CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. NIILO JÄÄSKINEN
présentées le 10 juillet 2014 ( 1 )
Affaire C‑212/13
František Ryneš
contre
Úřad pro ochranu osobních údajů
[demande de décision préjudicielle
formée par le Nejvyšší správní soud (République tchèque)]
«Rapprochement des législations — Traitement des données à caractère personnel — Directive 95/46/CE — Champ d’application — Dérogations — Article 3, paragraphe 2 — Notion d’‘exercice d’activités exclusivement personnelles ou domestiques’ — Enregistrement, par une caméra de surveillance, de l’entrée de la maison de la personne exploitant le système d’enregistrement, de l’espace public ainsi que de l’accès à une maison voisine»
I – Introduction
1. La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ( 2 ), régit ce domaine d’une manière étendue. Néanmoins, selon son article 3, paragraphe 2, deuxième tiret, ladite directive ne s’applique pas au traitement des données à caractère personnel «effectué par une personne physique pour l’exercice d’activités exclusivement
personnelles ou domestiques» ( 3 ).
2. Le Nejvyšší správní soud (Cour administrative suprême, République tchèque) interroge la Cour sur l’interprétation de cette exception dans le cadre d’un litige opposant M. František Ryneš au Úřad pro ochranu osobních údajů (Office pour la protection des données à caractère personnel, ci‑après l’«Office»), au sujet de la décision par laquelle ce dernier a constaté que M. Ryneš avait commis plusieurs infractions dans le domaine de la protection des données à caractère personnel en installant sous la
corniche de sa maison une caméra de surveillance qui filmait non seulement sa maison, mais aussi la voie publique et la maison située en face.
3. Sauf erreur de ma part, la Cour n’a jamais eu à connaître d’une affaire dans laquelle elle aurait constaté que les conditions d’application de l’article 3, paragraphe 2, deuxième tiret, de la directive 95/46 étaient réunies, quoique son applicabilité ait été invoquée notamment dans l’affaire Lindqvist ( 4 ). Compte tenu de l’approche qui sous‑tend la jurisprudence de la Cour, et notamment les arrêts récents Digital Rights Ireland et Seitlinger e.a. ( 5 ) ainsi que Google Spain et Google ( 6 ),
lesquels font prévaloir le droit fondamental à la protection des données à caractère personnel, je proposerai dans les présentes conclusions de retenir que ladite exception ne couvre pas des situations telles celles visées dans la présente affaire et que, dès lors, la directive 95/46 s’applique.
4. Il convient de souligner que le point de savoir si les activités effectuées par M. Ryneš «afin de protéger les biens, la santé et la vie des propriétaires de la maison» relèvent ou non du champ d’application de la directive 95/46 n’affecte pas dans l’absolu la possibilité d’effectuer une telle surveillance. La présente affaire a pour objet unique de préciser quel est le cadre juridique applicable à cet égard.
II – Cadre juridique
A – Le droit de l’Union
5. L’article 7 de la charte des droits fondamentaux de l’Union européenne (ci‑après la «Charte») dispose que «[t]oute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications».
6. L’article 8, paragraphe 1, de la Charte prévoit que «[t]oute personne a droit à la protection des données à caractère personnel la concernant». Ses paragraphes 2 et 3 donnent les précisions suivantes:
«2. [Les données à caractère personnel] doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante» ( 7 ).
7. Les considérants 12 et 16 de la directive 95/46 énoncent:
«(12) [...] doit être exclu le traitement de données effectué par une personne physique dans l’exercice d’activités exclusivement personnelles ou domestiques, telles la correspondance et la tenue de répertoires d’adresses;
(16) [...] les traitements des données constituées par des sons et des images, tels que ceux de vidéo‑surveillance, ne relèvent pas du champ d’application de la présente directive s’ils sont mis en œuvre à des fins de sécurité publique, de défense, de sûreté de l’État ou pour l’exercice des activités de l’État relatives à des domaines du droit pénal ou pour l’exercice d’autres activités qui ne relèvent pas du champ d’application du droit communautaire».
8. L’article 3 de la directive, intitulé «Champ d’application», prévoit:
«1. La présente directive s’applique au traitement des données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé des données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. La présente directive ne s’applique pas au traitement des données à caractère personnel:
— mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien‑être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,
— effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.»
B – La réglementation tchèque
9. L’article 3, paragraphe 3, de la loi no 101/2000 Sb., relative à la protection des données à caractère personnel et à la modification de certaines lois (ci‑après la «loi no 101/2000») prévoit:
«la présente loi ne s’applique pas au traitement des données à caractère personnel effectué par une personne physique pour un usage exclusivement personnel».
10. Conformément à l’article 5, paragraphe 2, sous e), de ladite loi, le traitement des données à caractère personnel n’est, en principe, possible qu’avec le consentement de la personne concernée. En l’absence d’un tel consentement, ledit traitement peut avoir lieu s’il s’avère nécessaire à la protection des droits et intérêts protégés par la loi du responsable du traitement, du destinataire ou d’une autre personne concernée. Ce traitement ne doit cependant pas porter atteinte au droit de la
personne concernée au respect de sa vie privée et familiale.
