie par l’AEPD, dont la décision a, ensuite, été attaquée devant le juge espagnol. La Cour, interrogée par ce dernier, l’invitera à vérifier s’il existe des raisons particulières – lesquelles, en l’espèce, semblaient ne pas exister – justifiant un intérêt prépondérant du public à avoir, dans le cadre d’une recherche sur Google, accès aux informations en cause, telles que « le rôle » joué par la personne concernée « dans la vie publique » (points 98 et 99).
L’arrêt Google Spain et Google, même s’il concerne plus spécifiquement la responsabilité des exploitants de moteurs de recherche dans le traitement de données à caractère personnel, et non pas celle des éditeurs de sites web, dont l’activité consiste précisément à héberger des données sur une page Internet, servira de toile de fond à l’examen des mesures à prendre pour assurer une protection efficace et complète du droit au respect de la vie privée à l’occasion de la diffusion sur Internet des décisions de justice. Nous formulerons ci-après quelques considérations générales à cet égard concernant l’applicabilité des articles 7 et 8 de la Charte, tels que mis en œuvre par les actes de droit dérivé de l’Union, à la Cour de justice de l’Union européenne, avant de rendre compte des mesures prises à ce jour par le Tribunal de la fonction publique de l’Union européenne.
La question est d’autant plus cruciale que, depuis le 1er janvier 20129, la publication au Recueil, qui est la seule publication officielle de la jurisprudence des trois juridictions composant la Cour de justice de l’Union, est assurée exclusivement en format numérique sur le site EUR-Lex, géré par l’Office des publications de l’Union européenne10.
§ 3 – Applicabilité des articles 7 et 8 de la Charte des droits fondamentaux à la Cour de justice
Il est constant que ces articles 7 et 8 de la Charte s’appliquent de façon contraignante à la Cour de justice de l’Union européenne, en tant qu’institution de l’Union, y compris s’agissant de la diffusion de ses décisions juridictionnelles. Le règlement n° 45/2001, qui met en œuvre l’article 8 de la Charte (ou l’article 16, paragraphe 1, TFUE à l’égard des « institutions ou organes communautaires ») s’applique à la diffusion en ligne (sur le site Curia ou sur le Recueil électronique) de données à caractère personnel qui seraient contenues dans les décisions des trois juridictions de l’Union, ces publications sur support électronique présentant, ainsi qu’on l’a vu, le caractère d’un traitement automatisé de données à caractère personnel, et ce, même si les informations diffusées ne présentent pas un caractère sensible ou si l’ingérence ne cause pas d’inconvénient aux intéressés11. Il convient donc, à chaque fois, de vérifier si la publication sur support électronique est justifiée, c’est-à-dire si, en l’absence de consentement indubitable de la personne en cause quant à l’utilisation de données à caractère personnel la concernant, elle est prévue par la loi d’une façon suffisamment prévisible et si elle est proportionnée au but légitime poursuivi12.
À cet égard, il est vrai que l’article 5, sous a), du règlement
n° 45/2001, à l’instar de l’article 7, sous e), de la directive 95/46, précise que le traitement de données à caractère personnel est licite s’il est « nécessaire à l’exécution d’une mission effectuée dans l’intérêt public sur la base des traités instituant les Communautés européennes ou d’autres actes législatifs adoptés sur la base de ces traités ou relevant de l’exercice légitime de l’autorité publique dont est investi l’institution ou l’organe communautaire ou le tiers auquel les données sont communiquées ». La collecte et le traitement de données à caractère personnel dans le cadre d’une procédure devant le juge de l’Union relèvent précisément d’une mission au sens dudit article 5, sous a). Toutefois, ce qui est visé par cette dernière disposition, c’est l’exercice de la fonction juridictionnelle proprement dite. Or, le problème ici en cause se situe en aval, une fois la procédure juridictionnelle clôturée, au stade de la publication de la décision de justice mettant fin au litige.
Il importe de souligner, dans ce contexte, que les droits au respect de la vie privée et à la protection des données à caractère personnel, qui ne sont pas absolus, doivent se concilier avec un autre principe fondamental, également consacré par la Charte, celui de la publicité des jugements. En effet, aux termes de l’article 47 de la Charte, « [t]oute personne a droit à ce que sa cause soit entendue […] publiquement »13. Il s’agit d’une expression du principe de la transparence auquel sont attachés les systèmes judiciaires des États membres et qui conduit à placer la justice sous le contrôle du public, ce qui, selon la Cour eur. DH (Cour eur. DH, arrêt du 8 décembre 1983, Pretto e.a. c. Italie, § 21, et la jurisprudence citée), « protège les justiciables contre une justice secrète » et constitue « l’un des moyens de préserver la confiance dans les cours et tribunaux ». Ainsi, la publicité des jugements ne doit pas seulement permettre l’exercice d’un recours en tierce opposition, mais implique également que toute personne, sans avoir à justifier d’un intérêt particulier, puisse obtenir copie intégrale, y compris la mention du nom des parties, d’une décision de justice ou, en tout cas, la consulter au greffe de la juridiction qui l’a prononcée.
