ARRÊT DE LA COUR (sixième chambre)
7 mars 2024 ( *1 )
« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Articles 2, 4, 6, 10 et 86 – Données détenues par un tribunal relatives aux condamnations pénales d’une personne physique – Communication orale de telles données à une société commerciale en raison d’un concours organisée par celle-ci – Notion de “traitement de données à caractère personnel” – Réglementation nationale régissant l’accès auxdites données – Conciliation entre le droit du public à l’accès aux
documents officiels et la protection des données à caractère personnel »
Dans l’affaire C‑740/22,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Itä-Suomen hovioikeus (cour d’appel de Finlande orientale, Finlande), par décision du 30 novembre 2022, parvenue à la Cour le 2 décembre 2022, dans la procédure
Endemol Shine Finland Oy
LA COUR (sixième chambre),
composée de M. T. von Danwitz (rapporteur), président de chambre, M. P. G. Xuereb et Mme I. Ziemele, juges,
avocat général : Mme T. Ćapeta,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour le gouvernement finlandais, par Mmes A. Laine et M. Pere, en qualité d’agents,
– pour le gouvernement portugais, par Mmes P. Barros da Costa, M. J. Ramos et C. Vieira Guerra, en qualité d’agents,
– pour la Commission européenne, par MM. A. Bouchagiar, H. Kranenborg et Mme I. Söderlund, en qualité d’agents,
vu la décision prise, l’avocate générale entendue, de juger l’affaire sans conclusions,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 2, paragraphe 1, de l’article 4, point 2, et de l’article 86 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’une procédure concernant le refus d’une juridiction nationale de communiquer à Endemol Shine Finland Oy des données relatives à des condamnations pénales concernant un tiers.
Le cadre juridique
Le droit de l’Union
3 Les considérants 4, 10, 11, 15, 19 et 154 du RGPD sont libellés comme suit :
« (4) Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la [charte des droits fondamentaux
de l’Union européenne (ci‑après la “Charte”)], consacrés par les traités, en particulier le respect de la vie privée et familiale, [...] la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, [...]
[...]
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes
physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. En ce qui concerne le traitement de données à caractère personnel nécessaire au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, il y a lieu d’autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l’application des
règles du présent règlement. Parallèlement à la législation générale et horizontale relative à la protection des données mettant en œuvre la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 1)], il existe, dans les États membres, plusieurs législations sectorielles spécifiques dans des domaines qui
requièrent des dispositions plus précises. Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser [leurs] règles, y compris en ce qui concerne le traitement de catégories particulières de données à caractère personnel (ci‑après dénommées “données sensibles”). À cet égard, le présent règlement n’exclut pas que le droit des États membres précise les circonstances des situations particulières de traitement, y compris en fixant de manière plus précise les
conditions dans lesquelles le traitement de données à caractère personnel est licite.
(11) Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, ainsi que de prévoir, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et des sanctions équivalentes pour les violations.
[...]
(15) Afin d’éviter de créer un risque grave de contournement, la protection des personnes physiques devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées. Elle devrait s’appliquer aux traitements de données à caractère personnel à l’aide de procédés automatisés ainsi qu’aux traitements manuels, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers de même que leurs
couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d’application du présent règlement.
[...]
(19) La protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l’objet d’un acte juridique spécifique de l’Union. Le présent règlement ne
devrait dès lors pas s’appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu’elles sont utilisées à ces fins, être régies par un acte juridique de l’Union plus spécifique, à savoir la directive (UE) 2016/680 du Parlement européen et du Conseil [, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à
caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89)]. Les États membres peuvent confier à des autorités compétentes au sens de la directive (UE) 2016/680 des missions qui ne sont pas nécessairement effectuées à des fins de prévention
et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le traitement de données à caractère personnel à ces autres fins, pour autant qu’il relève du champ d’application du droit de l’Union, relève du champ d’application du présent règlement.
