CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:T:2019:96

ARRÊT DU TRIBUNAL (neuvième chambre élargie)

14 février 2019 (*)

« Données à caractère personnel – Protection des personnes physiques à l’égard du traitement de ces données – Droit d’accès à ces données – Règlement (CE) no 45/2001 – Refus d’accès – Recours en annulation – Courrier renvoyant à un précédent refus partiel d’accès sans procéder à un réexamen – Notion d’acte attaquable au sens de l’article 263 TFUE – Notion d’acte purement confirmatif – Applicabilité en matière d’accès à des données à caractère personnel – Faits nouveaux et substantiels – Intérêt à agir – Recevabilité – Obligation de motivation »

Dans l’affaire T‑903/16,

RE, représenté par M^e S. Pappas, avocat,

partie requérante,

contre

Commission européenne, représentée par MM. H. Kranenborg et D. Nardi, en qualité d’agents,

partie défenderesse,

ayant pour objet une demande fondée sur l’article 263 TFUE et tendant à l’annulation de la note du directeur de la direction de la sécurité de la direction générale des ressources humaines et de la sécurité de la Commission du 12 octobre 2016 en tant qu’elle rejette la demande du requérant sollicitant l’accès à certaines de ses données à caractère personnel,

LE TRIBUNAL (neuvième chambre élargie),

composé de MM. S. Gervasoni, président, L. Madise et R. da Silva Passos, M^me K. Kowalik‑Bańczyk (rapporteur) et M. C. Mac Eochaidh, juges,

greffier : M^me N. Schall, administrateur,

vu la phase écrite de la procédure et à la suite de l’audience du 20 septembre 2018,

rend le présent

Arrêt

Antécédents du litige

1 Le requérant, RE, exerce les fonctions de [confidentiel] (1) au sein de la direction générale de la coopération internationale et du développement de la Commission européenne.

2 Le requérant a fait l’objet d’une enquête administrative (ci-après l’« enquête administrative ») mise en œuvre par la direction de la sécurité de la direction générale des ressources humaines et de la sécurité de la Commission (ci-après la « direction de la sécurité »). Cette enquête portait sur la participation supposée du requérant à des activités de services secrets et, en particulier, sur son comportement au cours d’un conflit ayant opposé deux États tiers, le requérant étant suspecté d’avoir été, à cette occasion, trop proche de l’un de ces États et de lui avoir communiqué, sans y avoir été autorisé, certaines informations confidentielles.

3 Par courrier électronique du 5 décembre 2013, le requérant a demandé à la direction de la sécurité, sur le fondement de l’article 13 du règlement (CE) n^o 45/2001 du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO 2001, L 8, p. 1), de lui fournir l’ensemble des informations et des données à caractère personnel et professionnel le concernant détenues par cette direction.

4 Par note du 25 février 2014, le directeur de la direction de la sécurité, après avoir relevé que certains documents avaient déjà été remis au requérant le 27 novembre 2013, lui a refusé l’accès aux autres données à caractère personnel le concernant au motif que ces données étaient couvertes par les exceptions et les limitations prévues par l’article 20, paragraphe 1, sous a) à d), du règlement n^o 45/2001.

5 Estimant que ce refus d’accès méconnaissait l’article 13 et l’article 20, paragraphe 1, du règlement n^o 45/2001, le requérant a saisi, par courrier du 18 avril 2014, le Contrôleur européen de la protection des données (CEPD) d’une réclamation sur le fondement de l’article 32, paragraphe 2, du règlement n^o 45/2001.

6 Par décision du 26 février 2016, le CEPD a conclu que, compte tenu de la façon dont la direction de la sécurité avait appliqué les exceptions prévues à l’article 20, paragraphe 1, du règlement n^o 45/2001, cette direction n’avait pas traité correctement certaines des données à caractère personnel du requérant.

7 À la suite de la décision du CEPD, la direction de la sécurité a réexaminé la demande du requérant tendant à accéder à ses données à caractère personnel.

8 À l’issue de ce réexamen, par décision du 8 mars 2016 (ci-après la « décision du 8 mars 2016 »), le directeur de la direction de la sécurité a partiellement fait droit à la demande du requérant en lui donnant accès à certaines de ses données à caractère personnel et en lui communiquant, en outre, huit documents (documents n^os 44, 59 à 62, 67, 69 et 71). Cette décision comportait, en annexe, un tableau identifiant 71 documents en la possession de la direction de la sécurité et décrivant, pour chacun de ces documents, sa date, son objet, le type de données à caractère personnel qu’il contenait, une brève description du contenu de ces données, la source de celles-ci ainsi que, pour 35 des 71 documents (documents n^os 1, 6 à 9, 11, 12, 14 à 16, 18, 20, 21, 27, 28, 31, 32, 35, 36, 41, 42, 45, 46, 48 à 52, 54 à 57, 66, 68 et 70), la ou les raisons pour lesquelles certaines desdites données ne pouvaient pas être divulguées en application de l’article 20, paragraphe 1, sous a) et c), du règlement n^o 45/2001. Parmi ces documents figurait, sous le n^o 57, une « note concernant le recrutement [du requérant] en tant que [confidentiel] à la [direction générale de la coopération internationale et du développement de la Commission] » en date du 23 janvier 2012 (ci-après le « document n^o 57 »).

9 Par courrier électronique du 29 avril 2016 adressé à la direction de la sécurité, le requérant a pris acte des éléments de réponse apportés par la décision du 8 mars 2016 et a fait part de son souhait d’accéder à « un nombre limité de documents [parmi ceux énumérés dans le tableau annexé à cette décision] ». À cette occasion, le requérant a également demandé à être informé de la date à laquelle l’enquête administrative serait close.