En outre, par « la transparence qu’elle donne à l’administration de la justice », la publicité des jugements, toujours selon les termes de l’arrêt Pretto e.a. c. Italie, « aide à réaliser le but de l’article 6 [paragraphe 1, de la CEDH] : le procès équitable, dont la garantie compte parmi les principes fondamentaux de toute société démocratique » (voir également, en ce sens, Cour eur. DH, arrêts du 15 juillet 2003, Ernst c. Belgique, § 70 ; du 21 septembre 2006, Moser c. Autriche, §§ 99 à 104 ; du 17 janvier 2008, Ryakib Biryoukov c. Russie, § 45, et du 17 décembre 2013, Nikolova et Vandova c. Bulgarie, §§ 83 et 84). Elle constitue ainsi un facteur important de prévisibilité et de sécurité juridique, que la Cour de Strasbourg rattache au principe fondamental de la prééminence du droit (ou, en d’autres termes, de l’État de droit).
Derrière cette exigence de transparence de la justice, il y a aussi la conviction que tout requérant doit assumer publiquement le choix de recourir à la voie contentieuse et donc s’attendre à ce que son nom figure, à tout le moins, dans un recueil de jurisprudence14.
À ces considérations s’en ajoute une autre, de nature plus prosaïque, mais bien légitime : tous les chercheurs et praticiens du droit conviennent que la désignation d’une décision de justice par le nom des parties constitue un excellent moyen mnémotechnique15. Cette considération, prise à l’état isolé, ne saurait, néanmoins, justifier une atteinte au droit fondamental au respect de la vie privée.
Tout ce qui précède, pris ensemble, explique que les règlements de procédure des trois juridictions de la Cour de justice de l’Union européenne disposent que les arrêts sont rendus en audience publique16 et que ce n’est que par voie d’exception que, sur demande motivée ou d’office, la juridiction peut omettre le nom du requérant ou d’autres personnes mentionnées dans le cadre de la procédure, ou encore certaines données dans les publications relatives à l’affaire, s’il y a des raisons légitimes qui justifient que l’identité d’une personne ou le contenu de ces données soient tenus confidentiels17. En d’autres termes, la citation in extenso du nom du requérant est la règle et l’anonymat, l’exception. En conséquence, les parties doivent s’attendre à ce que des données à caractère personnel les concernant puissent figurer dans un arrêt ou une ordonnance et que cette décision bénéficiera d’une certaine diffusion. Toutefois, il convient de ne pas confondre publicité des jugements et publications des décisions de justice. Une publicité de la jurisprudence de nature à réaliser les finalités légitimes visées ci-dessus, poursuivies par toute société démocratique, nécessite-t-elle pour autant une publication en ligne des jugements prononcés avec communication de l’identité des parties au procès ? De telles données sont-elles pertinentes et adéquates au regard de ces finalités ? Ne sont-elles pas, au contraire, excessives, compte tenu des possibilités de recherche d’informations qu’offrent les bases de données électroniques ? À cet égard, depuis déjà de longues années, plusieurs autorités nationales de contrôle du respect de la vie privée se sont inquiétées des risques que présente la diffusion de données personnelles sur Internet par les banques de données de jurisprudence, en particulier celui de pouvoir retracer l’historique judiciaire d’une personne, et ce, sans commune mesure avec ceux liés aux modes traditionnels (sur papier) d’accès ou de publication de la jurisprudence18. Or, aux limites de la mémoire humaine, Internet oppose une mémoire totale, infaillible et illimitée dans le temps. Il est donc indispensable de rechercher un juste équilibre des droits et intérêts en présence en les mettant en balance dans le respect du principe de proportionnalité et en prenant toutes les circonstances de l’affaire en cause, et ce, même si ces droits et intérêts portent en eux des exigences en partie contradictoires (voir arrêts précités Lindqvist, points 79 à 89, et Google Spain et Google, point 81). Il est, ainsi, troublant que l’arrêt Google Spain et Google, précité, qui oblige l’exploitant d’un moteur de recherche à occulter des données à caractère personnel, en l’occurrence le nom de la personne concernée, si des raisons particulières ne permettent pas d’établir l’intérêt prépondérant du public à avoir accès aux informations en cause, mentionne, sous la rubrique « Litige au principal », le nom de cette personne, alors que l’arrêt a été traduit dans toutes les langues officielles de l’Union et mis en ligne…