11. L’article 44, paragraphe 2, de cette loi régit la responsabilité du responsable du traitement des données à caractère personnel, qui commet une infraction lorsqu’il traite des données à caractère personnel sans le consentement de la personne concernée, lorsqu’il ne fournit pas à la personne concernée les informations pertinentes et lorsqu’il ne satisfait pas à l’obligation de notification à l’autorité compétente.
III – Le litige au principal, la question préjudicielle et la procédure devant la Cour
12. Au cours de la période allant du 5 octobre 2007 au 11 avril 2008, M. Ryneš a utilisé une caméra située en dessous de la corniche du toit de sa maison. Elle était fixe, sans possibilité de rotation, et enregistrait l’entrée de sa maison, la voie publique ainsi que l’entrée de la maison située en face. Le système permettait uniquement un enregistrement vidéo, qui était stocké dans un dispositif d’enregistrement continu, à savoir le disque dur. Une fois sa capacité maximale atteinte, il écrasait
l’enregistrement existant par un nouvel enregistrement. Le dispositif d’enregistrement ne comportait pas d’écran, de sorte que l’on ne pouvait pas visualiser l’image en temps réel. Seul M. Ryneš avait un accès direct au système et aux données enregistrées.
13. La juridiction de renvoi relève que la seule raison de l’exploitation de cette caméra par M. Ryneš était de protéger les biens, la santé et la vie de celui‑ci ainsi que de sa famille. En effet, tant lui‑même que sa famille avaient fait l’objet d’attaques pendant plusieurs années de la part d’un inconnu n’ayant pas pu être démasqué. En outre, les fenêtres de la maison, qui appartient à son épouse, ont été brisées à plusieurs reprises entre 2005 et 2007.
14. Au cours de la nuit du 6 au 7 octobre 2007, une fenêtre de la maison de M. Ryneš a été brisée par un tir de projectile au moyen d’une fronde. Grâce au système de vidéosurveillance en cause, deux suspects ont pu être identifiés. Les enregistrements ont été remis à la police et, par la suite, ont été invoqués comme moyen de preuve dans le cadre de la procédure pénale.
15. L’un des suspects a demandé la vérification du système de surveillance de M. Ryneš et l’Office a, par décision du 4 août 2008, constaté que M. Ryneš avait commis des infractions au regard de la loi no 101/2000 du fait que:
— en tant que responsable du traitement, il avait recueilli, par le biais d’un système de caméra, des données à caractère personnel sans le consentement des personnes se déplaçant dans la rue ou entrant dans la maison située de l’autre côté de la rue,
— les personnes concernées n’avaient pas été informées du traitement de ces données à caractère personnel, de l’étendue et des objectifs de ce traitement, de la personne effectuant le traitement et de la manière dont ledit traitement s’opérait, ni des personnes qui pourraient avoir accès aux données en question,
— en tant que responsable du traitement, M. Ryneš n’avait pas satisfait à l’exigence de notification du traitement en cause à l’Office.
16. Saisi d’un recours formé par M. Ryneš contre cette décision, le Městský soud de Prague l’a rejeté par arrêt du 25 avril 2012. M. Ryneš a formé un pourvoi en cassation contre cet arrêt devant la juridiction de renvoi.
17. Dans ces conditions, par décision du 20 mars 2013, le Nejvyšší správní soud a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante:
«L’exploitation d’un système de caméra installé sur une maison familiale afin de protéger les biens, la santé et la vie des propriétaires de la maison peut‑elle relever du traitement des données à caractère personnel ‘effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques’ au sens de l’article 3, paragraphe 2, de la directive 95/46 [...], même si un tel système surveille également l’espace public?»
18. Des observations écrites ont été déposées par M. Ryneš, par l’Office, par les gouvernements tchèque, espagnol, italien, autrichien, polonais et portugais, par le gouvernement du Royaume‑Uni ainsi que par la Commission européenne. Étaient représentés lors de l’audience du 20 mars 2014 l’Office, les gouvernements tchèque, autrichien, polonais et du Royaume‑Uni ainsi que la Commission.
IV – Analyse
A – Propos liminaires
1. Sur les contours de l’affaire
19. Il convient d’observer, premièrement, que, dans la présente affaire, la question préjudicielle est bien précise et se focalise sur l’interprétation de l’expression «pour l’exercice d’activités exclusivement personnelles ou domestiques», dont dépend l’applicabilité de la directive 95/46 à la vidéosurveillance exercée par M. Ryneš. La réponse à cette demande d’interprétation ne peut pas être tributaire du fait que la vidéosurveillance a abouti à l’objectif recherché, à savoir l’identification des
malfaiteurs. La réponse devrait être la même dans l’hypothèse où la vidéosurveillance serait restée infructueuse et n’aurait conduit qu’à des enregistrements, finalement écrasés donc restés inexploités, de personnes se trouvant dans l’espace public devant la maison de M. Ryneš.