En ce qui concerne le traitement de données à caractère personnel par ces autorités compétentes à des fins relevant du champ d’application du présent règlement, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte
tenu de la structure constitutionnelle, organisationnelle et administrative de l’État membre concerné. Lorsque le traitement de données à caractère personnel par des organismes privés relève du champ d’application du présent règlement, celui-ci devrait prévoir la possibilité pour les États membres, sous certaines conditions, de limiter par la loi certaines obligations et certains droits lorsque cette limitation constitue une mesure nécessaire et proportionnée dans une société démocratique
pour garantir des intérêts spécifiques importants tels que la sécurité publique, ainsi que la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Cela est pertinent, par exemple, dans le cadre de la lutte contre le blanchiment d’argent ou des activités des laboratoires de police scientifique.
[...]
(154) Le présent règlement permet de prendre en compte, dans son application, le principe de l’accès du public aux documents officiels. L’accès du public aux documents officiels peut être considéré comme étant dans l’intérêt public. Les données à caractère personnel figurant dans des documents détenus par une autorité publique ou un organisme public devraient pouvoir être rendues publiques par ladite autorité ou ledit organisme si cette communication est prévue par le droit de l’Union ou le droit
de l’État membre dont relève l’autorité publique ou l’organisme public. Ces dispositions légales devraient concilier l’accès du public aux documents officiels et la réutilisation des informations du secteur public, d’une part, et le droit à la protection des données à caractère personnel, d’autre part, et peuvent dès lors prévoir la conciliation nécessaire avec le droit à la protection des données à caractère personnel en vertu du présent règlement. Dans ce contexte, il convient d’entendre
par “autorités publiques et organismes publics”, toutes les autorités ou autres organismes relevant du droit d’un État membre en matière d’accès du public aux documents. La directive 2003/98/CE du Parlement européen et du Conseil [, du 17 novembre 2003, concernant la réutilisation des informations du secteur public (JO 2003, L 345, p. 90),] laisse intact et n’affecte en rien le niveau de protection des personnes physiques à l’égard du traitement des données à caractère personnel garanti par
les dispositions du droit de l’Union et du droit des États membres et, en particulier, ne modifie en rien les droits et obligations prévus dans le présent règlement. En particulier, ladite directive ne devrait pas s’appliquer aux documents dont l’accès est exclu ou limité en application de règles d’accès pour des motifs de protection des données à caractère personnel, et aux parties de documents accessibles en vertu desdites règles qui contiennent des données à caractère personnel dont la
réutilisation a été prévue par la loi comme étant incompatible avec la législation concernant la protection des personnes physiques à l’égard du traitement des données à caractère personnel. »
4 L’article 2 du RGPD, intitulé « Champ d’application matériel », dispose :
« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :
a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
b) par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité [UE] ;
c) par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;
d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.
3. Le règlement (CE) no 45/2001 [du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO 2001, L 8, p. 1),] s’applique au traitement des données à caractère personnel par les institutions, organes et organismes de l’Union. Le règlement (CE) no 45/2001 et les autres actes juridiques de l’Union
applicables audit traitement des données à caractère personnel sont adaptés aux principes et aux règles du présent règlement conformément à l’article 98.
4. Le présent règlement s’applique sans préjudice de la directive 2000/31/CE [du Parlement européen et du Conseil, du 8 juin 2000, relatives à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (“directive sur le commerce électronique”) (JO 2000, L 178, p. 1)], et notamment de ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires. »
5 L’article 4 du RGPD, intitulé « Définitions », prévoit, à ses points 1, 2, 6 et 7 :
« Aux fins du présent règlement, on entend par :
1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité
physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction ;
[...]
6) “fichier”, tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;
7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit
d’un État membre ».
6 L’article 5 de ce règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », est libellé comme suit :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; [...] (limitation des finalités) ;
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
d) exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; [...] (limitation de la conservation) ;
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;
[...] »
7 L’article 6 dudit règlement, intitulé « Licéité du traitement », prévoit, à ses paragraphes 1 à 3 :
« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.
2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.
3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :
a) le droit de l’Union ; ou
b) le droit de l’État membre auquel le responsable du traitement est soumis.
Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le
responsable du traitement ; les types de données qui font l’objet du traitement ; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de
traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi. »
8 L’article 10 du RGPD, intitulé « Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions », dispose :
« Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le
contrôle de l’autorité publique. »
9 L’article 23 de ce règlement, intitulé « Limitations », est libellé comme suit :
« 1. Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et
qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir :
[...]
f) la protection de l’indépendance de la justice et des procédures judiciaires ;
[...] »
10 L’article 85 dudit règlement, intitulé « Traitement et liberté d’expression et d’information », prévoit, à son paragraphe 1 :
« Les États membres concilient, par la loi, le droit à la protection des données à caractère personnel au titre du présent règlement et le droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire. »
11 L’article 86 du RGPD, intitulé « Traitement et accès du public aux documents officiels », dispose :
« Les données à caractère personnel figurant dans des documents officiels détenus par une autorité publique ou par un organisme public ou un organisme privé pour l’exécution d’une mission d’intérêt public peuvent être communiquées par ladite autorité ou ledit organisme conformément au droit de l’Union ou au droit de l’État membre auquel est soumis l’autorité publique ou l’organisme public, afin de concilier le droit d’accès du public aux documents officiels et le droit à la protection des données
à caractère personnel au titre du présent règlement. »
Le droit finlandais
La loi relative à la protection des données à caractère personnel (1050/2018)
12 Le tietosuojalaki (1050/2018) [loi relative à la protection des données à caractère personnel (1050/2018)] dispose, à son article 1er :
« La présente loi précise et complète le [RGPD] et la mise en œuvre de celui-ci au niveau national. »
13 L’article 28 de cette loi est libellé comme suit :
« Les dispositions relatives à la publicité de l’action des autorités publiques s’appliquent au droit d’accès et aux autres formes de communication de données à caractère personnel provenant de fichiers relatifs à des personnes, tenus par des autorités publiques. »
La loi relative à la publicité de l’action des autorités publiques (621/1999)
14 Le laki viranomaisten toiminnan julkisuudesta (621/1999) [loi relative à la publicité de l’action des autorités publiques (621/1999)] prévoit, à son article 13 :
« Une demande de communication d’informations relatives au contenu d’un document officiel doit être suffisamment précise pour permettre à l’autorité publique de déterminer le document sur lequel porte la demande. Le demandeur d’informations doit être aidé, au moyen d’un registre et de répertoires, à identifier le document auquel il souhaite avoir accès. Il n’est pas tenu de décliner son identité ni d’indiquer les motifs de sa demande, à moins que cela ne soit nécessaire aux fins de l’exercice
d’un pouvoir d’appréciation conféré à l’autorité administrative ou pour que celle-ci détermine si le demandeur a le droit d’avoir accès au contenu du document en cause.
Le demandeur d’informations, lorsqu’il demande à accéder à un document confidentiel, à un fichier relatif à des personnes tenu par une autorité publique ou à tout autre document dont l’accès ne peut être donné qu’à certaines conditions, doit, sauf disposition spécifique contraire, indiquer la finalité de l’utilisation des informations et tout autre élément nécessaire pour déterminer les conditions de la communication de ces informations et, le cas échéant, indiquer comment il convient d’organiser
la protection desdites informations. »
15 L’article 16 de cette loi dispose :
« L’accès au contenu d’un document détenu par une autorité publique est donné oralement ou en mettant celui-ci à disposition, auprès de l’autorité publique, pour consultation, copie ou écoute, ou encore en fournissant une copie ou une impression du document. Il est donné accès au contenu public d’un document conformément à la demande, sauf si cela entrave de manière disproportionnée l’activité administrative, en raison du grand nombre de documents, de la difficulté de copier un document ou pour
une autre raison comparable.
[...]
Sauf disposition contraire prévue spécifiquement par la loi, des données à caractère personnel provenant d’un fichier relatif à des personnes tenu par une autorité publique peuvent être communiquées sous forme de copie, d’impression ou sous forme électronique, lorsque le destinataire a le droit, en vertu des règles applicables à la protection des données à caractère personnel, de conserver et d’utiliser ces données. Toutefois, des données à caractère personnel ne peuvent être communiquées à des
fins de marketing direct et d’étude d’opinion ou de marché que si cela est spécifiquement prévu ou si la personne concernée a donné son consentement.
[...] »
La loi relative à la publicité de la procédure devant les juridictions ordinaires (370/2007)
16 Aux termes de l’article 1er du laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007) [loi relative à la publicité de la procédure devant les juridictions ordinaires (370/2007)] :
« La procédure et les actes de procédures sont publics, sauf disposition contraire prévue par la présente loi ou par une autre loi ».