Au titre de la proportionnalité, quatre critères peuvent être pris en considération : le caractère indispensable des données à la bonne compréhension de la cause et de son traitement par le juge19 ; force est d’admettre que, pour une bonne compréhension de la motivation d’une décision de justice, il n’est pas toujours nécessaire de connaitre les données personnelles des parties à un procès ; la mention de leur nom est même, la plupart du temps, inutile. En revanche, la mention du nom des acteurs publics qui sont intervenus dans la décision (le nom des juges et de l’avocat général, en l’occurrence) contribue à se prémunir contre l’arbitraire ; le caractère sensible, au sens de l’article 10, paragraphe 1, du règlement n° 45/2001, de certaines données (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données relatives à la santé ou à la vie sexuelle). Le traitement de telles données est, en principe, interdit20, à moins que la personne concernée ait donné son consentement indubitable. Il y aurait deux manières pour appréhender le problème : soit, lorsque la bonne compréhension de la décision judiciaire implique d’en faire état, l’affaire est anonymisée, soit les données en cause sont occultées ; l’intensité du contrôle du public sur les arrêts, laquelle peut varier en fonction de la nature de l’affaire et de la position occupée par les personnes impliquées. Le droit du public à être informé parait, en effet, plus étendu lorsque des personnalités politiques ou de hauts fonctionnaires sont en cause et plus encore lorsque les affaires touchent la manière selon laquelle ils exercent leurs responsabilités. On soulignera, à cet égard, l’affirmation, ces dernières années, d’une culture de responsabilité au sein des institutions de l’Union, répondant notamment au souci du public d’être informé et assuré de ce que les dysfonctionnements et les fraudes soient identifiés et, le cas échéant, dûment éliminés et sanctionnés. Cette exigence a pour conséquence, ainsi que le Tribunal l’a relevé, dans l’arrêt du 2 mai 2007 (Giraudy/Commission, F-23/05, point 165), que les fonctionnaires et agents titulaires de postes à responsabilité au sein de l’administration de l’Union doivent prendre en compte l’existence possible d’un besoin justifié de communiquer certaines informations au public ; les conséquences préjudiciables attachées au risque que les données contenues dans les arrêts diffusés en ligne soient utilisées à des fins étrangères à la connaissance du droit (par exemple, en vue de l’octroi d’un emploi, d’un service ou d’un bail).
§ 4 – Solutions retenues par le Tribunal de la fonction publique de l’Union européenne
Depuis plusieurs années, le Tribunal de la fonction publique s’est montré particulièrement soucieux de la protection de la vie privée des justiciables en raison précisément du développement de l’Internet et des moteurs de recherche. Cette préoccupation est constante lors de la rédaction même de la décision mettant fin au litige. De plus, le greffe a été chargé d’attirer systématiquement l’attention des requérants, dans le courrier qui leur est adressé à la suite de l’introduction du recours, de ce que les décisions du Tribunal font l’objet d’une publication sur Internet. Si la demande motivée lui en est faite par le requérant, le Tribunal omet le nom de ce dernier et, au besoin, d’autres données dans la version de la décision destinée à être diffusée au public. Cette pratique a été entérinée par son règlement de procédure, modifié en 2014 (art. 48, par. 1, du RP TFP). Il va de soi que le Tribunal peut également procéder d’office à l’omission ou à l’occultation de données sensibles, ou encore à l’anonymisation de sa décision de justice.
L’article 48, paragraphe 2, du RP TFP prévoit également, dorénavant, que, sur demande motivée ou d’office, le Tribunal « peut omettre, dans ses documents, le nom d’autres personnes ou entités mentionnées dans le cadre de la procédure, ou encore certaines données les concernant s’il y a des raisons légitimes qui justifient » cette omission.