20. Deuxièmement, l’affaire porte en substance sur la qualification de la vidéosurveillance en question aux fins de l’application de la directive 95/46. En conséquence, l’usage ultérieur des images enregistrées ne saurait, selon moi, être déterminant pour trancher la question de l’applicabilité même de ladite directive ( 8 ). La qualification juridique de la vidéosurveillance par M. Ryneš ne peut pas varier selon que les images ont été ultérieurement écrasées ou sauvegardées.
21. Troisièmement, l’affaire à l’origine du renvoi préjudiciel se distingue des situations où la vidéosurveillance est exercée par des autorités publiques ou par des personnes morales. En ce qui concerne les autorités publiques, la directive 95/46 est applicable, exception faite des situations visées dans l’article 3, paragraphe 2, première tiret, de cette directive. En ce qui concerne les personnes morales, la directive 95/46 est applicable sans restrictions. C’est pourquoi la jurisprudence de la
Cour européenne des droits de l’homme, au demeurant très riche en la matière, ne me semble pas donner d’indications directement transposables ( 9 ).
22. Enfin, il apparaît clairement, en l’espèce, que la Charte est applicable, en particulier ses articles 7 et 8. Le cas de figure en question est susceptible de faire naître un conflit entre les droits fondamentaux du responsable du traitement des données (en anglais, «data controller») et ceux de la personne concernée (en anglais, «data subject»). En l’espèce, il s’agit d’un conflit opposant M. Ryneš et les malfaiteurs identifiés. Cependant, dans le contexte de l’applicabilité de la directive
95/46 en général, il s’agit d’un conflit entre le droit à la protection de la vie privée de toute personne physique exerçant une vidéosurveillance d’un espace public et le droit au respect des données à caractère personnel de toute personne concernée s’y trouvant.
23. Si la Cour considère que la directive 95/46 est applicable en l’espèce, il y aurait lieu de procéder à une pondération entre les différents droits et intérêts affectés dans le cadre des dispositions matérielles de ladite directive, et en particulier de son article 7, sous f) ( 10 ). Je tiens à préciser qu’il incomberait, le cas échéant, à la juridiction de renvoi d’y procéder, mais que cela dépasse le cadre défini par le présent renvoi préjudiciel ( 11 ).
2. Sur les enseignements jurisprudentiels concernant la protection des données à caractère personnel
24. La directive 95/46 vise à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel ( 12 ).
25. La Cour s’inspire de la Charte dans l’interprétation du droit de l’Union. La jurisprudence a également rattaché la directive 95/46 aux principes généraux du droit, et, par ce biais, à l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950 ( 13 ) (ci‑après la «CEDH»). Il a aussi été jugé que la directive 95/46 représente un point d’équilibre, déterminé par le législateur, entre les différents droits fondamentaux
en présence ( 14 ).
26. Dans l’arrêt Google Spain et Google ( 15 ), la Cour a ainsi souligné l’importance de l’effet utile de la directive 95/46 et d’une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques qu’elle vise à assurer ( 16 ), notamment le droit au respect de leur vie privée, à l’égard du traitement des données à caractère personnel, auquel cette directive accorde une importance particulière ainsi que le confirment notamment son article 1er, paragraphe 1, et ses
considérants 2 et 10 ( 17 ).
27. À cet égard, la Cour a déjà dit pour droit que les dispositions de la directive 95/46, en ce qu’elles régissent le traitement de données à caractère personnel susceptibles de porter atteinte aux libertés fondamentales et, en particulier, au droit à la vie privée, doivent nécessairement être interprétées à la lumière des droits fondamentaux qui, selon une jurisprudence constante, font partie intégrante des principes généraux du droit dont la Cour assure le respect et qui sont désormais inscrits
dans la Charte ( 18 ).
28. Plus précisément, dans l’arrêt Google Spain et Google, la Cour a indiqué ce qui suit: «l’article 7 de la Charte garantit le droit au respect de la vie privée, tandis que l’article 8 de la Charte proclame expressément le droit à la protection des données à caractère personnel. Les paragraphes 2 et 3 de ce dernier article précisent que ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement
légitime prévu par la loi, que toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification et que le respect de ces règles est soumis au contrôle d’une autorité indépendante. Ces exigences sont mises en œuvre notamment par les articles 6, 7, 12, 14 et 28 de la directive 95/46» ( 19 ).
29. Je relève que ces dernières dispositions, à l’exception de l’article 28, s’appliquent aussi aux rapports horizontaux entre les responsables du traitement des données qui ne sont pas des autorités publiques et les personnes concernées.
3. Sur la vidéosurveillance au regard des objectifs de la directive 95/46
a) Sur la vidéosurveillance
30. La vidéosurveillance est caractérisée par son opération permanente et systématique, quelle que soit la durée, variable, de la conservation éventuelle des enregistrements ( 20 ). Je souligne que la présente question préjudicielle porte sur un type de système fixe de surveillance qui s’étend à l’espace public ainsi qu’à la porte de la maison d’en face et permet ainsi d’identifier un nombre indéfini de personnes qui s’y trouvent sans avoir au préalable été averties de ladite surveillance. En
revanche, les questions juridiques liées aux enregistrements effectués au moyen de téléphones portables, de caméscopes ou d’appareils photo numériques sont de nature différente, de sorte que les présentes conclusions n’entendent pas les aborder.