La loi relative au traitement des données à caractère personnel en matière pénale et dans le cadre du maintien de la sécurité nationale (1054/2018)
17 L’article 1er du laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018) [loi relative au traitement des données à caractère personnel en matière pénale et dans le cadre du maintien de la sécurité nationale (1054/2018)] prévoit, à son premier alinéa, que cette loi s’applique au traitement des données à caractère personnel effectué par les autorités compétentes lorsqu’est en cause, notamment, le traitement d’une affaire pénale devant une
juridiction. En vertu de son quatrième alinéa, ladite loi ne s’applique qu’à un traitement de données à caractère personnel au sens du premier alinéa qui est automatisé en tout ou en partie ou dans le cadre duquel les données traitées constituent ou sont destinées à constituer un fichier ou une partie de celui-ci.
18 Aux termes de l’article 2, second alinéa, de cette loi :
« Les dispositions relatives à la publicité de l’action des autorités publiques s’appliquent au droit d’accès et aux autres formes de communication de données personnelles provenant de fichiers relatifs à des personnes, tenus par des autorités publiques. »
Le litige au principal et les questions préjudicielles
19 Endemol Shine Finland, la requérante au principal, a demandé oralement à l’Etelä-Savon käräjäoikeus (tribunal de première instance du Savo méridional, Finlande) des informations portant sur d’éventuelles condamnations pénales en cours ou déjà purgées concernant une personne physique participant à un concours organisé par cette société, afin d’établir les antécédents judiciaires de cette personne.
20 L’Etelä-Savon käräjäoikeus (tribunal de première instance du Savo méridional) a rejeté la demande de la requérante au principal tout en considérant que cette demande portait sur des décisions ou des informations publiques au sens de la loi relative à la publicité de la procédure devant les juridictions ordinaires. Selon cette juridiction, le motif invoqué par la requérante au principal ne constituait pas un motif se rapportant au traitement des condamnations pénales ou des infractions, visé à
l’article 7 de la loi relative à la protection des données à caractère personnel. Le fait d’effectuer des recherches dans les systèmes d’information de ladite juridiction aurait également constitué un traitement de données à caractère personnel, raison pour laquelle les informations demandées ne pouvaient pas non plus être communiquées oralement.
21 La requérante au principal a interjeté appel de ce jugement devant l’Itä-Suomen hovioikeus (cour d’appel de Finlande orientale, Finlande), qui est la juridiction de renvoi, en soutenant que la communication orale des informations qu’elle sollicite ne constitue pas un traitement de données à caractère personnel, au sens de l’article 4, point 2, du RGPD.
22 La juridiction de renvoi s’interroge sur le point de savoir si l’article 2, paragraphe 1, et l’article 4, point 2, du RGPD doivent être interprétés en ce sens que la communication orale d’informations relatives à d’éventuelles condamnations pénales en cours ou déjà purgées dont une personne physique a fait l’objet constitue un traitement de données à caractère personnel au sens de ce règlement. À cet égard, cette juridiction relève que le traitement des données à caractère personnel effectué par
les autorités publiques finlandaises est régi par la loi relative à la protection des données à caractère personnel. Toutefois, les restrictions normalement attachées au traitement de telles données ne seraient pas applicables, en raison du caractère public des données détenues par ces autorités, mais également de l’article 28 de cette loi et de l’article 2, deuxième alinéa, de la loi relative au traitement des données à caractère personnel en matière pénale et dans le cadre du maintien de la
sécurité nationale (1054/2018).
23 Afin de concilier la protection des données à caractère personnel avec le droit d’accès du public aux informations, l’article 16 de la loi relative à la publicité de l’action des autorités publiques (621/1999) restreint la communication de données à caractère personnel qui proviennent d’un fichier relatif à des personnes, tenu par une autorité publique, effectuée sous forme de copie, d’impression ou sous forme électronique. Toutefois, étant donné que cet article ne s’appliquerait pas à la
communication orale de données à caractère personnel figurant dans des fichiers relatifs à des personnes, détenus par les autorités publiques, il conviendrait de s’interroger sur le point de savoir de quelle manière assurer une telle conciliation et prendre en compte des considérations importantes relatives à la protection des données à caractère personnel lorsque de telles données figurant dans des fichiers des autorités publiques relatifs à des personnes sont communiquées oralement.
