Language of document : ECLI:EU:C:2014:2428

ARRÊT DE LA COUR (quatrième chambre)

11 décembre 2014 (*)

«Renvoi préjudiciel – Directive 95/46/CE – Protection des personnes physiques – Traitement des données à caractère personnel – Notion d’‘exercice d’activités exclusivement personnelles ou domestiques’»

Dans l’affaire C‑212/13,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Nejvyšší správní soud (République tchèque), par décision du 20 mars 2013, parvenue à la Cour le 19 avril 2013, dans la procédure

František Ryneš

contre

Úřad pro ochranu osobních údajů,

LA COUR (quatrième chambre),

composée de M. L. Bay Larsen, président de chambre, Mme K. Jürimäe, MM. J. Malenovský, M. Safjan (rapporteur), et Mme A. Prechal juges,

avocat général: M. N. Jääskinen,

greffier: M. I. Illéssy, administrateur,

vu la procédure écrite et à la suite de l’audience du 20 mars 2014,

considérant les observations présentées:

–        pour M. Ryneš, par Me M. Šalomoun, advokát,

–        pour l’Úřad pro ochranu osobních údajů, par Me I. Němec, advokát, et M. J. Prokeš,

–        pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,

–        pour le gouvernement espagnol, par M. A. Rubio González, en qualité d’agent,

–        pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de M. P. Gentili, avvocato dello Stato,

–        pour le gouvernement autrichien, par MM. A. Posch et G. Kunnert, en qualité d’agents,

–        pour le gouvernement polonais, par M. B. Majczyna, Mmes J. Fałdyga et M. Kamejsza, en qualité d’agents,

–        pour le gouvernement portugais, par M. L. Inez Fernandes et Mme C. Vieira Guerra, en qualité d’agents,

–        pour le gouvernement du Royaume-Uni, par M. L. Christie, en qualité d’agent, assisté de M. J. Holmes, barrister,

–        pour la Commission européenne, par M. B. Martenczuk, Mmes P. Němečková et Z. Malůšková, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 10 juillet 2014,

rend le présent

Arrêt

1        La demande de décision préjudicielle porte sur l’interprétation de l’article 3, paragraphe 2, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31).

2        Cette demande a été présentée dans le cadre d’un litige opposant M. Ryneš à l’Úřad pro ochranu osobních údajů (Office pour la protection des données à caractère personnel, ci-après l’«Úřad») au sujet de la décision par laquelle ce dernier a constaté que M. Ryneš avait commis plusieurs infractions en ce qui concerne la protection des données à caractère personnel.

 Le cadre juridique

 Le droit de l’Union

3        Les considérants 10, 12 et 14 à 16 de la directive 95/46 énoncent:

«(10) [...] l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et dans les principes généraux du droit communautaire; [...] pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté;

[...]

(12)      [...] doit être exclu le traitement de données effectué par une personne physique dans l’exercice d’activités exclusivement personnelles ou domestiques, telles la correspondance et la tenue de répertoires d’adresses;

[...]

(14)      [...] compte tenu de l’importance du développement en cours, dans le cadre de la société de l’information, des techniques pour capter, transmettre, manipuler, enregistrer, conserver ou communiquer les données constituées par des sons et des images, relatives aux personnes physiques, la présente directive est appelée à s’appliquer aux traitements portant sur ces données;

(15)      [...] les traitements portant sur de telles données ne sont couverts par la présente directive que s’ils sont automatisés ou si les données sur lesquelles ils portent sont contenues ou sont destinées à être contenues dans un fichier structuré selon des critères spécifiques relatifs aux personnes, afin de permettre un accès aisé aux données à caractère personnel en cause;

(16)      [...] les traitements des données constituées par des sons et des images, tels que ceux de vidéo-surveillance, ne relèvent pas du champ d’application de la présente directive s’ils sont mis en œuvre à des fins de sécurité publique, de défense, de sûreté de l’État ou pour l’exercice des activités de l’État relatives à des domaines du droit pénal ou pour l’exercice d’autres activités qui ne relèvent pas du champ d’application du droit communautaire».

4        Aux termes de l’article 2 de cette directive:

«Aux fins de la présente directive, on entend par:

a)      ‘données à caractère personnel’: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence [...] à un ou plusieurs éléments spécifiques, propres à son identité physique [...]

b)      ‘traitement de données à caractère personnel’ (traitement): toute opération ou [tout] ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction;

c)      ‘fichier de données à caractère personnel’ (fichier): tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

d)      ‘responsable du traitement’: la personne physique [...] qui, seul[e] ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel [...]»

