Language of document : ECLI:EU:C:2016:779

ARRÊT DE LA COUR (deuxième chambre)

19 octobre 2016 (*)

« Renvoi préjudiciel – Traitement des données à caractère personnel – Directive 95/46/CE – Article 2, sous a) – Article 7, sous f) – Notion de “données à caractère personnel” – Adresses de protocole Internet – Conservation par un fournisseur de services de médias en ligne – Réglementation nationale ne permettant pas la prise en compte de l’intérêt légitime poursuivi par le responsable du traitement »

Dans l’affaire C‑582/14,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Bundesgerichtshof (Cour fédérale de justice, Allemagne), par décision du 28 octobre 2014, parvenue à la Cour le 17 décembre 2014, dans la procédure

Patrick Breyer

contre

Bundesrepublik Deutschland,

LA COUR (deuxième chambre),

composée de M. Ilešič, président de chambre, Mme A. Prechal, M. A. Rosas (rapporteur), Mme C. Toader et M. E. Jarašiūnas, juges,

avocat général : M. M. Campos Sánchez-Bordona,

greffier : Mme V. Giacobbo-Peyronnel, administrateur,

vu la procédure écrite et à la suite de l’audience du 25 février 2016,

considérant les observations présentées :

–        pour M. Breyer, par Me M. Starostik, Rechtsanwalt,

–        pour le gouvernement allemand, par MM. A. Lippstreu et T. Henze, en qualité d’agents,

–        pour le gouvernement autrichien, par M. G. Eberhard, en qualité d’agent,

–        pour le gouvernement portugais, par M. L. Inez Fernandes et Mme C. Vieira Guerra, en qualité d’agents,

–        pour la Commission européenne, par MM. P. J. O. Van Nuffel et H. Krämer, ainsi que par Mmes P. Costa de Oliveira et J. Vondung, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 12 mai 2016,

rend le présent

Arrêt

1        La demande de décision préjudicielle porte sur l’interprétation de l’article 2, sous a), et de l’article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

2        Cette demande a été présentée dans le cadre d’un litige opposant M. Patrick Breyer à la Bundesrepublik Deutschland (République fédérale d’Allemagne), au sujet de l’enregistrement et de la conservation par cette dernière de l’adresse de protocole Internet (ci-après l’« adresse IP ») de M. Breyer lors de la consultation par celui-ci de plusieurs sites Internet des services fédéraux allemands.

 Le cadre juridique

 Le droit de l’Union

3        Le considérant 26 de la directive 95/46 est libellé comme suit :

« considérant que les principes de la protection doivent s’appliquer à toute information concernant une personne identifiée ou identifiable ; que, pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne ; que les principes de la protection ne s’appliquent pas aux données rendues anonymes d’une manière telle que la personne concernée n’est plus identifiable ; que les codes de conduite au sens de l’article 27 peuvent être un instrument utile pour fournir des indications sur les moyens par lesquels les données peuvent être rendues anonymes et conservées sous une forme ne permettant plus l’identification de la personne concernée ».

4        Aux termes de l’article 1er de ladite directive :

« 1.      Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel.

2.      Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1. »

5        L’article 2 de la même directive énonce :

« Aux fins de la présente directive, on entend par :

a)      “données à caractère personnel” : toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;

b)      “traitement de données à caractère personnel” (traitement) : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;

[...]

d)      “responsable du traitement” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire ;

[...]

f)       “tiers” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données ;

[...] »

6        L’article 3 de la directive 95/46, intitulé « Champ d’application », prévoit :

«1.      La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2.      La présente directive ne s’applique pas au traitement de données à caractère personnel :

–      mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,

[...]»