10 Parallèlement, le requérant a saisi le CEPD d’une nouvelle réclamation en date du 5 juillet 2016, en arguant que la direction de la sécurité ne se serait toujours pas conformée, dans la décision du 8 mars 2016, à la décision du CEPD du 26 février 2016 statuant sur sa précédente réclamation.

11 Par décision du 25 juillet 2016 (ci-après la « décision du CEPD du 25 juillet 2016 »), le CEPD a estimé que, dans la décision du 8 mars 2016, la direction de la sécurité avait entièrement mis en œuvre les recommandations qu’il avait formulées dans sa décision du 26 février 2016 et, partant, a conclu à l’absence de violation, par la décision du 8 mars 2016, de l’article 13 et de l’article 20, paragraphe 1, du règlement n^o 45/2001.

12 Le 14 septembre 2016, la direction de la sécurité a répondu au courrier électronique du requérant du 29 avril 2016. S’estimant saisie d’une demande d’accès aux documents présentée sur le fondement du règlement (CE)n^o 1049/2001 du Parlement européen et du Conseil, du 30 mai 2001, relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO 2001, L 145, p. 43), la direction de la sécurité a invité le requérant, sur le fondement de l’article 6, paragraphe 2, dudit règlement, à clarifier sa demande de façon à ce qu’elle puisse identifier les documents auxquels il souhaitait accéder. Par ailleurs, elle a informé le requérant que l’enquête administrative avait été clôturée le 31 août 2016.

13 Par courrier du 21 septembre 2016 adressé à la direction de la sécurité (ci-après la « demande du 21 septembre 2016 »), le requérant a sollicité l’accès à 42 des 71 documents identifiés dans la décision du 8 mars 2016 (documents n^os 1 à 5, 8, 11, 13, 14, 19, 21 à 30, 33, 34, 37 à 43, 47 à 53, 56 à 58 et 63 à 65) ou, à tout le moins, aux « informations » contenues dans ces documents en se prévalant, d’une part, de l’article 13 du règlement n^o 45/2001 et, d’autre part, de l’article 6 du règlement n^o 1049/2001. À cette occasion, le requérant a réparti les documents et les informations auxquels il demandait accès en quatre groupes, désignés par les parties comme les groupes A (documents n^os 2 à 5, 13, 19, 22 à 26, 29, 30, 33, 34, 37 à 40, 43, 47, 53, 56, 58 et 63), B (documents n^os 8, 11, 41, 42, 48, 49 et 51), C (documents n^os 48, 49 et 51, déjà inclus dans le groupe B) et D (documents n^os 1, 14, 21, 27, 28, 50, 52 et 57), et a précisé, pour chacun de ces groupes, les raisons justifiant, selon lui, qu’il soit fait droit à sa demande.

14 Le 12 octobre 2016, le directeur de la direction de la sécurité a répondu à la demande du 21 septembre 2016 par une note (ci-après la « note attaquée »), rédigée comme suit :

« 1. Dans votre [demande] du 21 [septembre] 2016, vous faites référence à l’article 13 du règlement n^o 45/2001 afin de solliciter l’accès à un certain nombre de documents. [À cet égard], je [vous] renvoie à [la] décision [du 8 mars] 2016 […]

En outre, je [vous] renvoie à la décision du [CEPD] du 25 juillet 2016, laquelle énonce clairement que le CEPD ne dispose pas d’élément indiquant que la direction de la sécurité aurait violé votre droit d’accès à vos données à caractère personnel. Dès lors, je considère que la direction de la sécurité a [correctement] traité votre demande d’accès à vos données à caractère personnel.

2. Dans votre [demande du 21 septembre 2016], vous mentionnez également le règlement n^o 1049/2001 […] et demandez à accéder à des documents spécifiques de [votre] dossier mentionnés dans [le tableau annexé à la décision du 8 mars 2016]. À cet égard, je souhaiterais attirer votre attention sur le fait que les documents qui vous [seraient] communiqués sur le fondement de ce règlement deviendraient accessibles à toute autre personne qui en ferait la demande à l’avenir et, partant, deviendraient de facto publics, le cas échéant sous une forme simplement expurgée de vos données à caractère personnel.

Veuillez noter que, au vu de ce qui précède, votre demande d’accès aux documents sera clôturée. Si [cette] demande est effectuée à des fins personnelles, je vous prie de bien vouloir le confirmer en nous communiquant vos adresses électronique et postale personnelles. »

Procédure et conclusions des parties

15 Par requête déposée au greffe du Tribunal le 19 décembre 2016, le requérant a introduit le présent recours.

16 Par acte séparé, déposé le même jour au greffe du Tribunal, le requérant a demandé le bénéfice de l’anonymat. Par décision du 18 janvier 2017, le Tribunal a fait droit à cette demande.

17 Par acte séparé, déposé au greffe du Tribunal le 5 avril 2017, la Commission a soulevé une exception d’irrecevabilité au titre de l’article 130, paragraphe 1, du règlement de procédure du Tribunal.

18 Le 22 mai 2017, le requérant a déposé au greffe du Tribunal ses observations sur l’exception d’irrecevabilité.

19 Par ordonnance du 18 octobre 2017, le Tribunal a décidé de joindre au fond l’exception d’irrecevabilité soulevée par la Commission.

20 Par mesure d’organisation de la procédure, adoptée sur le fondement de l’article 89, paragraphe 3, sous a) et b), du règlement de procédure, le Tribunal a adressé aux parties des questions écrites pour réponse écrite.