24 Dans ces conditions l’Itä-Suomen hovioikeus (cour d’appel de Finlande orientale) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) Une communication orale de données à caractère personnel constitue-t-elle un traitement de telles données au sens de l’article 2, paragraphe 1, et de l’article 4, point 2, du [RGPD] ?
2) Le droit d’accès du public aux documents officiels et le droit à la protection des données à caractère personnel au titre du [RGPD] peuvent-ils être conciliés, au sens de l’article 86 de ce règlement, en ce sens qu’il convient de mettre à disposition sans restriction des informations provenant d’un fichier de données à caractère personnel tenu par une juridiction s’agissant des condamnations pénales dont a fait l’objet une personne physique ou des infractions commises par celle-ci, lorsqu’il
est demandé que ces informations soient communiquées oralement au demandeur ?
3) La réponse à la deuxième question dépend-elle du point de savoir si le demandeur est une société ou un particulier ? »
Sur les questions préjudicielles
Sur la première question
25 Par sa première question, la juridiction de renvoi demande, en substance, si l’article 2, paragraphe 1, et l’article 4, point 2, du RGPD doivent être interprétés en ce sens que la communication orale d’informations relatives à d’éventuelles condamnations pénales en cours ou déjà purgées dont une personne physique a fait l’objet constitue un traitement de données à caractère personnel, au sens de l’article 4, point 2, de ce règlement, et, dans l’affirmative, si ce traitement relève du champ
d’application matériel dudit règlement, tel que défini à son article 2, paragraphe 1.
26 À titre liminaire, d’une part, il convient de rappeler que, afin d’interpréter ces dispositions du droit de l’Union, il y a lieu de tenir compte non seulement des termes de celles-ci, mais également du contexte dans lequel elles s’insèrent et des objectifs poursuivis par la réglementation dont elles font partie [arrêt du 12 janvier 2023, Österreichische Post (Informations relatives aux destinataires de données personnelles), C‑154/21, EU:C:2023:3, point 29].
27 D’autre part, il importe de souligner qu’il n’est pas contesté, dans le litige au principal, que les informations dont la requérante au principal sollicite la communication constituent des données à caractère personnel, au sens de l’article 4, point 1, du RGPD.
28 L’article 4, point 2, de ce règlement définit la notion de « traitement » comme visant « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou [à] des ensembles de données à caractère personnel ».
29 Il ressort notamment de l’expression « toute opération », que le législateur de l’Union a entendu donner à la notion de « traitement » une portée large, ce qui est corroboré par le caractère non exhaustif, exprimé par la locution « telles que », des opérations énumérées à ladite disposition [voir, en ce sens, arrêts du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, point 35, et du 22 juin 2023, Pankki S, C‑579/21,
EU:C:2023:501, point 46].
30 Cette énumération vise, entre autres, la communication par transmission, la diffusion et « toute autre forme de mise à disposition », ces opérations pouvant être automatisées ou non automatisées. À cet égard, l’article 4, point 2, du RGPD ne pose aucune condition quant à la forme du traitement « non automatisé ». La notion de « traitement » couvre dès lors la communication orale.
31 Cette interprétation de la notion de « traitement » est confortée par l’objectif du RGPD, lequel vise, notamment, ainsi que cela ressort de son article 1er et de ses considérants 1 et 10, à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, en particulier, de leur droit à la vie privée à l’égard du traitement des données à caractère personnel, consacré à l’article 8, paragraphe 1, de la Charte et à l’article 16, paragraphe 1, TFUE [voir, en ce
sens, arrêt du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire), C‑60/22, EU:C:2023:373, point 64]. En effet, la possibilité de contourner l’application de ce règlement en communiquant des données à caractère personnel par voie orale au lieu de le faire par voie écrite serait manifestement incompatible avec cet objectif.
32 Dans ces conditions, la notion de « traitement » visée à l’article 4, point 2, du RGPD couvre nécessairement la communication orale de données à caractère personnel.
33 Pour autant, se pose encore la question de savoir si un tel traitement relève du champ d’application matériel du RGPD. L’article 2 de ce règlement, qui détermine ce champ d’application, dispose, à son paragraphe 1, que ledit règlement s’applique au traitement « automatisé en tout ou en partie » ainsi qu’au traitement « non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».