7        L’article 5 de ladite directive dispose :

« Les États membres précisent, dans les limites des dispositions du présent chapitre, les conditions dans lesquelles les traitements de données à caractère personnel sont licites. »

8        L’article 7 de la même directive est libellé comme suit :

« Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :

a)      la personne concernée a indubitablement donné son consentement

ou

b)      il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci

ou

c)      il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis

ou

d)      il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée

ou

e)      il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées

ou

f)      il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1. »

9        L’article 13, paragraphe 1, de la directive 95/46 dispose :

« Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l’article 6 paragraphe 1, à l’article 10, à l’article 11 paragraphe 1 et aux articles 12 et 21, lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder :

[...]

d)      la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées ;

[...] »

 Le droit allemand

10      L’article 12 du Telemediengesetz (loi sur les médias en ligne), du 26 février 2007 (BGBl. 2007 I, p. 179, ci-après le « TMG »), dispose :

« 1)      Le fournisseur de services ne peut collecter et utiliser des données à caractère personnel aux fins de la mise à disposition de médias en ligne que si la présente loi ou un autre instrument juridique qui vise expressément les médias en ligne l’autorise ou si l’utilisateur y a consenti.

2)      Le fournisseur de services ne peut utiliser les données à caractère personnel collectées aux fins de la mise à disposition de médias en ligne à d’autres fins que si la présente loi ou un autre instrument juridique qui vise expressément les médias en ligne l’autorise ou si l’utilisateur y a consenti.

3)      Sauf dispositions contraires, la législation en vigueur régissant la protection des données à caractère personnel doit être appliquée même si les données ne font pas l’objet d’un traitement automatisé. »

11      L’article 15 du TMG prévoit :

« 1)      Le fournisseur de services ne peut collecter et utiliser des données à caractère personnel d’un utilisateur que dans la mesure où cela est nécessaire pour permettre et facturer l’utilisation des médias en ligne (données d’utilisation). Les données d’utilisation sont en particulier

1.      les critères permettant l’identification de l’utilisateur,

2.      les indications sur le début et la fin de chaque utilisation, ainsi que son étendue,

3.      les indications sur les médias en ligne utilisés par l’utilisateur.

2)      Le fournisseur de services peut regrouper les données d’utilisation d’un même utilisateur, relatives à l’utilisation de différents médias en ligne, dans la mesure où cela est nécessaire à des fins de facturation à l’utilisateur.

[...]

4)      Le fournisseur de services peut utiliser les données d’utilisation après la fin de la session dans la mesure où cela est nécessaire pour la facturation de la prestation à l’utilisateur (données de facturation). Afin de respecter des délais de conservation légaux, statutaires ou contractuels, le fournisseur de services peut verrouiller les données. [...] »

12      Aux termes de l’article 3, paragraphe 1, du Bundesdatenschutzgesetz (loi fédérale sur la protection des données), du 20 décembre 1990 (BGBl. 1990 I, p. 2954), « [l]es données à caractère personnel sont des données particulières sur des situations personnelles ou matérielles d’une personne physique identifiée ou identifiable (personne concernée). [...] ».

 Le litige au principal et les questions préjudicielles

13      M. Breyer a consulté plusieurs sites Internet des services fédéraux allemands. Sur ces sites, accessibles au public, lesdits services fournissent des informations actualisées.

14      Afin de se prémunir contre les attaques et de rendre possibles les poursuites pénales contre les « pirates », la plupart de ces sites enregistrent toutes les consultations dans des fichiers journaux. Y sont conservés, au terme de la session de consultation desdits sites, le nom du site ou du fichier consulté, les termes entrés dans les champs de recherche, la date et l’heure de la consultation, le volume des données transférées, la constatation du succès de la consultation et l’adresse IP de l’ordinateur à partir duquel la consultation a été effectuée.

15      Les adresses IP sont des suites de chiffres qui sont attribuées à des ordinateurs connectés à Internet pour permettre la communication entre eux par ce réseau. Si un site Internet est consulté, l’adresse IP de l’ordinateur appelant est communiquée au serveur sur lequel le site consulté est hébergé. Cette communication est nécessaire pour que les données consultées puissent être transférées au bon destinataire.