31. En effet, le fait qu’une vidéosurveillance avec enregistrement d’images relève du champ de la directive 95/46, dans la mesure où elle constitue en elle‑même un traitement automatique (ce qui est le cas dans les enregistrements numériques) ou donne lieu à un tel traitement, résulte d’emblée de son considérant 16.
32. Je note à cet égard que la juridiction de renvoi s’interroge sur l’interprétation de l’article 3, paragraphe 2, deuxième tiret, de la directive 95/46. J’estime dès lors que ladite juridiction considère implicitement, quoique nécessairement, que le traitement en cause dans l’affaire au principal satisfait aux critères établis à l’article 3, paragraphe 1, de ladite directive ( 21 ).
33. La juridiction de renvoi ne fournit pas de description détaillée du contenu des enregistrements vidéo en question. Cependant il est permis de penser que, conformément à la jurisprudence de la Cour, des enregistrements de ce type «pris dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les
déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles‑ci» ( 22 ).
34. Par ailleurs, «[l]a conservation des données aux fins de leur accès éventuel par les autorités nationales compétentes», comme cela a été le cas dans l’affaire au principal, «concerne de manière directe et spécifique la vie privée et, ainsi, les droits garantis par l’article 7 de la Charte. En outre, une telle conservation des données relève également de l’article 8 de celle‑ci, en raison du fait qu’elle constitue un traitement des données à caractère personnel au sens de cet article et doit,
ainsi, nécessairement satisfaire aux exigences de protection des données découlant de cet article» ( 23 ).
b) Sur les objectifs de la directive 95/46
35. La Cour a indiqué qu’il ressort notamment des troisième, septième et huitième considérants de la directive 95/46 que, en harmonisant des règles nationales protégeant les personnes physiques à l’égard du traitement de données à caractère personnel, cette directive vise principalement à assurer la libre circulation de telles données entre les États membres, qui est nécessaire à l’établissement et au fonctionnement du marché intérieur, au sens de l’article 14, paragraphe 2, CE ( 24 ).
36. Conformément à son intitulé, la directive 95/46 répond aussi à un autre objectif, à savoir à la «protection des personnes physiques à l’égard du traitement des données à caractère personnel». La directive crée ainsi un cadre au sein duquel la protection des personnes physiques à l’égard du traitement des données à caractère personnel est assurée.
37. Par ailleurs, il est vrai que la libre circulation des données à caractère personnel est susceptible de porter atteinte au droit à la vie privée tel que reconnu notamment à l’article 8 de la CEDH ( 25 ) ainsi que par les principes généraux du droit de l’Union ( 26 ).
38. Pour cette raison, et ainsi que cela ressort notamment du considérant 10 et de l’article 1er de la directive 95/46, celle‑ci vise également à ne pas affaiblir la protection qu’assurent les règles nationales existantes, mais au contraire à garantir, dans l’Union, un niveau élevé de protection des libertés et des droits fondamentaux à l’égard du traitement des données à caractère personnel ( 27 ).
39. Il est clair que, s’agissant du droit au respect de la vie privée, «la protection de ce droit fondamental exige, selon la jurisprudence constante de la Cour, en tout état de cause, que les dérogations à la protection des données à caractère personnel et les limitations de celle‑ci doivent s’opérer dans les limites du strict nécessaire» ( 28 ) et que, à cet égard, «la protection des données à caractère personnel, résultant de l’obligation explicite prévue à l’article 8, paragraphe 1, de la
Charte, revêt une importance particulière pour le droit au respect de la vie privée consacré à l’article 7 de celle‑ci» ( 29 ).
B – Sur l’exclusion du champ d’application de la directive 95/46 prévue à l’article 3, paragraphe 2, deuxième tiret
40. L’affaire au principal soulève la question de savoir si l’activité de M. Ryneš est exclue du champ d’application de la directive 95/46, en application de l’exception prévue à l’article 3, paragraphe 2, deuxième tiret, de la directive 95/46, relative au traitement «effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques». Ladite disposition ne vise pas la finalité du traitement de données à caractère personnel telle que décrite dans la question
préjudicielle, à savoir la protection des «biens, [de] la santé et [de] la vie des propriétaires de la maison».
41. Je tiens à préciser que l’affaire au principal ne concerne ni la sûreté de l’État ni des activités de l’État relatives à des domaines du droit pénal, qui pourraient tomber sous l’exception prévue à l’article 3, paragraphe 2, premier tiret, de la directive 95/46, quand bien même les données recueillies en l’espèce ont finalement été transmises aux autorités ( 30 ). En effet, M. Ryneš a agi en tant que personne privée victime d’une infraction pénale, et non en tant qu’agent des forces de l’ordre.