5        L’article 3 de ladite directive dispose:

«1.      La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2.      La présente directive ne s’applique pas au traitement de données à caractère personnel:

–        mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,

–        effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.»

6        L’article 7 de cette même directive est libellé comme suit:

«Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si:

a)      la personne concernée a indubitablement donné son consentement

ou

[...]

f)      il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1.»

7        L’article 11 de la directive 95/46 prévoit:

«1.      Lorsque les données n’ont pas été collectées auprès de la personne concernée, les États membres prévoient que le responsable du traitement [...] doit, dès l’enregistrement des données [...], fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée:

a)      l’identité du responsable du traitement [...]

b)      les finalités du traitement;

c)      toute information supplémentaire telle que:

–        les catégories de données concernées,

–        les destinataires ou les catégories de destinataires des données,

–        l’existence d’un droit d’accès aux données la concernant et de rectification de ces données,

dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données.

2.      Le paragraphe 1 ne s’applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l’information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ou si la législation prévoit expressément l’enregistrement ou la communication des données. Dans ces cas, les États membres prévoient des garanties appropriées.»

8        L’article 13, paragraphe 1, de cette directive dispose:

«Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l’article [...] 11 paragraphe 1 [...], lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder:

[...]

d)      la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées;

[...]

g)      la protection [...] des droits et libertés d’autrui.»

9        Aux termes de l’article 18, paragraphe 1, de ladite directive:

«Les États membres prévoient que le responsable du traitement [...] doit adresser une notification à l’autorité de contrôle [...] préalablement à la mise en œuvre d’un traitement entièrement ou partiellement automatisé ou d’un ensemble de tels traitements ayant une même finalité ou des finalités liées.»

 Le droit tchèque

10      L’article 3, paragraphe 3, de la loi no 101/2000 Sb. relative à la protection des données à caractère personnel et à la modification de certaines lois (ci-après la «loi no 101/2000») prévoit:

«La présente loi ne s’applique pas au traitement des données à caractère personnel effectué par une personne physique pour un usage exclusivement personnel.»

11      L’article 44, paragraphe 2, de cette loi régit la responsabilité de la personne en charge du traitement des données à caractère personnel, qui commet une infraction lorsqu’elle traite ces données sans le consentement de la personne concernée, lorsqu’elle ne fournit pas à cette dernière les informations pertinentes et lorsqu’elle ne satisfait pas à l’obligation de notification à l’autorité compétente.

12      Conformément à l’article 5, paragraphe 2, de ladite loi, le traitement des données à caractère personnel n’est, en principe, possible qu’avec le consentement de la personne concernée. En l’absence d’un tel consentement, ledit traitement peut avoir lieu s’il s’avère nécessaire à la protection des droits et des intérêts protégés par la loi du responsable du traitement, du destinataire ou d’une autre personne concernée. Ce traitement ne doit, cependant, pas porter atteinte au droit de la personne concernée au respect de sa vie privée et personnelle.

 Le litige au principal et la question préjudicielle

13      Au cours de la période allant du 5 octobre 2007 au 11 avril 2008, M. Ryneš a installé et utilisé un système de caméra situé en dessous de la corniche du toit de la maison de sa famille. Cette caméra était fixe, sans possibilité de rotation, et filmait l’entrée de cette maison, la voie publique ainsi que l’entrée de la maison située en face. Le système permettait uniquement un enregistrement vidéo, qui était stocké dans un dispositif d’enregistrement continu, à savoir le disque dur. Une fois sa capacité atteinte, ce dispositif écrasait l’existant par un nouvel enregistrement. Ledit dispositif d’enregistrement ne comportait pas d’écran, de telle sorte que l’image ne pouvait pas être visualisée en temps réel. Seul M. Ryneš avait un accès direct au système et aux données.

14      La juridiction de renvoi relève que la seule raison de l’exploitation de cette caméra par M. Ryneš était de protéger les biens, la santé et la vie de lui-même ainsi que ceux de sa famille. En effet, tant lui-même que sa famille ont fait l’objet d’attaques pendant plusieurs années de la part d’un inconnu qui n’a pas été démasqué. En outre, dans la maison de sa famille les fenêtres ont été brisées à plusieurs reprises entre l’année 2005 et l’année 2007.