21 Les parties ont déféré à cette demande dans le délai imparti.

22 La Commission a déposé le mémoire en défense au greffe du Tribunal le 19 décembre 2017.

23 Par mesures d’organisation de la procédure, adoptées sur le fondement de l’article 89, paragraphe 3, sous a) et b), du règlement de procédure, le Tribunal a posé aux parties des questions écrites pour réponse à l’audience.

24 Le requérant conclut à ce qu’il plaise au Tribunal :

– rejeter l’exception d’irrecevabilité ;

– annuler la note attaquée en tant qu’elle rejette sa demande d’accès à certaines de ses données à caractère personnel ;

– condamner la Commission à lui verser une somme de 10 000 euros en réparation du préjudice moral subi par lui en raison du refus de la direction de la sécurité de lui donner accès à ses données à caractère personnel ;

– condamner la Commission à lui verser une somme de 30 000 euros en réparation du préjudice moral subi par lui en raison du traitement et de la diffusion illicites de ses données à caractère personnel par la direction de la sécurité ;

– condamner la Commission aux dépens.

25 La Commission conclut à ce qu’il plaise au Tribunal :

– rejeter le recours comme irrecevable ou, à défaut, non fondé ;

– condamner le requérant aux dépens.

26 Le requérant demande également au Tribunal, à titre de mesure d’instruction, d’ordonner à la Commission de produire le document n^o 57 en application de l’article 91, sous c), du règlement de procédure ou, à défaut, de l’article 104 de ce règlement.

27 Lors de l’audience, le requérant s’est désisté de ses conclusions tendant à la réparation des deux préjudices moraux qu’il prétendait avoir subis. Il a également précisé et limité la portée de ses conclusions en annulation en indiquant que celles-ci n’avaient pas pour objet de contester un refus d’accès à des données à caractère personnel contenues dans des documents mentionnés dans la requête mais non évoqués dans la demande du 21 septembre 2016. La Commission n’ayant pas formulé d’observations sur ce désistement et sur cette précision, il en a été pris acte dans le procès-verbal de l’audience.

En droit

Sur les conclusions en annulation

28 Il convient d’examiner, dans un premier temps, si les conclusions en annulation sont recevables et, le cas échéant, dans un second temps, si ces conclusions sont fondées.

Sur la recevabilité des conclusions en annulation

29 La Commission soulève trois fins de non-recevoir. Premièrement, la note attaquée n’aurait pas statué sur le droit du requérant à accéder à ses données à caractère personnel. Deuxièmement, cette note constituerait, en tout état de cause, un acte purement confirmatif. Troisièmement, le requérant n’aurait pas un réel intérêt à agir contre ladite note.

– Sur l’objet de la note attaquée et l’existence d’un refus d’accès aux données à caractère personnel

30 La Commission soutient que la demande du 21 septembre 2016 portait exclusivement sur l’accès à des documents sur le fondement du règlement n^o 1049/2001. Il s’ensuivrait que, dans la note attaquée, la direction de la sécurité n’aurait pas statué sur le droit du requérant à accéder à ses données à caractère personnel sur le fondement du règlement n^o 45/2001.

31 Le requérant conteste l’argumentation de la Commission. Il fait valoir que la demande du 21 septembre 2016 contenait à la fois une demande d’accès à des documents et une demande d’accès à des données à caractère personnel.

32 À titre liminaire, il convient de rappeler que les règlements n^o 1049/2001 et n^o 45/2001 ont des objectifs différents. Le premier vise à assurer la plus grande transparence possible du processus décisionnel des autorités publiques ainsi que des informations qui fondent leurs décisions. Il vise donc à faciliter au maximum l’exercice du droit d’accès aux documents ainsi qu’à promouvoir de bonnes pratiques administratives. Le second vise à assurer la protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, lors du traitement de données à caractère personnel (arrêt du 29 juin 2010, Commission/Bavarian Lager, C‑28/08 P, EU:C:2010:378, point 49). Il s’ensuit que, contrairement au règlement n^o 1049/2001, le règlement n^o 45/2001 ne vise pas à faciliter l’exercice du droit d’accès aux documents (voir, en ce sens, arrêt du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 47).

33 Dans ce contexte, les droits d’accès respectivement prévus par ces deux règlements n’ont ni le même objet ni les mêmes bénéficiaires. En effet, l’article 2 du règlement n^o 1049/2001 vise à permettre au public, c’est-à-dire à tout citoyen et à toute personne physique ou morale, d’accéder aux documents détenus par les institutions. L’article 13 du règlement n^o 45/2001 vise, quant à lui, à permettre l’accès, par les seules personnes concernées, à leurs données à caractère personnel, c’est-à-dire à des informations les concernant en tant que personnes identifiées ou identifiables, sans prévoir que lesdites personnes puissent, à ce titre, également accéder aux documents contenant lesdites données. À cet égard, il convient de noter que l’article 13, sous c), du règlement n^o 45/2001 prévoit seulement que la personne concernée a le droit d’obtenir « la communication, sous une forme intelligible, des données faisant l’objet des traitements ».

34 En l’espèce, il y a lieu de constater, en premier lieu, que la note attaquée présente un caractère négatif dans la mesure où elle répond à la demande du 21 septembre 2016 et où il est constant qu’elle n’a donné au requérant accès ni à ses données à caractère personnel ni aux documents contenant ces données.