34 À cet égard, il ressort du libellé de cette dernière disposition ainsi que du considérant 15 du RGPD que ce règlement s’applique aussi bien au traitement automatisé de données à caractère personnel qu’au traitement manuel de telles données, afin de ne pas faire dépendre la protection que ce règlement confère aux personnes dont les données sont traitées des techniques utilisées et d’éviter des risques graves de contournement de cette protection. Cependant, il en ressort également que ledit
règlement ne s’applique aux traitements manuels de données à caractère personnel que lorsque les données traitées « sont contenues ou appelées à figurer dans un fichier » (voir, par analogie, arrêt du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 53).
35 La communication orale constituant en tant que telle un traitement non automatisé, les données faisant l’objet de ce traitement doivent donc être « contenues » ou « appelées à figurer » dans un « fichier » pour que ledit traitement relève du champ d’application matériel du RGPD.
36 Quant à la notion de « fichier », l’article 4, point 6, du RGPD dispose qu’elle couvre « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».
37 À cet égard, la Cour a déjà jugé que, conformément à l’objectif rappelé au point 34 du présent arrêt, cette disposition définit de manière large la notion de « fichier », notamment en visant « tout » ensemble structuré de données à caractère personnel. En outre, l’exigence selon laquelle l’ensemble de données à caractère personnel doit avoir un caractère « structuré selon des critères déterminés » vise uniquement à permettre que les données relatives à une personne puissent être retrouvées
aisément. Cette exigence mise à part, l’article 4, point 6, du RGPD ne prescrit ni les modalités selon lesquelles un fichier doit être structuré ni la forme que celui-ci doit présenter. En particulier, il ne ressort pas de cette disposition ni d’aucune autre disposition de ce règlement que les données à caractère personnel en cause devraient figurer dans des fiches ou des listes spécifiques ou encore dans un autre système de recherche, afin qu’il puisse être conclu à l’existence d’un fichier, au
sens dudit règlement (voir, par analogie, arrêt du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, points 56 à 58).
38 En l’occurrence, il ressort de la demande de décision préjudicielle que les données demandées par la requérante au principal sont contenues dans « un fichier de données à caractère personnel tenu par une juridiction ». Il semble ainsi que ces données sont contenues dans un fichier au sens de l’article 4, point 6, du RGPD, ce qu’il appartient toutefois à la juridiction de renvoi de vérifier, sans qu’il importe de savoir si lesdites données sont contenues dans des bases de données électroniques ou
encore dans des dossiers ou registres physiques.
39 Dans ces conditions, il convient de répondre à la première question que l’article 2, paragraphe 1, et l’article 4, point 2, du RGPD doivent être interprétés en ce sens que la communication orale d’informations relatives à d’éventuelles condamnations pénales en cours ou déjà purgées dont une personne physique a fait l’objet constitue un traitement de données à caractère personnel, au sens de l’article 4, point 2, de ce règlement, qui relève du champ d’application matériel dudit règlement dès lors
que ces informations sont contenues ou appelées à figurer dans un fichier.
Sur les deuxième et troisième questions
40 Par les deuxième et troisième questions, qu’il convient d’examiner conjointement, la juridiction de renvoi demande, en substance, si les dispositions du RGPD, notamment son article 86, doivent être interprétées en ce sens qu’elles s’opposent à ce que des données relatives à des condamnations pénales d’une personne physique figurant dans un fichier tenu par une juridiction puissent être communiquées oralement à toute personne aux fins de garantir un accès du public à des documents officiels, sans
que la personne demandant la communication ait à justifier d’un intérêt spécifique à obtenir lesdites données, et si la réponse à cette question diffère selon que cette personne est une société commerciale ou un particulier.
41 Cette question trouve son origine dans la législation nationale en cause au principal en ce qu’elle n’exige pas le respect des dispositions nationales relatives à la protection des données à caractère personnel lorsque de telles données sont communiquées oralement.
42 À cet égard, il convient de rappeler que, en vertu de l’article 288, deuxième alinéa, TFUE, le règlement est obligatoire dans tous ses éléments et qu’il est directement applicable dans tout État membre. Ainsi, en raison même de leur nature et de leur fonction dans le système des sources du droit de l’Union, les dispositions des règlements ont, en règle générale, un effet immédiat dans les ordres juridiques nationaux, sans qu’il soit nécessaire que les autorités nationales prennent des mesures
d’application (arrêts du 16 juin 2022, Port de Bruxelles et Région de Bruxelles-Capitale, C‑229/21, EU:C:2022:471, point 47, ainsi que du 30 mars 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, point 77).