15      Au cours de la nuit du 6 au 7 octobre 2007, une autre attaque a eu lieu. Une fenêtre de la maison en cause a été cassée par un tir de projectile au moyen d’une fronde. Grâce au système de vidéosurveillance en cause, deux suspects ont pu être identifiés. Les enregistrements ont été remis à la police et, par la suite, ont été invoqués dans le cadre de la procédure pénale qui a été ouverte.

16      L’un de ces suspects ayant demandé la vérification de la légalité du système de surveillance de M. Ryneš, l’Úřad a, par décision du 4 août 2008, constaté que ce dernier avait commis des infractions au regard de la loi no 101/2000 du fait que:

–        en tant que responsable du traitement, il a recueilli, au moyen d’un système de caméra, des données à caractère personnel sans le consentement des personnes se déplaçant dans la rue ou entrant dans la maison située de l’autre côté de la rue;

–        les personnes concernées n’ont pas été informées du traitement de ces données à caractère personnel, de l’étendue et des objectifs de ce traitement, de la personne effectuant le traitement et de la manière dont ledit traitement est opéré ni des personnes qui pourraient avoir accès aux données en question, et

–        en tant que responsable du traitement, M. Ryneš n’a pas satisfait à l’exigence de notification du traitement en cause à l’Úřad.

17      Saisi d’un recours formé par M. Ryneš contre cette décision, le Městský soud v Praze (cour municipale de Prague) l’a rejeté par arrêt du 25 avril 2012. M. Ryneš a formé un pourvoi en cassation contre cet arrêt devant la juridiction de renvoi.

18      Dans ces conditions, le Nejvyšší správní soud (Cour administrative suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante:

«L’exploitation d’un système de caméra installé sur une maison familiale afin de protéger les biens, la santé et la vie des propriétaires de la maison peut-elle relever du traitement de données à caractère personnel ‘effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques’, au sens de l’article 3, paragraphe 2, de la directive 95/46[...], même si un tel système surveille également l’espace public?»

 Sur la question préjudicielle

19      Par sa question, la juridiction de renvoi demande, en substance, si l’article 3, paragraphe 2, second tiret, de la directive 95/46 doit être interprété en ce sens que l’exploitation d’un système de caméra, donnant lieu à un enregistrement vidéo des personnes stocké dans un dispositif d’enregistrement continu tel qu’un disque dur, installé par une personne physique sur sa maison familiale afin de protéger les biens, la santé et la vie des propriétaires de la maison, ce système surveillant également l’espace public, constitue un traitement des données effectué pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de cette disposition.

20      Il convient de rappeler que, conformément à l’article 3, paragraphe 1, de cette directive, celle-ci s’applique «au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier».

21      La notion de «données à caractère personnel» qui figure à cette disposition englobe, conformément à la définition figurant à l’article 2, sous a), de la directive 95/46, «toute information concernant une personne physique identifiée ou identifiable». Est réputée identifiable «une personne qui peut être identifiée, directement ou indirectement, notamment par référence [...] à un ou plusieurs éléments spécifiques, propres à son identité physique».

22      Dès lors, l’image d’une personne enregistrée par une caméra constitue une donnée à caractère personnel au sens de la disposition visée au point précédent dans la mesure où elle permet d’identifier la personne concernée.

23      S’agissant de la notion de «traitement de données à caractère personnel», il convient de relever qu’elle est définie à l’article 2, sous b), de la directive 95/46 en tant que «toute opération ou [tout] ensemble d’opérations [...] appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, [...] la conservation».

24      Ainsi qu’il ressort notamment des considérants 15 et 16 de la directive 95/46, la vidéosurveillance relève, en principe, du champ d’application de cette directive dans la mesure où elle constitue un traitement automatisé.

25      Or, une surveillance effectuée par un enregistrement vidéo des personnes, comme dans l’affaire au principal, stocké dans un dispositif d’enregistrement continu, à savoir le disque dur, constitue, conformément à l’article 3, paragraphe 1, de la directive 95/46, un traitement de données à caractère personnel automatisé.