35 Or, lorsqu’une décision revêt un caractère négatif, elle doit être appréciée en fonction de la nature de la demande à laquelle elle constitue une réponse (arrêts du 8 mars 1972, Nordgetreide/Commission, 42/71, EU:C:1972:16, point 5, et du 24 novembre 1992, Buckl e.a./Commission, C‑15/91 et C‑108/91, EU:C:1992:454, point 22). Dès lors, l’objet de la note attaquée doit être apprécié au regard, notamment, du contenu de la demande du 21 septembre 2016.

36 À cet égard, il y a lieu de relever, d’abord, que la demande du 21 septembre 2016 est intitulée « Données à caractère personnel ».

37 Ensuite, la demande du 21 septembre 2016 mentionne non seulement le règlement n^o 1049/2001, mais également le règlement n^o 45/2001. En effet, d’une part, cette demande est expressément présentée sur le double fondement de l’article 6 du règlement n^o 1049/2001 et de l’article 13 du règlement n^o 45/2001. D’autre part, cette demande comporte, pour chacun des quatre groupes de documents mentionnés au point 13 ci-dessus, une argumentation au regard des exceptions ou des limitations prévues par l’article 20, paragraphe 1, du règlement n^o 45/2001.

38 Enfin, à plusieurs reprises dans sa demande du 21 septembre 2016, le requérant se réfère tant à des documents qu’aux « informations » contenues dans ces documents. Ainsi, il déclare, d’emblée et de façon globale, vouloir accéder à certains documents ou, à tout le moins, aux informations contenues dans ceux-ci. De plus, le requérant renouvelle expressément cette demande d’accès en ce qui concerne les informations contenues dans les documents du groupe D. En outre, s’agissant des documents du groupe C, il conteste le fait que la communication de ces documents ou des informations qu’ils contiennent puisse porter atteinte aux outils et aux méthodes d’enquête de la direction de la sécurité. Enfin, le requérant mentionne les informations transférées ou compilées dans les documents du groupe A, en précisant que ces documents le concernent personnellement et directement.

39 Au vu de ces éléments, il apparaît que la demande du 21 septembre 2016 comportait, outre une demande d’accès à des documents, une demande d’accès aux données à caractère personnel concernant le requérant contenues dans ces documents.

40 En second lieu, il convient de relever que, dans la note attaquée, le directeur de la direction de la sécurité a évoqué la « demande [du requérant] d’accès à [ses] données à caractère personnel ». Il a également précisé, en s’appuyant sur la décision du CEPD du 25 juillet 2016, qu’il considérait que la direction de la sécurité avait « [correctement] traité [cette] demande ». Ainsi, la direction de la sécurité a elle-même choisi d’évoquer dans la note attaquée non seulement la question de l’accès aux documents en cause, mais également celle de l’accès aux données à caractère personnel contenues dans lesdits documents, et ce en insistant sur l’absence de violation, par la décision du 8 mars 2016, du droit du requérant d’accéder auxdites données.

41 Par ailleurs, il n’est ni établi ni même allégué par la Commission que la direction de la sécurité a, à un quelconque autre moment, répondu, par écrit ou oralement, de façon explicite ou implicite, à la demande du 21 septembre 2016 en tant qu’elle tendait à l’accès à des données à caractère personnel.

42 Dans ces conditions, la Commission doit être regardée comme ayant statué dans la note attaquée sur une demande du requérant tendant à lui donner accès à certaines de ses données à caractère personnel. Il s’ensuit que cette note, qui ne fait pas droit à cette demande, doit être analysée comme un refus d’accès auxdites données.

– Sur le caractère purement confirmatif de la note attaquée

43 La Commission soutient que, même en admettant que, dans la note attaquée, la direction de la sécurité ait statué en matière d’accès à des données à caractère personnel, cette note serait, en tout état de cause, un acte purement confirmatif de la décision du 8 mars 2016, laquelle n’aurait pas été contestée par le requérant dans le délai de recours contentieux.

44 Le requérant conteste l’argumentation de la Commission. Il fait valoir que la clôture, le 31 août 2016, de l’enquête administrative et la présentation, le 21 septembre 2016, d’une demande sollicitant l’accès, sous une forme expurgée, à ses données à caractère personnel constituaient des faits nouveaux et substantiels obligeant la direction de la sécurité à réexaminer le bien-fondé de la décision du 8 mars 2016.

45 En premier lieu, l’argumentation de la Commission soulève la question de savoir si la jurisprudence selon laquelle un recours dirigé contre un acte purement confirmatif d’une précédente décision est irrecevable s’il n’a pas été introduit dans le délai requis à l’encontre de celle-ci (arrêt du 17 mai 2017, Portugal/Commission, C‑337/16 P, EU:C:2017:381, point 51) s’applique aux décisions adoptées par une institution en réponse à une demande d’accès à des données à caractère personnel présentée sur le fondement de l’article 13 du règlement n^o 45/2001.

46 À cet égard, il y a lieu de rappeler, d’une part, que l’article 13, sous c), du règlement n^o 45/2001 dispose que « la personne concernée a le droit d’obtenir, sans contrainte, à tout moment, dans un délai de trois mois à partir de la réception de la demande d’information et gratuitement, […] la communication, sous une forme intelligible, des données faisant l’objet des traitements […] ». Il résulte de cette disposition, qui permet à la personne concernée d’accéder « à tout moment » à ses données à caractère personnel, que cette personne dispose d’un droit d’accès continu et permanent auxdites données.