16      Par ailleurs, il ressort de la décision de renvoi et du dossier dont dispose la Cour que les ordinateurs des utilisateurs d’Internet se voient conférer par les fournisseurs d’accès à Internet soit une adresse IP « statique », soit une adresse IP « dynamique », à savoir une adresse IP qui change à l’occasion de chaque nouvelle connexion à Internet. À la différence des adresses IP statiques, les adresses IP dynamiques ne permettraient pas de faire le lien, au moyen de fichiers accessibles au public, entre un ordinateur donné et le branchement physique au réseau utilisé par le fournisseur d’accès à Internet.

17      M. Breyer a introduit, devant les juridictions administratives allemandes, un recours visant à ce qu’il soit fait interdiction à la République fédérale d’Allemagne de conserver ou de faire conserver par des tiers, au terme des sessions de consultation des sites accessibles au public de médias en ligne des services fédéraux allemands, l’adresse IP du système hôte accédant de M. Breyer, dans la mesure où cette conservation n’est pas nécessaire en cas de dérangement au rétablissement de la diffusion de ces médias.

18      Le recours de M. Breyer ayant été rejeté en première instance, celui-ci a interjeté appel contre la décision de rejet.

19      La juridiction d’appel a partiellement réformé cette décision. Elle a condamné la République fédérale d’Allemagne à s’abstenir de conserver ou de faire conserver par des tiers, au terme de chaque consultation, l’adresse IP du système hôte accédant de M. Breyer, transmise lors de la consultation par celui-ci des sites accessibles au public de médias en ligne des services fédéraux allemands, lorsque cette adresse est conservée en combinaison avec la date de la session de consultation à laquelle elle se rapporte et lorsque M. Breyer a révélé son identité pendant cette session, y compris sous la forme d’une adresse électronique mentionnant son identité, dans la mesure où cette conservation n’est pas nécessaire en cas de dérangement au rétablissement de la diffusion du média en ligne.

20      Selon cette juridiction d’appel, une adresse IP dynamique, en combinaison avec la date de la session de consultation à laquelle elle se rapporte, constitue, lorsque l’utilisateur du site Internet considéré a révélé son identité pendant cette session, une donnée à caractère personnel, parce que l’opérateur de ce site peut identifier cet utilisateur en croisant son nom avec l’adresse IP de son ordinateur.

21      Ladite juridiction d’appel a estimé qu’il n’y avait cependant pas lieu de faire droit au recours de M. Breyer dans d’autres hypothèses. En effet, dans l’hypothèse où M. Breyer n’indique pas son identité pendant une session de consultation, seul le fournisseur d’accès à Internet pourrait rattacher l’adresse IP à un abonné identifié. En revanche, entre les mains de la République fédérale d’Allemagne, en sa qualité de fournisseur de services de médias en ligne, l’adresse IP ne serait pas une donnée à caractère personnel, même en combinaison avec la date de la session de consultation à laquelle elle se rapporte, étant donné que l’utilisateur des sites Internet considérés ne serait pas identifiable par cet État membre.

22      M. Breyer et la République fédérale d’Allemagne ont formé chacun un recours en « Revision » devant le Bundesgerichtshof (Cour fédérale de justice, Allemagne) contre la décision de la juridiction d’appel. M. Breyer demande à ce qu’il soit fait droit intégralement à sa demande d’interdiction. La République fédérale d’Allemagne conclut au rejet de cette demande.

23      La juridiction de renvoi précise que les adresses IP dynamiques de l’ordinateur de M. Breyer, conservées par la République fédérale d’Allemagne agissant en qualité de fournisseur de services de médias en ligne, constituent, du moins dans le contexte des autres données conservées dans les fichiers journaux, des données particulières sur des situations matérielles de M. Breyer, étant donné qu’elles fournissent des indications relatives à la consultation par celui-ci de certains sites ou de certains fichiers sur Internet à certaines dates.