26      La juridiction de renvoi s’interroge sur le point de savoir si un tel traitement n’est pas, dans une situation telle que celle en cause au principal, néanmoins soustrait à l’application de cette directive en tant qu’il serait effectué «pour l’exercice d’activités exclusivement personnelles ou domestiques», au sens de l’article 3, paragraphe 2, second tiret, de ladite directive.

27      Ainsi qu’il résulte de l’article 1er et du considérant 10 de la directive 95/46, celle-ci vise à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel (voir arrêt Google Spain et Google, C‑131/12, EU:C:2014:317, point 66).

28      À cet égard, il importe de relever que, conformément à une jurisprudence constante, la protection du droit fondamental à la vie privée, garanti par l’article 7 de la charte des droits fondamentaux de l’Union européenne, exige que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci doivent s’opérer dans les limites du strict nécessaire (voir arrêts IPI, C‑473/12, EU:C:2013:715, point 39, ainsi que Digital Rights Ireland e.a., C‑293/12 et C‑594/12, EU:C:2014:238, point 52).

29      Dans la mesure où les dispositions de la directive 95/46, en ce qu’elles régissent le traitement de données à caractère personnel susceptible de porter atteinte aux libertés fondamentales et, en particulier, au droit à la vie privée, doivent nécessairement être interprétées à la lumière des droits fondamentaux qui sont inscrits dans ladite charte (voir arrêt Google Spain et Google, EU:C:2014:317, point 68), la dérogation prévue à l’article 3, paragraphe 2, second tiret, de cette directive doit recevoir une interprétation stricte.

30      Cette interprétation stricte trouve son fondement également dans le libellé même de cette disposition qui soustrait à l’application de la directive 95/46 le traitement des données effectué pour l’exercice d’activités non pas simplement personnelles ou domestiques, mais «exclusivement» personnelles ou domestiques.

31      Au regard des considérations qui précèdent, il y a lieu de constater que, ainsi que M. l’avocat général l’a relevé au point 53 de ses conclusions, un traitement de données à caractère personnel relève de la dérogation visée à l’article 3, paragraphe 2, second tiret, de la directive 95/46 uniquement lorsqu’il est effectué dans la sphère exclusivement personnelle ou domestique de celui qui procède à ce traitement.

32      Ainsi, en ce qui concerne les personnes physiques, la correspondance et la tenue de répertoires d’adresses constituent, au regard du considérant 12 de la directive 95/46, des «activités exclusivement personnelles ou domestiques» même si, incidemment, elles concernent ou peuvent concerner la vie privée d’autres personnes.

33      Dans la mesure où une vidéosurveillance telle que celle en cause au principal s’étend, même partiellement, à l’espace public et, de ce fait, est dirigée vers l’extérieur de la sphère privée de celui qui procède au traitement des données par ce moyen, elle ne saurait être considérée comme une activité exclusivement «personnelle ou domestique», au sens de l’article 3, paragraphe 2, second tiret, de la directive 95/46.

34      Dans le même temps, l’application des dispositions de cette directive permet, le cas échéant, de tenir compte, conformément en particulier aux articles 7, sous f), 11, paragraphe 2, ainsi que 13, paragraphe 1, sous d) et g), de ladite directive, des intérêts légitimes du responsable du traitement, consistant notamment, comme dans l’affaire au principal, à protéger les biens, la santé et la vie de ce responsable ainsi que ceux de sa famille.

35      Par conséquent, il convient de répondre à la question posée que l’article 3, paragraphe 2, second tiret, de la directive 95/46 doit être interprété en ce sens que l’exploitation d’un système de caméra, donnant lieu à un enregistrement vidéo des personnes stocké dans un dispositif d’enregistrement continu tel qu’un disque dur, installé par une personne physique sur sa maison familiale afin de protéger les biens, la santé et la vie des propriétaires de la maison, ce système surveillant également l’espace public, ne constitue pas un traitement des données effectué pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de cette disposition.

 Sur les dépens

36      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (quatrième chambre) dit pour droit:

L’article 3, paragraphe 2, second tiret, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que l’exploitation d’un système de caméra, donnant lieu à un enregistrement vidéo des personnes stocké dans un dispositif d’enregistrement continu tel qu’un disque dur, installé par une personne physique sur sa maison familiale afin de protéger les biens, la santé et la vie des propriétaires de la maison, ce système surveillant également l’espace public, ne constitue pas un traitement des données effectué pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de cette disposition.

Signatures


* Langue de procédure: le tchèque.