47 D’autre part, si l’article 20, paragraphe 1, du règlement n^o 45/2001 prévoit des exceptions et des limitations au droit de la personne concernée d’accéder à ses données à caractère personnel, cette disposition précise que les institutions ne peuvent limiter l’application de l’article 13 du même règlement que « pour autant qu’une telle limitation constitue une mesure nécessaire ». Il en résulte que les exceptions et les limitations visées à l’article 20, paragraphe 1, dudit règlement ne sauraient s’appliquer qu’au cours de la période durant laquelle elles demeurent nécessaires.

48 Par ailleurs, il convient de souligner que la protection des données à caractère personnel, résultant de l’obligation explicite prévue à l’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, revêt une importance particulière pour le droit au respect de la vie privée consacré à l’article 7 de celle-ci (arrêt du 8 avril 2014, Digital Rights Ireland e.a., C‑293/12 et C‑594/12, EU:C:2014:238, point 53).

49 Ainsi, la Cour a privilégié une interprétation du droit de l’Union européenne favorable à un niveau élevé de protection des données à caractère personnel. Elle a notamment pris en compte le fait que, dans le domaine du traitement des données à caractère personnel, la situation factuelle et juridique de la personne concernée est, par nature, évolutive, le simple écoulement du temps étant susceptible de rendre inutile, voire illicite, un traitement qui ne l’était pas auparavant (voir, en ce sens et par analogie, arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, points 92 et 93).

50 Il s’ensuit que, dans le cadre du règlement n^o 45/2001, une personne peut, à tout moment, former une nouvelle demande d’accès portant sur des données à caractère personnel auxquelles l’accès lui a été précédemment refusé. Une telle demande oblige l’institution concernée à examiner si le refus d’accès antérieur demeure justifié.

51 Dès lors, un nouvel examen tendant à vérifier qu’un refus d’accès à des données à caractère personnel antérieurement adopté demeure justifié au regard des articles 13 et 20 du règlement n^o 45/2001 conduit à l’adoption d’un acte qui n’est pas purement confirmatif de l’acte antérieur, mais constitue un acte pouvant faire l’objet d’un recours en annulation au titre de l’article 263 TFUE.

52 En l’espèce, la Commission a été saisie par le requérant le 21 septembre 2016 d’une demande d’accès à ses données à caractère personnel figurant dans différents documents. Il résulte du point 50 ci-dessus que la Commission était tenue d’examiner cette demande. Ainsi qu’il a été relevé au point 42 ci-dessus, la Commission doit être regardée comme ayant statué sur cette demande et refusé d’y faire droit dans la note attaquée. Dans ces conditions, eu égard au principe énoncé au point 51 ci-dessus, cette note constitue un acte attaquable indépendamment du fait qu’un précédent refus partiel d’accès auxdites données avait déjà été opposé au requérant dans la décision du 8 mars 2016. Partant, la Commission ne saurait utilement se prévaloir du caractère purement confirmatif de la note attaquée.

53 En second lieu, à supposer même que la jurisprudence mentionnée au point 45 ci-dessus soit applicable en l’espèce, il y a lieu de rappeler qu’un acte ne peut être qualifié de purement confirmatif d’une décision antérieure que s’il ne contient aucun élément nouveau par rapport à cette dernière (arrêts du 10 décembre 1980, Grasselli/Commission, 23/80, EU:C:1980:284, point 18, et du 31 mai 2017, DEI/Commission, C‑228/16 P, EU:C:2017:409, point 33). De plus, l’existence de faits nouveaux et substantiels peut justifier la présentation d’une demande tendant au réexamen d’une décision antérieure devenue définitive (voir arrêt du 7 février 2001, Inpesca/Commission, T‑186/98, EU:T:2001:42, point 47 et jurisprudence citée). Aussi un recours introduit contre une décision refusant de procéder à un réexamen d’une décision devenue définitive sera-t-il déclaré recevable s’il apparaît qu’il existe des faits nouveaux et substantiels (voir, en ce sens, arrêt du 7 février 2001, Inpesca/Commission, T‑186/98, EU:T:2001:42, point 49). Des faits doivent être qualifiés de « nouveaux et substantiels » lorsque, d’une part, ni la partie requérante ni l’administration n’ont ou ne sont en mesure d’avoir connaissance du fait concerné au moment de l’adoption de la décision antérieure et, d’autre part, le fait concerné est susceptible de modifier de façon substantielle la situation de la partie requérante par rapport à celle ayant donné lieu à la décision antérieure devenue définitive (voir, en ce sens, arrêt du 7 février 2001, Inpesca/Commission, T‑186/98, EU:T:2001:42, points 50 et 51).

54 En l’espèce, pour établir l’existence de faits nouveaux et substantiels, le requérant invoque, notamment, la circonstance que l’enquête administrative a été clôturée le 31 août 2016.

55 La Commission objecte que, dans sa demande du 21 septembre 2016, le requérant s’est borné à remercier la direction de la sécurité de l’avoir informé, le 14 septembre 2016, de la clôture de l’enquête administrative et qu’il n’a pas fait valoir, à cette occasion, que ladite clôture constituait un fait nouveau et substantiel de nature à justifier le réexamen de la décision du 8 mars 2016.

56 À cet égard, il y a lieu de rappeler qu’aucune disposition du règlement n^o 45/2001, et notamment pas son article 13 qui consacre un droit d’accès « sans contrainte », n’impose à la personne concernée de motiver ou de justifier sa demande d’accès à ses données à caractère personnel. Il s’ensuit que, en matière d’accès aux données à caractère personnel, une partie requérante peut se prévaloir, devant le Tribunal, de l’existence, à la date de l’acte attaqué, de faits nouveaux et substantiels justifiant un nouvel examen alors même qu’il aurait omis de les mentionner dans sa demande.