24      Toutefois, les données ainsi conservées ne permettraient pas d’établir directement l’identité de M. Breyer. En effet, les opérateurs des sites Internet en cause au principal ne pourraient identifier M. Breyer que si le fournisseur d’accès à Internet de celui-ci leur transmettait des informations sur l’identité de cet utilisateur. La qualification de ces données de « personnelles » dépendrait, par conséquent, du point de savoir si M. Breyer était identifiable.

25      Le Bundesgerichtshof (Cour fédérale de justice) fait état de la controverse doctrinale relative à la question de savoir si, pour déterminer si une personne est identifiable, il convient de se fonder sur un critère « objectif » ou sur un critère « relatif ». L’application d’un critère « objectif » aurait pour conséquence que des données telles que les adresses IP en cause au principal pourraient être considérées, au terme des sessions de consultation des sites Internet considérés, comme revêtant un caractère personnel même si seul un tiers est en mesure de déterminer l’identité de la personne concernée, ce tiers étant, en l’occurrence, le fournisseur d’accès à Internet de M. Breyer qui a conservé des données supplémentaires permettant l’identification de celui-ci au moyen desdites adresses IP. Selon un critère « relatif », de telles données pourraient être considérées comme étant à caractère personnel à l’égard d’un organisme, tel que le fournisseur d’accès à Internet de M. Breyer, car elles permettent l’identification précise de l’utilisateur (voir, à cet égard, arrêt du 24 novembre 2011, Scarlet Extended, C‑70/10, EU:C:2011:771, point 51), mais comme ne revêtant pas un tel caractère à l’égard d’un autre organisme, tel que l’opérateur des sites Internet consultés par M. Breyer, étant donné que cet opérateur ne disposerait pas, dans l’hypothèse où M. Breyer n’a pas révélé son identité au cours des sessions de consultation de ces sites, des informations nécessaires à son identification sans effort démesuré.

26      Dans l’hypothèse où les adresses IP dynamiques de l’ordinateur de M. Breyer devraient être considérées, en combinaison avec la date de la session à laquelle elles se rapportent, comme constituant des données à caractère personnel, la juridiction de renvoi cherche à savoir si la conservation de ces adresses IP au terme de cette session est autorisée en vertu de l’article 7, sous f), de la même directive.

27      À cet égard, le Bundesgerichtshof (Cour fédérale de justice) précise, d’une part, que les fournisseurs de services de médias en ligne ne peuvent, aux termes de l’article 15, paragraphe 1, du TMG, collecter et utiliser des données à caractère personnel d’un utilisateur que dans la mesure où cela est nécessaire pour permettre et facturer l’utilisation de ces médias. D’autre part, la juridiction de renvoi indique que, selon la République fédérale d’Allemagne, la conservation desdites données est nécessaire pour garantir la sécurité et la continuité du bon fonctionnement des sites des services de médias en ligne qu’elle rend accessibles au public, en permettant, en particulier, de reconnaître les attaques informatiques dites « attaques par déni de service », visant à paralyser le fonctionnement de ces sites par l’inondation ciblée et coordonnée de certains serveurs Internet par un grand nombre de demandes, et de lutter contre ces attaques.

28      Selon la juridiction de renvoi, si et dans la mesure où il est nécessaire que le fournisseur de services de médias en ligne prenne des mesures pour lutter contre de telles attaques, ces mesures pourraient être considérées comme nécessaires pour « permettre [...] l’utilisation des médias électroniques » en vertu de l’article 15 du TMG. Cependant, la doctrine défendrait majoritairement le point de vue selon lequel, d’une part, la collecte et l’utilisation des données à caractère personnel d’un utilisateur d’un site Internet n’est autorisée que pour permettre une utilisation concrète de ce site et, d’autre part, ces données doivent être effacées à la fin de la session de consultation considérée si elles ne sont pas requises à des fins de facturation. Or, une telle lecture restrictive de l’article 15, paragraphe 1, du TMG s’opposerait à ce que la conservation des adresses IP soit autorisée pour garantir, de manière générale, la sécurité et la continuité du bon fonctionnement des médias en ligne.