42. M. Ryneš ainsi que les gouvernements tchèque, italien, polonais et du Royaume‑Uni sont d’avis que l’exploitation d’un système de vidéosurveillance tel que celui en cause dans l’affaire au principal, qui vise à protéger les biens, la santé et la vie des propriétaires de la maison, est effectuée dans le cadre d’activités exclusivement personnelles ou domestiques au sens de l’article 3, paragraphe 2, deuxième tiret, de la directive 95/46, quand bien même ledit système surveillerait également
l’espace public. Au contraire, dans l’hypothèse, comme en l’espèce, où ledit système surveille également l’espace public, l’Office, les gouvernements autrichien, portugais et espagnol ainsi que la Commission estiment que l’exception susmentionnée ne s’applique pas.
a) La prise en compte de la finalité du traitement comme critère d’applicabilité de la directive 95/46
43. Lors de l’audience, la question de savoir si l’application de l’exception pouvait dépendre de l’intention de la personne en cause a été largement abordée. Plus précisément, il s’agit de savoir si le caractère «exclusivement personnel ou domestique» du traitement des données peut être établi au regard de la finalité poursuivie par le responsable du traitement des données.
44. Selon la juridiction de renvoi, M. Ryneš avait procédé à la surveillance «afin de protéger les biens, la santé et la vie des propriétaires de la maison». À mon avis, il n’est pas exclu qu’une activité caractérisée par une telle finalité subjective puisse remplir les conditions de l’article 7, sous f), de la directive 95/46, ce qui rendrait le traitement des données à caractère personnel légitime dans le cadre de celle‑ci. Ce n’est toutefois pas la question posée à la Cour. La présente question
préjudicielle porte sur le champ d’application de la directive 95/46, lequel précède nécessairement toute question relative à l’interprétation de ses dispositions matérielles.
45. Dans ces conditions, il convient de déterminer si le traitement des données à caractère personnel auquel a procédé M. Ryneš échappe au champ d’application de la directive, compte tenu de sa finalité subjective, dans la mesure où cette finalité pourrait être considérée comme constituant un caractère exclusivement personnel ou domestique du traitement des données en question.
46. Je rappelle à cet égard que la fonction de la disposition dans l’article 3, paragraphe 2, deuxième tiret, de la directive 95/46 consiste à définir le champ d’application de ladite directive en excluant certaines situations où une activité, bien que remplissant les critères définis par cette directive, demeure cependant exclue de son champ d’application. Selon moi, le champ d’application d’un instrument du droit de l’Union ne saurait pas dépendre de la finalité subjective de l’intéressé, en
l’occurrence du responsable du traitement, dans la mesure où une telle finalité n’est ni objectivement vérifiable sur la base de facteurs externes ni pertinente par rapport aux personnes concernées dont les droits et intérêts sont affectés par l’activité en question.
47. En effet, la finalité du traitement de données à caractère personnel ne saurait être déterminante à l’égard d’un piéton se promenant sur la voie publique et qui fait l’objet d’une vidéosurveillance, du point de vue de son besoin de protection par des dispositions législatives précises définissant sa position juridique par rapport au responsable du traitement des données à caractère personnel. En revanche, la finalité du traitement peut entrer en jeu dans l’appréciation de la licéité de celui‑ci.
Le champ d’application de la directive doit donc être déterminé au moyen de critères objectifs.
b) Une activité exclusivement domestique ou exclusivement personnelle
48. Pour illustrer le contenu de l’exception en cause, la directive 95/46 mentionne deux exemples: la correspondance et la tenue de répertoires d’adresse ( 31 ). À l’évidence, en tant qu’exception, elle appelle une interprétation restrictive, ce que confirme la jurisprudence portant sur la directive 95/46 ( 32 ).
49. En effet, la délimitation très précise de cette exception contribue à empêcher la collecte non réglementée de données à caractère personnel susceptible de s’effectuer en dehors du cadre régi par le droit de l’Union et, par conséquent, exempté des exigences découlant de l’article 8, paragraphes 2 et 3, de la Charte ( 33 ).
50. L’affaire Lindqvist, à l’instar de la présente affaire, portait sur le traitement des données à caractère personnel effectué par une personne physique. L’avocat général Tizzano était d’avis que la catégorie des «activités exclusivement personnelles ou domestiques» recouvrait uniquement des activités telles que «la correspondance et la tenue de répertoires d’adresses» […], c’est‑à‑dire des activités manifestement privées et confidentielles, destinées à ne pas sortir de la sphère personnelle ou
domestique des intéressés» et que, dans l’affaire en question, l’exception du deuxième tiret n’était pas applicable ( 34 ).
51. À mon avis, les «activités personnelles» au titre de l’article 3, paragraphe 2, deuxième tiret, de la directive 95/46, sont des activités étroitement et objectivement liées à la vie privée d’une personne qui ne touchent pas de manière sensible à la sphère personnelle d’autrui. Ces activités peuvent toutefois avoir lieu en dehors du domicile. Les «activités domestiques» sont liées à la vie familiale et ont normalement lieu au sein du domicile ou à d’autres endroits partagés par les membres de la
famille, tels qu’une résidence secondaire, une chambre d’hôtel ou une voiture particulière. Elles ont toutes un lien avec la protection de la vie privée prévue à l’article 7 de la Charte.
52. En fait, j’estime à l’instar du gouvernement du Royaume‑Uni que cette exception permet dans le cadre juridique actuel, à savoir celui créé par la directive 95/46, d’assurer la protection prévue à l’article 7 de la Charte en faveur de celui qui se livre au traitement de données à caractère personnel dans sa vie privée et familiale.