57 Dans ces conditions et alors que la Commission avait déjà connaissance de la clôture de l’enquête administrative au moment où elle a été saisie de la demande du 21 septembre 2016, le requérant peut utilement se prévaloir devant le Tribunal de la clôture de l’enquête administrative aux fins d’établir l’existence d’un fait nouveau et substantiel.

58 Or, il convient de relever, d’une part, que cet événement est intervenu postérieurement à la décision du 8 mars 2016, de telle sorte qu’il présente un caractère nouveau au sens de la jurisprudence citée au point 53 ci-dessus.

59 D’autre part, cet événement présente également un caractère substantiel, au sens de cette même jurisprudence. En effet, il convient de rappeler que, pour refuser au requérant, dans la décision du 8 mars 2016, l’accès à certaines de ses données à caractère personnel, la direction de la sécurité a invoqué, selon les données en cause, d’une part, l’exception prévue par l’article 20, paragraphe 1, sous a), du règlement n^o 45/2001, laquelle vise à « assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales », et, d’autre part, l’exception prévue par l’article 20, paragraphe 1, sous c), du même règlement, laquelle vise, notamment, à « garantir la protection […] des droits et libertés d’autrui ». S’agissant de l’exception prévue par l’article 20, paragraphe 1, sous a), du règlement n^o 45/2001, la direction de la sécurité a indiqué que la divulgation des données en cause révélerait ses outils et ses méthodes d’enquête. S’agissant de l’exception prévue par l’article 20, paragraphe 1, sous c), dudit règlement, elle a précisé que la divulgation des données en cause porterait atteinte aux droits d’autres personnes faisant l’objet de traitement de leurs données à caractère personnel, à savoir les témoins et les informateurs entendus dans le cadre de l’enquête administrative. Ainsi, il apparaît que les motifs fondant le refus partiel d’accès opposé au requérant dans la décision du 8 mars 2016 étaient liés, au moins indirectement, à l’enquête administrative visant le requérant. Par conséquent, il ne peut être exclu que la clôture de cette enquête ait modifié de façon significative la situation du requérant.

60 Cette conclusion ne saurait être remise en cause par l’argumentation de la Commission selon laquelle la nécessité, d’une part, de ne pas compromettre les outils et les méthodes d’enquête utilisés par la direction de la sécurité et, d’autre part, de protéger les témoins et les informateurs perdurerait après la clôture de l’enquête administrative. En effet, cette argumentation tend à subordonner entièrement la recevabilité des conclusions en annulation au bien-fondé du nouveau refus d’accès opposé au requérant. Or, aux fins de constater que la clôture de l’enquête administrative constituait un fait nouveau et substantiel justifiant le réexamen de la situation du requérant, il suffit de relever que cet événement était susceptible d’avoir une incidence sur l’application des exceptions prévues par l’article 20, paragraphe 1, sous a) et c), du règlement n^o 45/2001, sans préjuger de la possibilité ou non d’opposer au requérant, à l’issue de ce réexamen, un nouveau refus d’accès fondé, le cas échéant, sur les mêmes exceptions.

61 Il s’ensuit que la clôture de l’enquête administrative constituait un fait nouveau et substantiel de nature à justifier un nouvel examen du droit du requérant d’accéder à ses données à caractère personnel.

62 Cet examen se justifiait d’autant plus en l’espèce que le requérant avait laissé s’écouler un délai raisonnable avant de saisir la direction de la sécurité d’une nouvelle demande d’accès à ses données à caractère personnel. En effet, la demande du 21 septembre 2016 a été présentée plus de six mois après le refus partiel d’accès opposé au requérant dans la décision du 8 mars 2016.

63 Dans ces conditions, la Commission n’est pas fondée, en tout état de cause, à soutenir que la note attaquée constitue un acte purement confirmatif de la décision du 8 mars 2016.

– Sur l’intérêt à agir du requérant

64 La Commission considère que, dans la mesure où le requérant a déjà eu accès à tout ou partie de ses données à caractère personnel, et notamment à l’intégralité de celles figurant dans les documents du groupe A, et où il cherche en réalité à accéder à des documents, il n’a pas un réel intérêt à agir contre la note attaquée.

65 Si le requérant ne conteste pas spécifiquement l’argumentation de la Commission, il ressort de l’ensemble de ses écrits qu’il estime être privé à tort, par la note attaquée, de l’accès à ses données à caractère personnel.

66 Selon une jurisprudence constante, un recours en annulation intenté par une personne physique ou morale n’est recevable que dans la mesure où cette dernière a un intérêt à voir annuler l’acte attaqué. Un tel intérêt suppose que l’annulation de cet acte soit susceptible, par elle‑même, d’avoir des conséquences juridiques et que le recours puisse ainsi, par son résultat, procurer un bénéfice à la partie qui l’a intenté (arrêts du 17 septembre 2009, Commission/Koninklijke FrieslandCampina, C‑519/07 P, EU:C:2009:556, point 63, et du 17 septembre 2015, Mory e.a./Commission, C‑33/14 P, EU:C:2015:609, point 55).

67 En l’espèce, ainsi que cela a été déjà relevé au point 42 ci-dessus, la Commission doit être regardée comme ayant refusé, par la note attaquée, de donner au requérant accès à l’ensemble des données à caractère personnel mentionnées dans la demande du 21 septembre 2016.