Le Tribunal est ainsi amené à omettre dans ses décisions, plus que par le passé, le nom du requérant afin de ne pas permettre, à partir de celui-ci, des recherches sur Internet. L’anonymisation des décisions est, ainsi, devenue, ces derniers temps, systématique dans des affaires de licenciement ou de non-renouvellement de contrats, ou encore d’aide juridictionnelle, dès lors qu’il est de notoriété publique que les employeurs recourent de plus en plus à Internet pour effectuer des recherches à partir du nom d’un demandeur d’emploi, afin d’obtenir aisément des informations relatives à cette personne leur permettant d’en établir le profil.
Par ailleurs, tous les avis publiés au Journal officiel de l’Union européenne, au moment du dépôt d’une requête, sont anonymisés, afin de ne pas priver d’effet utile une décision d’omission du nom du requérant dans l’arrêt ou l’ordonnance, qui serait prise par la suite, soit d’office soit à la demande de la personne concernée. Cette pratique du Tribunal a également été entérinée dans son règlement de procédure, tel que modifiée en 2014 (art. 51, par. 2, du RP TFP).
Le pas vers une anonymisation généralisée de toutes les décisions du Tribunal n’a pas encore été fait. Une telle mesure, qui dépasse l’autonomie fonctionnelle de la juridiction, devrait être prise en concertation avec la Cour, en tant qu’institution. Elle pourrait l’être dans l’avenir en raison de la nature du contentieux porté devant lui, lequel requiert bien souvent l’examen par le juge de données à caractère personnel concernant le déroulement de la carrière, l’appréciation des mérites, la situation familiale ou financière de la partie requérante, ou encore les conditions dans lesquelles sa relation contractuelle avec son employeur s’est déroulée ou a pris fin. Une telle mesure pourrait également se justifier afin d’écarter tout risque de différenciation de traitement entre fonctionnaires ou agents, généré par l’examen au cas par cas qu’implique l’application de l’article 48 du RP TFP. La solution retenue en France, s’agissant des décisions des juridictions administratives et qui repose sur une distinction entre les supports « papier » et électroniques (sur le site Legifrance21), n’est pas comme telle transposable aux décisions des juridictions qui composent la Cour de justice de l’Union européenne, dans la mesure où, comme on l’a vu, depuis le 1er janvier 2012, la publication au Recueil, en format numérique, sur le site EUR-Lex, est la seule publication officielle de la jurisprudence desdites juridictions.
1 Les opinions exprimées dans cette étude n’engagent que leur auteur.
2 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31).
3 Règlement (CE) n° 45/2001, du 18 décembre 2000, du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institution et organes communautaires et à la libre circulation de ces données (JO L 8, p. 1).
On signalera que l’article 39 TUE prévoit l’adoption d’une décision spécifique par le Conseil relative à la protection des données à caractère personnel par les États membres dans le domaine de la politique étrangère et de sécurité commune.
4 Aux termes de l’article 6 et sous réserve des dispositions spécifiques que les États membres peuvent prévoir pour des traitements à des fins historiques, statistiques ou scientifiques, il incombe au responsable du traitement d’assurer que les données à caractère personnel : sont « traitées loyalement et licitement », qu’elles sont « collectées pour des finalités déterminées, explicites et légitimes, et ne [ne sont pas] traitées ultérieurement de manière incompatible avec ces finalités », qu’elles sont « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement », qu’elles sont « exactes et, si nécessaire, mises à jour » et, enfin, qu’elles « sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement ».
5 Aux termes de l’article 7, un traitement de données à caractère personnel ne peut être effectué que si « la personne concernée a indubitablement donné son consentement », ou s’il est « nécessaire » : « à l’exécution d’un contrat auquel la personne concernée est partie » ou « au respect d’une obligation légale à laquelle le responsable du traitement est soumis » ou « à la sauvegarde de l’intérêt vital de la personne concernée » ou « à l’exécution d’une mission d’intérêt public », ou encore « à réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent l’intérêt ou les droits et libertés fondamentaux de la personne concernée ».
6 Article 2, sous b), de la directive 95/46 qui définit le « traitement de données à caractère personnel » comme « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».
7 La Cour s’est prononcée en prenant en compte la grille d’analyse retenue par la Cour européenne des droits de l’homme (ci-après la « Cour eur. DH ») ; voir, notamment, Cour eur. DH, arrêts Amann c. Suisse du 16 février 2000, § 65, et Rotaru c. Roumanie du 4 mai 2000, § 43).
8 Cour eur. DH, arrêt Rekvényi c. Hongrie, § 34.
9 Le 1er janvier 2010 s’agissant des décisions du Tribunal de la fonction publique.
10 Le site Curia n’héberge pas le texte officiel des décisions, mais des documents « affichés à des fins d’information du public et […] susceptibles d’être modifiés ».