53. Toutefois, dans le cadre de la directive 95/46, pour que ladite exception puisse jouer, il n’est pas suffisant que les activités envisagées présentent un lien avec des activités personnelles ou domestiques, mais il faut en outre que ce lien soit exclusif. J’ajoute à cet égard que, selon moi, il n’existe aucun doute quant au fait que la condition d’exclusivité s’applique tant aux activités personnelles qu’aux activités domestiques.
54. Je constate que la vidéosurveillance d’autrui, c’est‑à‑dire une surveillance systématique des lieux moyennant un appareil qui produit un signal vidéo enregistré aux fins de l’identification de personnes, même à l’intérieur d’une maison, ne peut pas être considérée comme exclusivement personnelle, mais cela n’exclut pas qu’elle pourrait relever de la notion d’activité domestique.
55. En revanche, il est vrai, comme le soutient le gouvernement du Royaume‑Uni, que la protection de l’inviolabilité d’une maison particulière et la protection de celle‑ci contre le vol et contre tout accès illicite constituent des activités qui sont essentielles pour chaque ménage et, pour cette raison, peuvent être considérées comme des activités domestiques.
56. Néanmoins, selon moi, une vidéosurveillance qui s’étend à l’espace public ne peut pas être envisagée comme une activité exclusivement domestique, parce qu’elle s’étend à des personnes qui n’ont aucun lien avec la famille en question et qui souhaitent conserver leur anonymat. Comme la Cour l’a relevé, «les circonstances que la conservation des données et l’utilisation ultérieure de celles‑ci sont effectuées sans que» les personnes concernées en l’espèce «en soient informées sont susceptibles de
générer dans l’esprit des personnes concernées, […] le sentiment que leur vie privée fait l’objet d’une surveillance constante» ( 35 ).
57. Ainsi la vidéosurveillance systématique d’un espace public exercée par les personnes physiques n’est pas exemptée d’exigences dérivées de la protection des données à caractère personnel qui sont applicables à la vidéosurveillance par les personnes morales et les autorités publiques. Cette interprétation permet, au demeurant, de ne pas privilégier les personnes mettant en œuvre une vidéosurveillance d’un espace public situé devant une maison unifamiliale, par rapport à la surveillance qui serait
effectuée aux alentours d’autres immeubles en copropriété, car tous les responsables du traitement du données à caractère personnel, personnes physiques ou personnes morales, sont alors soumis aux mêmes exigences ( 36 ).
58. J’en conclus qu’un traitement de données à caractère personnel tel que celui effectué par M. Ryneš ne relève pas de la notion d’«exercice d’activités exclusivement personnelles ou domestiques» et ainsi ledit traitement, qui ne bénéficie pas de l’exception en cause, est couvert par le champ d’application de la directive 95/46.
c) Observations complémentaires
59. Afin d’être exhaustif, je tiens à préciser que même si, dans la jurisprudence, la «publication» des données à caractère personnel est souvent mentionnée parmi les éléments retenus pour conclure à l’inapplicabilité de l’exception prévue à l’article 3, paragraphe 2, deuxième tiret, de la directive 95/46 ( 37 ), l’absence de publication ne rend pas, a contrario, ladite exception applicable. En effet, l’enregistrement et la conservation des données à caractère personnel constituent en soi une
ingérence dans les droits garantis par l’article 7 de la Charte ( 38 ).
60. De surcroît, je note que les données à caractère personnel enregistrées par M. Ryneš ont fait l’objet d’une communication aux autorités dans le cadre d’une procédure pénale. À cet égard, il convient de rappeler que, selon la jurisprudence de la Cour, «l’accès des autorités nationales compétentes aux données constitue une ingérence supplémentaire dans ce droit fondamental» ( 39 ).
61. Si la Cour retient, comme je le lui propose, que la directive 95/46 est applicable, l’activité exercée par M. Ryneš devra être analysée dans le cadre de ladite directive, laquelle vise à créer et à assurer un équilibre entre les droits fondamentaux et les intérêts des personnes.
62. Dans ce cas, il y aura lieu de vérifier notamment la «légitimité» du traitement de données en cause ( 40 ). Sur ce point, il convient de rappeler que, sous réserve des dérogations admises au titre de l’article 13 de la directive 95/46, notamment pour la «protection de la personne concernée ou des droits et libertés d’autrui», tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes relatifs à la qualité des données énoncées à l’article 6 de cette directive
et, d’autre part, répondre à l’un des principes relatifs à la légitimation des traitements de données énumérés à l’article 7 de ladite directive ( 41 ).
63. Quant à la légitimation d’un traitement tel que celui en cause au principal, je considère que ledit traitement peut bénéficier d’une légitimation visée à l’article 7, sous f), de la directive 95/46.