68 Certes, il est vrai que le requérant a déjà eu accès à certaines de ses données à caractère personnel. En effet, dans le tableau annexé à la décision du 8 mars 2016, la Commission lui a communiqué certaines données pour lesquelles elle ne s’est prévalue d’aucune des exceptions et des limitations prévues par l’article 20 du règlement n^o 45/2001. Il en va ainsi, d’une part, de la totalité des données à caractère personnel identifiées par la Commission dans les documents du groupe A, à l’exclusion du document n^o 56, et, d’autre part, d’une partie des données à caractère personnel identifiées par la Commission dans les documents des groupes B, C et D ainsi que du document n^o 56.

69 Cependant, il a déjà été relevé au point 46 ci-dessus que, dans le cadre du règlement n^o 45/2001, la personne concernée dispose d’un droit d’accès continu et permanent à ses données à caractère personnel. Ce droit lui permet notamment de former une demande d’accès à des données à caractère personnel, y compris dans le cas où elle aurait déjà pu accéder à tout ou partie de ces données, afin, par exemple, de s’assurer que l’intégralité des données à caractère personnel détenues par une institution ont effectivement été identifiées puis communiquées ou de savoir si les données en cause sont toujours traitées par l’institution et, le cas échéant, si elles ont été modifiées ou non.

70 Par ailleurs, s’il est vrai que le requérant ne saurait, au moyen d’une demande d’accès à ses données à caractère personnel, accéder aux documents contenant ces données, cette circonstance est, en elle-même, sans incidence sur l’intérêt que présente pour le requérant l’accès auxdites données elles-mêmes.

71 Dans ces conditions, l’annulation de la note attaquée, qui refuse au requérant l’accès à l’ensemble de ses données à caractère personnel contenues dans les documents mentionnés dans la demande du 21 septembre 2016, est susceptible d’avoir des conséquences juridiques pour le requérant et de procurer un bénéfice à ce dernier.

72 Il s’ensuit que les conclusions en annulation sont recevables et que les fins de non-recevoir opposées par la Commission doivent être écartées.

Sur le bien-fondé des conclusions en annulation

73 Au soutien de ses conclusions en annulation, le requérant soutient que la note attaquée ne satisfait pas à l’obligation de motivation prévue à l’article 296 TFUE. En effet, cette note se bornerait à se référer à la décision du 8 mars 2016 et n’exposerait pas les raisons pour lesquelles il ne pourrait pas avoir accès à ses données à caractère personnel. S’agissant des données à caractère personnel figurant dans les documents du groupe A, la décision du 8 mars 2016 n’aurait pas été motivée, de sorte que la note attaquée serait elle aussi entachée d’un défaut de motivation. S’agissant des données à caractère personnel figurant dans les documents des groupes B, C et D, la note attaquée n’expliquerait pas en quoi l’application des exceptions et des limitations prévues par l’article 20, paragraphe 1, sous a) et c), du règlement n^o 45/2001 et opposées dans la décision du 8 mars 2016 demeurerait justifiée postérieurement à la clôture de l’enquête administrative et alors que la direction de la sécurité était saisie d’une nouvelle demande tendant à obtenir accès, sous une forme expurgée, auxdites données.

74 La Commission conteste l’argumentation du requérant. Elle fait valoir, d’une part, qu’aucune motivation particulière n’était exigée en ce qui concerne les données à caractère personnel figurant dans les documents du groupe A, auxquelles le requérant avait déjà eu accès, et, d’autre part, que ce dernier avait été suffisamment informé, dans le tableau annexé à la décision du 8 mars 2016, des raisons pour lesquelles certaines de ses données à caractère personnel figurant dans les documents des groupes B, C et D ne lui avaient pas été divulguées.

75 Il y a lieu de rappeler que, selon une jurisprudence constante, la motivation exigée par l’article 296 TFUE doit être adaptée à la nature de l’acte en cause et doit faire apparaître de façon claire et non équivoque le raisonnement de l’institution, auteur de l’acte, de manière à permettre aux intéressés de connaître les justifications de la mesure prise et à la juridiction compétente d’exercer son contrôle. L’exigence de motivation doit être appréciée en fonction des circonstances de l’espèce, notamment du contenu de l’acte, de la nature des motifs invoqués et de l’intérêt que les destinataires ou d’autres personnes concernées directement et individuellement par l’acte peuvent avoir à recevoir des explications. Il n’est pas exigé que la motivation spécifie tous les éléments de fait et de droit pertinents, dans la mesure où la question de savoir si la motivation d’un acte satisfait aux exigences de l’article 296 TFUE doit être appréciée au regard non seulement de son libellé, mais aussi de son contexte ainsi que de l’ensemble des règles juridiques régissant la matière concernée (arrêts du 2 avril 1998, Commission/Sytraval et Brink’s France, C‑367/95 P, EU:C:1998:154, point 63, et du 1^er juillet 2008, Chronopost et La Poste/UFEX e.a., C‑341/06 P et C‑342/06 P, EU:C:2008:375, point 88).

76 Par ailleurs, il résulte de l’article 20, paragraphe 3, du règlement n^o 45/2001 que, lorsqu’une exception ou limitation prévue à l’article 20, paragraphe 1, du même règlement est opposée à la personne concernée, cette dernière doit être informée des principales raisons fondant l’application de cette exception ou limitation.

77 En l’espèce, force est de constater que la note attaquée – dont les termes sont reproduits au point 14 ci-dessus – est, en elle-même, quasiment dépourvue de toute motivation en fait et en droit. En effet, cette note ne contient aucune motivation propre. Elle ne précise pas pour quelles raisons le requérant ne peut être autorisé à accéder aux données à caractère personnel mentionnées dans la demande du 21 septembre 2016. En réalité, la note attaquée se borne à renvoyer à la décision du 8 mars 2016 ainsi qu’à la décision du CEPD du 25 juillet 2016 concluant à l’absence de violation du droit du requérant d’accéder à ses données à caractère personnel. Dans cette note, il est simplement affirmé, au vu de la conclusion à laquelle est parvenu le CEPD et sans autre explication, que la demande d’accès a été « [correctement] traitée ».