29      La juridiction de renvoi se demande si cette dernière interprétation, qui est l’interprétation préconisée par la juridiction d’appel, est conforme à l’article 7, sous f), de la directive 95/46, eu égard notamment aux critères dégagés par la Cour aux points 29 et suivants de l’arrêt du 24 novembre 2011, ASNEF et FECEMD (C‑468/10 et C‑469/10, EU:C:2011:777).

30      Dans ces conditions, le Bundesgerichtshof (Cour fédérale de justice) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes:

« 1)      L’article 2, sous a), de la directive 95/46 doit-il être interprété en ce sens qu’une adresse IP qui est enregistrée par un fournisseur de services [de médias en ligne] à l’occasion d’un accès à son site Internet constitue pour celui-ci une donnée à caractère personnel même si c’est un tiers (en l’occurrence, le fournisseur d’accès) qui dispose des informations supplémentaires nécessaires pour identifier la personne concernée?

2)      L’article 7, sous f), de [cette directive] s’oppose-t-il à une disposition de droit national en vertu de laquelle le fournisseur de services [de médias en ligne] ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur sans le consentement de celui-ci que dans la mesure où cela est nécessaire pour permettre et facturer l’utilisation concrète du média en ligne par l’utilisateur en question et en vertu de laquelle la finalité consistant à garantir la capacité générale de fonctionnement du média en ligne ne peut pas justifier l’utilisation des données après la fin de la session [de consultation] en cours? »

 Sur les questions préjudicielles

 Sur la première question

31      Par sa première question, la juridiction de renvoi demande, en substance, si l’article 2, sous a), de la directive 95/46 doit être interprété en ce sens qu’une adresse IP dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel au sens de cette disposition, lorsque seul un tiers, en l’occurrence le fournisseur d’accès à Internet de cette personne, dispose des informations supplémentaires nécessaires pour identifier celle-ci.

32      Aux termes de ladite disposition, on entend par « données à caractère personnel », « toute information concernant une personne physique identifiée ou identifiable (personne concernée) ». En vertu de cette disposition, est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.

33      À titre liminaire, il convient de relever que, au point 51 de l’arrêt du 24 novembre 2011, Scarlet Extended (C‑70/10, EU:C:2011:771), qui portait notamment sur l’interprétation de la même directive, la Cour a considéré, en substance, que les adresses IP des utilisateurs d’Internet étaient des données protégées à caractère personnel, car elles permettent l’identification précise de ces utilisateurs.

34      Cependant, cette affirmation de la Cour était relative à l’hypothèse dans laquelle la collecte et l’identification des adresses IP des utilisateurs d’Internet seraient effectuées par les fournisseurs d’accès à Internet.

35      Or, en l’occurrence, la première question concerne l’hypothèse dans laquelle c’est le fournisseur de services de médias en ligne, à savoir la République fédérale d’Allemagne, qui enregistre les adresses IP des utilisateurs d’un site Internet que ce fournisseur de services rend accessible au public, sans disposer des informations supplémentaires nécessaires pour identifier ces utilisateurs.

36      En outre, il est constant que les adresses IP auxquelles se réfère la juridiction de renvoi sont des adresses IP « dynamiques », à savoir celles, provisoires, qui sont attribuées à chaque connexion à Internet et remplacées lors de connexions ultérieures, et non pas des adresses IP « statiques », qui sont invariables et permettent l’identification permanente du dispositif connecté au réseau.