64. En effet, l’article 7, sous f), de la directive 95/46 prévoit deux conditions cumulatives pour qu’un traitement de données à caractère personnel soit licite, à savoir, d’une part, que le traitement des données à caractère personnel doit être nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées et, d’autre part, que les droits et libertés fondamentaux de la personne concernée ne prévalent pas. Il
convient de tenir compte du fait que la seconde de ces conditions nécessite une pondération des droits et intérêts opposés en cause qui dépend, en principe, des circonstances concrètes du cas particulier concerné et dans le cadre de laquelle la personne ou l’institution qui effectue la pondération doit tenir compte de l’importance des droits de la personne concernée résultant des articles 7 et 8 de la Charte ( 42 ). Ledit article 7, sous f), de la directive 95/46 est souvent la clé de voûte pour
examiner la légalité du traitement des données à caractère personnel ( 43 ).
65. En l’occurrence, il me semble que l’activité exercée par M. Ryneš vise à protéger sa jouissance d’autres droits fondamentaux, tels que le droit de propriété et le droit à la vie familiale.
66. Ainsi, le fait que la directive 95/46 soit applicable n’est pas nécessairement défavorable aux intérêts du responsable du traitement des données à caractère personnel, à condition que ceux‑ci soient effectivement légitimes conformément à l’article 7, sous f), de ladite directive. Il n’est pas logique de soutenir que, pour protéger les droits fondamentaux de M. Ryneš, il faudrait laisser inappliquée une directive européenne qui vise précisément à établir un juste équilibre entre les droits de ce
dernier et les droits d’autres personnes physiques, à savoir celles qui sont affectées par le traitement de données à caractère personnel.
67. Le fait que la directive 95/46 s’applique à une telle situation n’implique pas, en soi, l’illicéité de l’activité à laquelle s’est livré M. Ryneš. En revanche, c’est dans le cadre de la directive 95/46 qu’il conviendra d’effectuer la pondération entre les droits fondamentaux applicables dans l’affaire au principal.
V – Conclusion
68. Au vu des considérations qui précèdent, je propose à la Cour de répondre à la question préjudicielle posée par le Nejvyšší správní soud de la manière suivante:
«L’exploitation d’un système de caméra installé sur une maison familiale, afin de protéger les biens, la santé et la vie des propriétaires de la maison qui surveille également l’espace public ne relève pas du traitement des données à caractère personnel effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques au sens de l’article 3, paragraphe 2, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la
protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.»
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( 1 ) Langue originale: le français.
( 2 ) JO L 281, p. 31.
( 3 ) Souligné par mes soins.
( 4 ) C‑101/01, EU:C:2003:596.
( 5 ) C‑293/12 et C‑594/12, EU:C:2014:238.
( 6 ) C‑131/12, EU:C:2014:317.
( 7 ) Selon les explications relatives à cet article, celui‑ci «a été fondé sur l’article 286 du traité instituant la Communauté européenne et sur la [directive 95/46], ainsi que sur l’article 8 de la CEDH et sur la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981, ratifiée par tous les États membres».
( 8 ) Si la directive 95/46 est d’application, ledit usage ultérieur de ces données à caractère personnel peut présenter une importance certaine, par exemple en vue d’application de l’article 7, sous f), de cette directive.
( 9 ) Voir, à titre d’exemple de cette jurisprudence, Cour EDH, arrêt Peck c. Royaume‑Uni, no 44647/98, § 57 et jurisprudence citée, CEDH 2003‑I.
( 10 ) L’article 7 de ladite directive se lit comme suit: «Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si: […] f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er
paragraphe 1».
( 11 ) Sur l’application de cette disposition, voir «Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive», disponible en anglais à l’adresse Internet http://ec.europa.eu/justice/data‑protection/index_en.htm.
( 12 ) Voir, en ce sens, arrêt IPI (C‑473/12, EU:C:2013:715, point 28) ainsi qu’article 1er et considérant 10 de la directive 95/46.
( 13 ) L’article 8, paragraphe 1, de la CEDH est libellé comme suit: «Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance».
( 14 ) Dans l’arrêt Commission/Bavarian Lager (C‑28/08 P, EU:C:2010:378, point 63), la Cour a fait prévaloir la protection des données à caractère personnel sur l’accès aux documents en ces termes: «Il s’ensuit que, lorsqu’une demande fondée sur le règlement no 1049/2001 vise à obtenir l’accès à des documents comprenant des données à caractère personnel, les dispositions du règlement no 45/2001 deviennent intégralement applicables, y compris les articles 8 et 18 de celui‑ci».
( 15 ) EU:C:2014:317, point 58.
( 16 ) Voir, par analogie, arrêt L’Oréal e.a. (C‑324/09, EU:C:2011:474, points 62 et 63).
( 17 ) Voir, en ce sens, arrêts Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 et C‑139/01, EU:C:2003:294, point 70); Rijkeboer (C‑553/07, EU:C:2009:293, point 47), et IPI (EU:C:2013:715, point 28 et jurisprudence citée).
( 18 ) Voir, notamment, arrêts Google Spain et Google (EU:C:2014:317, point 68); Connolly/Commission (C‑274/99 P, EU:C:2001:127, point 37), et Österreichischer Rundfunk e.a. (EU:C:2003:294, point 68).
( 19 ) EU:C:2014:317, point 69.