43 Ainsi, une juridiction nationale est tenue d’appliquer les exigences du RGPD dans son ensemble, même s’il n’existe pas de disposition spécifique dans le droit national applicable permettant de prendre en compte les intérêts de la personne dont les données à caractère personnel sont en cause (voir, en ce sens, arrêt du 2 mars 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, points 44 et 59).
44 Il résulte des considérations qui précèdent que la communication orale des données relatives à des condamnations pénales d’une personne physique ne peut avoir lieu que si les conditions posées par le RGPD sont réunies dès lors que ces données sont contenues ou appelées à figurer dans un fichier.
45 À ce titre, il importe de rappeler que, conformément à la jurisprudence constante de la Cour, tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes relatifs au traitement des données fixés à l’article 5 du RGPD et, d’autre part, eu égard en particulier au principe de la licéité du traitement, prévu au paragraphe 1, sous a), de cet article, répondre à l’une des conditions de licéité du traitement énumérées à l’article 6 de ce règlement [voir, en ce sens,
arrêts du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 96, ainsi que du 7 décembre 2023, SCHUFA Holding e.a. (Scoring), C‑634/21, EU:C:2023:957, point 67].
46 En particulier, le traitement des données à caractère personnel en cause au principal, à savoir la communication orale au public des données relatives à des infractions pénales, est susceptible de relever de l’article 6, paragraphe 1, sous e), du RGPD, en vertu duquel, le traitement est licite si, et dans la mesure où, il est « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement » [voir, en ce sens,
arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 99].
47 En outre, s’agissant plus spécifiquement des données relatives aux condamnations pénales et aux infractions, l’article 10 du RGPD soumet leur traitement à des restrictions additionnelles. Conformément à cette disposition, le traitement relatif à ces données « ne peut être effectué que sous le contrôle de l’autorité publique », à moins qu’il ne soit « autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et les libertés des
personnes concernées » [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 100].
48 La Cour a déjà jugé que ni l’article 6, paragraphe 1, sous e), du RGPD ni l’article 10 de ce règlement n’interdisent de manière générale et absolue qu’une autorité publique soit habilitée, voire contrainte, à communiquer des données à caractère personnel aux personnes qui en font la demande [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 103].
49 Ainsi, le RGPD ne s’oppose pas à ce que des données à caractère personnel soient communiquées au public lorsque cette communication est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, au sens de l’article 6, paragraphe 1, sous e), de ce règlement. Il en va ainsi même lorsque les données en question relèvent de l’article 10 du RGPD, pourvu que la législation autorisant cette communication prévoie des garanties appropriées pour les droits et
les libertés des personnes concernées [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 104].
50 En l’occurrence, il ressort de la décision de renvoi ainsi que des observations écrites soumises par le gouvernement finlandais que la législation nationale relative à la publicité de l’action des autorités publiques et celle relative à la publicité de la procédure devant les juridictions ordinaires visent à exécuter la mission d’intérêt public permettant d’assurer l’accès du public aux documents officiels.
51 Dans ces conditions, la juridiction de renvoi cherche à établir plus particulièrement si le traitement des données à caractère personnel en cause au principal peut être considéré comme licite au regard du principe de proportionnalité, notamment au regard de la mise en balance à effectuer entre, d’une part, le droit d’accès du public à des documents officiels, visé à l’article 86 du RGPD, et, d’autre part, les droits fondamentaux au respect de la vie privée et à la protection des données à
caractère personnel, consacrés aux articles 7 et 8 de la Charte.
52 À ce dernier égard, il convient de rappeler que les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel ne sont pas des prérogatives absolues ainsi que l’indique le considérant 4 du RGPD, mais doivent être pris en considération par rapport à leur fonction dans la société et être mis en balance avec d’autres droits fondamentaux. Des limitations peuvent ainsi être apportées, pourvu que, conformément à l’article 52, paragraphe 1, de la Charte, elles
soient prévues par la loi et qu’elles respectent le contenu essentiel des droits fondamentaux ainsi que le principe de proportionnalité. En vertu de ce dernier principe, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui. Elles doivent s’opérer dans les limites du strict nécessaire et la réglementation comportant l’ingérence doit
prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 105].