37      La première question posée par la juridiction de renvoi est ainsi fondée sur la prémisse selon laquelle, d’une part, des données consistant en une adresse IP dynamique ainsi qu’en la date et l’heure de la session de consultation d’un site Internet à partir de cette adresse IP, enregistrées par un fournisseur de services de médias en ligne, n’offrent pas, à elles seules, à ce fournisseur la possibilité d’identifier l’utilisateur qui a consulté ce site Internet au cours de cette session et, d’autre part, le fournisseur d’accès à Internet dispose, quant à lui, d’informations supplémentaires qui, si elles étaient combinées avec cette adresse IP, permettraient d’identifier ledit utilisateur.

38      À cet égard, il convient d’abord de relever qu’il est constant qu’une adresse IP dynamique ne constitue pas une information se rapportant à une « personne physique identifiée », dans la mesure où une telle adresse ne révèle pas directement l’identité de la personne physique propriétaire de l’ordinateur à partir duquel la consultation d’un site Internet a lieu ni celle d’une autre personne qui pourrait utiliser cet ordinateur.

39      Ensuite, afin de déterminer si une adresse IP dynamique constitue, dans l’hypothèse exposée au point 37 du présent arrêt, une donnée à caractère personnel au sens de l’article 2, sous a), de la directive 96/45 à l’égard d’un fournisseur de services de médias en ligne, il convient de vérifier si une telle adresse IP, enregistrée par un tel fournisseur, peut être qualifiée d’information se rapportant à une « personne physique identifiable », lorsque les informations supplémentaires nécessaires pour identifier l’utilisateur d’un site Internet que ce fournisseur de services rend accessible au public sont détenues par le fournisseur d’accès à Internet de cet utilisateur.

40      À cet égard, il ressort du libellé de l’article 2, sous a), de la directive 95/46 qu’est réputée identifiable une personne qui peut être identifiée non seulement directement mais aussi indirectement.

41      L’utilisation par le législateur de l’Union du terme « indirectement » tend à indiquer que, afin de qualifier une information de donnée à caractère personnel, il n’est pas nécessaire que cette information permette, à elle seule, d’identifier la personne concernée.

42      En outre, le considérant 26 de la directive 95/46 énonce que, pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne.

43      Dans la mesure où ce considérant fait référence aux moyens susceptibles d’être raisonnablement mis en œuvre tant par le responsable du traitement que par une « autre personne », le libellé de celui-ci suggère que, pour qu’une donnée puisse être qualifiée de « donnée à caractère personnel » au sens de l’article 2, sous a), de ladite directive, il n’est pas requis que toutes les informations permettant d’identifier la personne concernée doivent se trouver entre les mains d’une seule personne.

44      Le fait que les informations supplémentaires nécessaires pour identifier l’utilisateur d’un site Internet sont détenues non pas par le fournisseur de services de médias en ligne, mais par le fournisseur d’accès à Internet de cet utilisateur, n’apparaît ainsi pas de nature à exclure que les adresses IP dynamiques enregistrées par le fournisseur de services de médias en ligne constituent, pour celui-ci, des données à caractère personnel au sens de l’article 2, sous a), de la directive 95/46.

45      Il convient cependant de déterminer si la possibilité de combiner une adresse IP dynamique avec lesdites informations supplémentaires détenues par ce fournisseur d’accès à Internet constitue un moyen susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée.

46      Ainsi que l’a relevé en substance M. l’avocat général au point 68 de ses conclusions, tel ne serait pas le cas si l’identification de la personne concernée était interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant.

47      Or, si la juridiction de renvoi précise dans sa décision de renvoi que le droit allemand ne permet pas au fournisseur d’accès à Internet de transmettre directement au fournisseur de services de médias en ligne les informations supplémentaires, nécessaires à l’identification de la personne concernée, il semble toutefois, sous réserve des vérifications à effectuer à cet égard par cette juridiction, qu’il existe des voies légales permettant au fournisseur de services de médias en ligne de s’adresser, notamment en cas d’attaques cybernétiques, à l’autorité compétente afin que celle-ci entreprenne les démarches nécessaires pour obtenir ces informations auprès du fournisseur d’accès à Internet et pour déclencher des poursuites pénales.