( 20 ) L’article 29 de la directive 95/46 institue un groupe de travail consultatif indépendant, composé, notamment, des autorités des États membres chargées de la protection des données à caractère personnel (ci‑après le «groupe de travail ‘Article 29’»). Voir, sur la présente question, l’avis 4/2004 dudit groupe de travail sur le traitement des données à caractère personnel au moyen de la vidéosurveillance, accessible à l’adresse Internet http://ec.europa.eu/justice/data‑protection/index_en.htm.
( 21 ) Voir, également, considérant 15 de la directive 95/46, selon lequel «les traitements portant sur de telles données ne sont couverts par la présente directive que s’ils sont automatisés ou si les données sur lesquelles ils portent sont contenues ou sont destinées à être contenues dans un fichier structuré selon des critères spécifiques relatifs aux personnes, afin de permettre un accès aisé aux données à caractère personnel en cause».
( 22 ) Arrêt Digital Rights Ireland et Seitlinger e.a. (EU:C:2014:238, point 27).
( 23 ) Arrêts Digital Rights Ireland et Seitlinger e.a. (EU:C:2014:238, point 29) ainsi que Volker und Markus Schecke et Eifert (C‑92/09 et C‑93/09, EU:C:2010:662, point 47).
( 24 ) Voir, en ce sens, arrêts Commission/Allemagne (C‑518/07, EU:C:2010:125, points 20 à 22) et Österreichischer Rundfunk e.a. (EU:C:2003:294, points 39 et 70).
( 25 ) Voir, en ce sens, Cour EDH, Amann c. Suisse [GC], no 27798/95, § 69 et 80, CEDH 2000‑II, et Rotaru c. Roumanie [GC], no 28341/95, § 43 et 46, CEDH 2000‑V.
( 26 ) Arrêt Commission/Allemagne (EU:C:2010:125, point 21).
( 27 ) Arrêts Commission/Allemagne (EU:C:2010:125, point 22); Österreichischer Rundfunk e.a. (EU:C:2003:294, point 70), ainsi que Satakunnan Markkinapörssi et Satamedia (C‑73/07, EU:C:2008:727, point 52).
( 28 ) Arrêts Digital Rights Ireland et Seitlinger e.a. (EU:C:2014:238, point 52) et IPI (EU:C:2013:715, point 39 et jurisprudence citée).
( 29 ) Arrêt Digital Rights Ireland et Seitlinger e.a. (EU:C:2014:238, point 53).
( 30 ) Sur l’exception prévue au premier tiret, voir arrêt Lindqvist (EU:C:2003:596, points 43 et suiv.).
( 31 ) Considérant 12 de la directive.
( 32 ) Arrêts Satakunnan Markkinapörssi et Satamedia (EU:C:2008:727, points 38 à 49); Parlement/Conseil et Commission (C‑317/04 et C‑318/04, EU:C:2006:346, points 54 à 61), et Lindqvist (EU:C:2003:596, point 47).
( 33 ) Selon lesdites dispositions, les données à caractère personnel «doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification. […] Le respect de ces règles est soumis au contrôle d’une autorité indépendante».
( 34 ) Voir conclusions de l’avocat général Tizzano dans l’affaire Lindqvist (EU:C:2002:513, notamment points 34 et 35, souligné par mes soins). Par ailleurs, il était d’avis que le «traitement en cause est mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire». La Cour a toutefois rejeté cette interprétation.
( 35 ) Arrêt Digital Rights Ireland et Seitlinger e.a. (EU:C:2014:238, point 37).
( 36 ) Voir avis 4/2004 du groupe de travail «Article 29» sur le traitement des données à caractère personnel au moyen de la vidéosurveillance.
( 37 ) Voir, à titre d’exemple, arrêt Lindqvist (EU:C:2003:596, point 47).
( 38 ) Arrêt Digital Rights Ireland et Seitlinger e.a. (EU:C:2014:238, point 34).
( 39 ) Ibidem (point 35). Voir, en ce qui concerne l’article 8 de la CEDH, Cour EDH, Leander c. Suède, 26 mars 1987, série A no116, § 48; Rotaru c. Roumanie [GC], no 28341/95, § 46, CEDH 2000‑V, ainsi que Weber et Saravia c. Allemagne (déc.), no 54934/00, § 79, CEDH 2006‑XI.
( 40 ) Sur la légitimation voir, par exemple, arrêt Worten (C‑342/12, EU:C:2013:355, points 33 et suiv.).
( 41 ) Arrêts Google Spain et Google (EU:C:2014:317, point 71); Österreichischer Rundfunk e.a. (EU:C:2003:294, point 65); ASNEF et FECEMD (C‑468/10 et C‑469/10, EU:C:2011:777, point 26), ainsi que Worten (EU:C:2013:355, point 33).
( 42 ) Arrêt ASNEF et FECEMD (EU:C:2011:777, points 38 et 40).
( 43 ) Lors de l’audience, une autre question a été abordée, à savoir l’appréciation à porter sur les caméras embarquées à bord de véhicules enregistreurs. Sur la base de l’interprétation proposée, il me semble clair que ces appareils de surveillance de la voie publique, en ce compris les personnes y circulant, ne peuvent être couverts par ladite exception et que leur utilisation est dès lors pleinement soumise aux conditions prévues par la directive 95/46.