53 Afin de déterminer si une communication au public de données à caractère personnel relatives à des condamnations pénales est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, au sens de l’article 6, paragraphe 1, sous e), du RGPD, et si la législation autorisant une telle communication prévoit des garanties appropriées pour les droits et les libertés des personnes concernées, au sens de l’article 10 de ce règlement, il y a lieu de vérifier
en particulier si, eu égard à la gravité de l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel causée par ladite communication, celle-ci apparaît justifiée, et notamment proportionnée, aux fins de la réalisation des objectifs poursuivis [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 106].
54 Quant à la gravité de l’ingérence dans ces droits, la Cour a déjà jugé que le traitement des données relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes est, en raison de la sensibilité particulière de ces données, susceptible de constituer une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte. En effet, dès lors que de
telles données portent sur des comportements qui entraînent la désapprobation de la société, l’octroi d’un accès à ces mêmes données est susceptible de stigmatiser la personne concernée et de constituer ainsi une ingérence grave dans sa vie privée ou professionnelle [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, points 74, 75 et 112].
55 Si l’accès du public aux documents officiels, auquel se réfère la juridiction de renvoi, constitue, ainsi qu’il découle du considérant 154 du RGPD, un intérêt public susceptible de légitimer la communication de données à caractère personnel figurant dans de tels documents, cet accès doit néanmoins être concilié avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, comme l’exige d’ailleurs expressément l’article 86 du RGPD. Or, eu égard
notamment à la sensibilité des données relatives aux condamnations pénales et à la gravité de l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel des personnes concernées, que la divulgation de ces données provoque, il doit être considéré que ces droits prévalent sur l’intérêt du public à avoir accès aux documents officiels [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19,
EU:C:2021:504, point 120].
56 Pour cette même raison, le droit à la liberté d’information visé à l’article 85 du RGPD ne saurait être interprété en ce sens qu’il justifie la communication à toute personne qui en fait la demande de données à caractère personnel relatives à des condamnations pénales [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 121].
57 À cet égard, il importe peu de savoir si la personne demandant l’accès aux données relatives aux condamnations pénales est une société commerciale ou un particulier ou si la communication de telles données est effectuée par voie écrite ou orale.
58 Eu égard aux considérations qui précèdent, il convient de répondre aux deuxième et troisième questions préjudicielles que les dispositions du RGPD, notamment l’article 6, paragraphe 1, sous e), et l’article 10 de celui‑ci, doivent être interprétées en ce sens qu’elles s’opposent à ce que des données relatives à des condamnations pénales d’une personne physique figurant dans un fichier tenu par une juridiction puissent être communiquées oralement à toute personne aux fins de garantir un accès du
public à des documents officiels, sans que la personne demandant la communication ait à justifier d’un intérêt spécifique à obtenir lesdites données, la circonstance que cette personne soit une société commerciale ou un particulier n’ayant pas d’incidence à cet égard.
Sur les dépens
59 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (sixième chambre) dit pour droit :
1) L’article 2, paragraphe 1, et l’article 4, point 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doivent être interprétés en ce sens que :
la communication orale d’informations relatives à d’éventuelles condamnations pénales en cours ou déjà purgées dont une personne physique a fait l’objet constitue un traitement de données à caractère personnel, au sens de l’article 4, point 2, de ce règlement, qui relève du champ d’application matériel de ce règlement dès lors que ces informations sont contenues ou appelées à figurer dans un fichier.
2) Les dispositions du règlement 2016/679, notamment l’article 6, paragraphe 1, sous e), et l’article 10 de celui‑ci,
doivent être interprétées en ce sens que :
elles s’opposent à ce que des données relatives à des condamnations pénales d’une personne physique figurant dans un fichier tenu par une juridiction puissent être communiquées oralement à toute personne aux fins de garantir un accès du public à des documents officiels, sans que la personne demandant la communication ait à justifier d’un intérêt spécifique à obtenir lesdites données, la circonstance que cette personne soit une société commerciale ou un particulier n’ayant pas d’incidence à cet
égard.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : le finnois.