48      Il semble ainsi que le fournisseur de services de médias en ligne dispose de moyens susceptibles d’être raisonnablement mis en œuvre afin de faire identifier, à l’aide d’autres personnes, à savoir l’autorité compétente et le fournisseur d’accès à Internet, la personne concernée sur la base des adresses IP conservées.

49      Eu égard à l’ensemble des considérations qui précèdent, il convient de répondre à la première question que l’article 2, sous a), de la directive 95/46 doit être interprété en ce sens qu’une adresse IP dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel au sens de cette disposition, lorsqu’il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne.

 Sur la seconde question

50      Par sa seconde question, la juridiction de renvoi demande, en substance, si l’article 7, sous f), de la directive 95/46 doit être interprété en ce sens qu’il s’oppose à une réglementation d’un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur, sans que l’objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l’utilisation desdites données après une session de consultation de ceux-ci.

51      Avant de répondre à cette question, il y a lieu de déterminer si le traitement des données à caractère personnel en cause au principal, à savoir les adresses IP dynamiques des utilisateurs de certains sites Internet de services fédéraux allemands, n’est pas exclu du champ d’application de la directive 95/46 en application de l’article 3, paragraphe 2, premier tiret, de celle-ci, en vertu duquel ladite directive ne s’applique pas au traitement de données à caractère personnel ayant pour objet, notamment, les activités de l’État relatives à des domaines du droit pénal.

52      À cet égard, il convient de rappeler que les activités mentionnées à titre d’exemples par ladite disposition sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques, étrangères aux domaines d’activité des particuliers (voir arrêts du 6 novembre 2003, Lindqvist, C‑101/01, EU:C:2003:596, point 43, et du 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia, C‑73/07, EU:C:2008:727, point 41).

53      Or, dans l’affaire au principal, sous réserve des vérifications à effectuer à cet égard par la juridiction de renvoi, il semble que les services fédéraux allemands, qui fournissent des services de médias en ligne et qui sont responsables du traitement des adresses IP dynamiques, agissent, malgré leur statut d’autorités publiques, en qualité de particuliers et hors du cadre des activités de l’État relatives à des domaines du droit pénal.

54      Il convient dès lors de déterminer si une réglementation d’un État membre, telle que celle en cause au principal, est compatible avec l’article 7, sous f), de la directive 95/46.

55      À cette fin, il importe de rappeler que la réglementation nationale en cause au principal, telle qu’interprétée dans le sens restrictif évoqué par la juridiction de renvoi, n’autorise la collecte et l’utilisation des données à caractère personnel afférentes à un utilisateur desdits services, en l’absence du consentement de celui-ci, que dans la mesure où cela est nécessaire pour permettre et facturer l’utilisation concrète du média en ligne par l’utilisateur en question, sans que l’objectif visant à garantir la capacité générale de fonctionnement du média en ligne puisse justifier l’utilisation desdites données après une session de consultation de ce média.

56      Conformément à l’article 7, sous f), de la directive 95/46, le traitement de données à caractère personnel est licite s’« il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1 » de cette directive.

57      Il importe de rappeler que la Cour a jugé que l’article 7 de ladite directive prévoit une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme étant licite et que les États membres ne sauraient ni ajouter de nouveaux principes relatifs à la légitimation des traitements de données à caractère personnel audit article ni prévoir des exigences supplémentaires qui viendraient modifier la portée de l’un des six principes prévus à cet article (voir, en ce sens, arrêt du 24 novembre 2011, ASNEF et FECEMD, C‑468/10 et C‑469/10, EU:C:2011:777, points 30 et 32).