78 Cependant, une motivation par référence peut, dans certains cas, être admise (voir, en ce sens, arrêt du 19 novembre 1998, Parlement/Gaspari, C‑316/97 P, EU:C:1998:558, point 27). En particulier, la jurisprudence admet une motivation par référence à une décision antérieure [voir, en ce sens, arrêts du 12 mai 2016, Zuffa/EUIPO (ULTIMATE FIGHTING CHAMPIONSHIP), T‑590/14, non publié, EU:T:2016:295, point 43, et du 5 février 2018, Edeka-Handelsgesellschaft Hessenring/Commission, T‑611/15, EU:T:2018:63, points 32 à 38].

79 Il y a donc lieu d’apprécier si la référence à la décision du 8 mars 2016 et à la décision du CEPD du 25 juillet 2016 constitue une motivation suffisante de la note attaquée.

80 À cet égard, il convient de relever, en premier lieu, que, s’agissant des données à caractère personnel figurant dans les documents du groupe A (à l’exception du document n^o 56), le tableau annexé à la décision du 8 mars 2016, qui faisait entièrement droit à la demande d’accès – du moins en ce qui concerne les données à caractère personnel identifiées par la Commission dans les documents en cause –, ne comportait aucun motif de refus d’accès. Par conséquent, le renvoi à la décision du 8 mars 2016 ne saurait constituer une motivation du refus d’accès à l’ensemble des données à caractère personnel contenues dans les documents du groupe A opposé, pour la première fois, au requérant dans la note attaquée.

81 En second lieu, s’agissant des données à caractère personnel figurant dans les documents des groupes B, C et D, il importe de rappeler que, comme cela a été relevé aux points 52 et 61 ci-dessus, la Commission était tenue d’examiner si le refus d’accès opposé au requérant dans la décision du 8 mars 2016 demeurait justifié. À cette fin, il lui incombait notamment de vérifier, pour l’ensemble des données à caractère personnel en cause, que l’application des exceptions et des limitations prévues par l’article 20, paragraphe 1, sous a) et c), du règlement n^o 45/2001 et opposées dans la décision du 8 mars 2016 demeurait justifiée au regard d’une éventuelle modification de la situation de droit ou de fait. En particulier, la Commission était tenue de prendre en compte les circonstances que l’enquête administrative avait entre-temps été clôturée et qu’un délai de plus de six mois s’était écoulé.

82 Or, d’une part, force est de constater que la note attaquée ne comporte aucun élément de motivation relatif à un réexamen concret et détaillé du droit du requérant d’accéder à ses données à caractère personnel. Elle ne contient pas davantage d’éléments de motivation relatifs à l’incidence éventuelle des circonstances mentionnées au point 81 ci-dessus. D’autre part, le simple renvoi à la décision du 8 mars 2016 et à la décision du CEPD du 25 juillet 2016 ne saurait, à l’évidence, constituer une motivation adéquate et suffisante, un nouveau refus pris après réexamen ne pouvant, par définition, être exclusivement fondé sur des motifs exposés dans des décisions antérieures à ce réexamen. Par conséquent, le renvoi à ces deux décisions ne satisfait pas à l’obligation de motivation en ce qui concerne le refus d’accès aux données à caractère personnel contenues dans les documents des groupes B, C et D opposé, une nouvelle fois, au requérant dans la note attaquée.

83 Il s’ensuit que le moyen tiré de la violation de l’obligation de motivation doit être accueilli.

84 Partant, la note attaquée, en tant qu’elle rejette la demande du requérant d’accéder à certaines de ses données à caractère personnel, doit être annulée.

Sur la mesure d’instruction sollicitée par le requérant

85 Le requérant conclut à ce qu’il soit ordonné à la Commission de produire le document n^o 57.

86 Toutefois, la mesure d’instruction sollicitée est liée aux conclusions en indemnité, ainsi que le requérant l’a reconnu lors de l’audience. Dans la mesure où ce dernier s’est désisté desdites demandes et où il a été pris acte de ce désistement (point 27 ci-dessus), la production du document n^o 57 ne présente aucune utilité dans le présent litige.

87 Partant, il n’y a pas lieu de faire droit à la demande de mesure d’instruction formulée par le requérant.

Sur les dépens

88 Aux termes de l’article 134, paragraphe 1, du règlement de procédure, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens.

89 La Commission ayant succombé en l’essentiel de ses conclusions, il y a lieu de la condamner aux dépens, conformément aux conclusions du requérant et sans qu’il soit besoin de prendre en considération le désistement partiel de ce dernier de ses conclusions indemnitaires.

Par ces motifs,

LE TRIBUNAL (neuvième chambre élargie)

déclare et arrête :

1) La note du directeur de la direction de la sécurité de la direction générale des ressources humaines et de la sécurité de la Commission européenne du 12 octobre 2016, en tant qu’elle rejette la demande du 21 septembre 2016 de RE sollicitant l’accès à certaines de ses données à caractère personnel, est annulée.

2) La Commission est condamnée aux dépens.

Gervasoni

Madise

da Silva Passos

Kowalik-Bańczyk

Mac Eochaidh

Ainsi prononcé en audience publique à Luxembourg, le 14 février 2019.

Signatures

* Langue de procédure : l’anglais.

1 Données confidentielles occultées.