11 Arrêt Österreichischer Rundfunk e.a., précité, point 72.
12 Arrêt Österreichischer Rundfunk e.a., précité, points 76, 77 et 86. Cet arrêt a été rendu à propos à propos de la directive 95/46, mais le raisonnement est parfaitement transposable sur le terrain du règlement n° 45/2001 qui poursuit les mêmes objectifs, et ce, dans des termes similaires.
13 Voir également, en ce sens, article 6 de la CEDH et l’article 37 du statut de la Cour de justice.
14 F. LELIÈVRE, « L’anonymisation à la française des décisions de justice, une exception ? », AJDA 2012, p. 526, spéc. p. 527.
15 Voir E. SERVERIN, « Plaidoyer pour l’exhaustivité des bases de données des décisions du fond », D . 2009, 2882.
16 Voir art. 88, par. 1, du règlement de procédure de la Cour (ci-après le « RP Cour »), art. 118, par. 1, du règlement de procédure du Tribunal (ci-après le « RP TrUE ») et art. 95, par. 1, du règlement de procédure du Tribunal de la fonction publique (ci-après le « RP TFP »).
17 Art. 66 du RP TrUE et art. 48 RP TFP.
On ajoutera que, conformément à l’article. 95, paragraphe 1, du RP Cour, s’agissant des renvois préjudiciels, la Cour reprend, en principe, les données contenues dans la décision de renvoi, « en ce compris les données nominatives ou à caractère personnel. Il appartient donc à la juridiction de renvoi, si elle estime nécessaire, de procéder elle-même, dans sa demande de décision préjudicielle, à l’occultation de certaines données ou à l’anonymisation d’une ou de plusieurs personnes concernées par le litige au principal » (recommandations 2012/C 338/01 de la Cour de justice à l’attention des juridictions nationales, relatives à l’introduction des procédures préjudicielles, point 27, JO C 338, p. 1). En outre, à la demande de la juridiction de renvoi, sur demande « dûment » motivée d’une partie au litige au principal ou d’office, la Cour peut procéder « à l’anonymisation d’une ou de plusieurs personnes ou entités concernées par le litige » (art. 95, par. 2, du RP Cour). Aucune disposition en matière d’anonymisation n’existe dans le RP Cour s’agissant des recours directs, ce qui peut se comprendre dans la mesure où ces recours ne sont pas introduits par des particuliers, personnes physiques ou morales, mais par des États membres ou des institutions de l’Union.
18 Voir, par exemple, la délibération n° 1/57 du 29 novembre 2001 de la Commission française de l’informatique et des libertés (CNIL) ; l’avis n° 42/97 de la commission belge de la protection de la vie privée du 23 décembre 1997, ou encore l’avis 3/99, du 3 mai 1999, du groupe de protection des personnes à l’égard du traitement de données à caractère personnel (visé à l’article 29 de la directive 95/46), concernant l’information émanant du secteur public et la protection des données à caractère personnel.
19 La Cour EDH a, par exemple, jugé que la divulgation dans un arrêt de l’identité d’une personne et de la maladie grave dont elle souffrait, sans que cette personne ait donné son accord, constituait une mesure qui n’était pas nécessaire dans une société démocratique et qui violait l’article 8 de la CEDH (Cour eur. D. H., arrêt Z c. Finlande, n° 22009/93, du 25 février 1997, § 113).
20 L’article 10, paragraphes 2 et 3, du règlement n° 45/2001 énumère les dérogations possibles, parmi lesquelles le consentement explicite de la personne concernée, ce qui ne saurait, en tout état de cause, être établi si le requérant ignore, en introduisant son recours, qu’il sera fait état de données sensibles le concernant dans la décision de justice à intervenir ; s’agissant des tiers au procès, qui sont évidemment dans l’impossibilité de savoir que leur nom ou des données personnelles les concernant pourraient être mentionnés dans des litiges ne les concernant pas personnellement, un quelconque consentement de leur part est encore plus difficilement être déduit du simple fait de l’introduction du recours. Une autre dérogation mentionnée à la lettre d) du paragraphe 2 de l’article 10 concerne l’hypothèse où les données auraient été manifestement rendues publiques par la personne concernée elle-même ou leur traitement est « nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice », ce qui relève du premier critère mentionné ci-dessus (caractère indispensable des données pour la motivation et la bonne compréhension de la décision de justice).
21 Service public de la diffusion du droit par l’Internet, créé par le décret n° 2002-1064 du 7 août 2002.