58      Si l’article 5 de la directive 95/46 autorise certes les États membres à préciser, dans les limites du chapitre II de cette directive et, partant, de l’article 7 de celle-ci, les conditions dans lesquelles les traitements de données à caractère personnel sont licites, la marge d’appréciation dont, en vertu dudit article 5, disposent les États membres ne peut être utilisée que conformément à l’objectif poursuivi par ladite directive consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée. Les États membres ne sauraient introduire, au titre de l’article 5 de la même directive, d’autres principes relatifs à la légitimation des traitements de données à caractère personnel que ceux énoncés à l’article 7 de celle-ci ni modifier, par des exigences supplémentaires, la portée des six principes prévus audit article 7 (voir, en ce sens, arrêt du 24 novembre 2011, ASNEF et FECEMD, C‑468/10 et C‑469/10, EU:C:2011:777, points 33, 34 et 36).

59      En l’occurrence, il apparaît que l’article 15 du TMG, s’il était interprété de la manière stricte mentionnée au point 55 du présent arrêt, aurait une portée plus restrictive que celle du principe prévu à l’article 7, sous f), de la directive 95/46.

60      En effet, alors que l’article 7, sous f), de ladite directive se réfère, de manière générale, à la « réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées », l’article 15 du TMG autoriserait le fournisseur de services à collecter et à utiliser des données à caractère personnel d’un utilisateur uniquement dans la mesure où cela est nécessaire pour permettre et facturer l’utilisation concrète des médias électroniques. L’article 15 de la TMG s’opposerait ainsi, de manière générale, à la conservation, au terme d’une session de consultation de médias en ligne, de données à caractère personnel pour garantir l’utilisation de ces médias. Or, les services fédéraux allemands qui fournissent des services de médias en ligne pourraient également avoir un intérêt légitime à garantir, au-delà de chaque utilisation concrète de leurs sites Internet accessibles au public, la continuité du fonctionnement desdits sites. 

61      Ainsi que l’a relevé M. l’avocat général aux points 100 et 101 de ses conclusions, une telle réglementation nationale ne se limite pas à préciser, conformément à l’article 5 de la directive 95/46, la notion d’« intérêt légitime » figurant à l’article 7, sous f), de cette directive.

62      À cet égard, il convient également de rappeler que l’article 7, sous f), de ladite directive s’oppose à ce qu’un État membre exclue de façon catégorique et généralisée la possibilité pour certaines catégories de données à caractère personnel d’être traitées, sans permettre une pondération des droits et des intérêts opposés en cause dans un cas particulier. Un État membre ne saurait ainsi prescrire, pour ces catégories, de manière définitive, le résultat de la pondération des droits et des intérêts opposés, sans permettre un résultat différent en raison de circonstances particulières d’un cas concret (voir, en ce sens, arrêt du 24 novembre 2011, ASNEF et FECEMD, C‑468/10 et C‑469/10, EU:C:2011:777, points 47 et 48).

63      Or, une réglementation telle que celle en cause au principal réduit, s’agissant du traitement de données à caractère personnel des utilisateurs de sites de médias en ligne, la portée du principe prévu à l’article 7, sous f), de la directive 95/46, en excluant que l’objectif de garantir la capacité générale de fonctionnement dudit média en ligne puisse faire l’objet d’une pondération avec l’intérêt ou les droits et libertés fondamentaux de ces utilisateurs, qui appellent, conformément à cette disposition, une protection au titre de l’article 1er, paragraphe 1, de cette directive.

64      Il résulte de l’ensemble des considérations qui précèdent qu’il convient de répondre à la seconde question que l’article 7, sous f), de la directive 95/46 doit être interprété en ce sens qu’il s’oppose à une réglementation d’un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur, sans que l’objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l’utilisation desdites données après une session de consultation de ceux-ci.

 Sur les dépens

65      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (deuxième chambre) dit pour droit :

1)      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’une adresse de protocole Internet dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel au sens de cette disposition, lorsqu’il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne.

2)      L’article 7, sous f), de la directive 95/46 doit être interprété en ce sens qu’il s’oppose à une réglementation d’un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur, sans que l’objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l’utilisation desdites données après une session de consultation de ceux-ci.

Signatures


* Langue de procédure: l’allemand.