Language of document : ECLI:EU:C:2010:353

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

MME ELEANOR SHARPSTON

présentées le 17 juin 2010 (1)

Affaires jointes C‑92/09 et C‑93/09

Volker und Markus Schecke GbR (affaire C-92/09)

contre

Land Hessen

[demande de décision préjudicielle formée par le Verwaltungsgericht Wiesbaden (Allemagne)]

«Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Publication des informations relatives aux bénéficiaires du Fonds européen agricole de garantie et du Fonds européen agricole pour le développement rural – Validité des dispositions du droit communautaire prévoyant cette publication et fixant les modalités de celle-ci»

Hartmut Eifert (affaire C-93/09)

contre

Land Hessen

[demande de décision préjudicielle formée par le Verwaltungsgericht Wiesbaden (Allemagne)]

«Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Publication des informations relatives aux bénéficiaires du Fonds européen agricole de garantie et du Fonds européen agricole pour le développement rural – Validité des dispositions du droit communautaire prévoyant cette publication et fixant les modalités de celle-ci»





1.        Considérée à l’aune du budget de l’Union européenne, la politique agricole commune (ci-après la «PAC») est la politique communautaire la plus importante de l’Union depuis plus de 40 ans. En 1984, la PAC représentait plus de 71 % des dépenses et l’on estime qu’elle se situe aujourd’hui à approximativement 40 %, ce qui en fait toujours le poste le plus important du budget.

2.        Cette demande de décision préjudicielle déférée par le Verwaltungsgericht Wiesbaden (tribunal administratif, Allemagne) conteste la validité de la législation de l’Union européenne (ci-après l’«UE»), qui impose la divulgation des montants provenant des fonds de la PAC octroyés aux exploitants agricoles, ainsi que de leurs noms, de leur municipalité de résidence et, le cas échéant, de leur code postal. Cette affaire soulève des difficultés constitutionnelles importantes en droit de l’Union: en substance, il s’agit de savoir si l’objectif de transparence dans la gestion des deniers de la PAC peut, en principe, prévaloir sur le droit fondamental des personnes physiques au respect de leur vie privée et de leurs données à caractère personnel et, dans l’affirmative, où se situe le juste milieu entre les deux.

 Cadre juridique

 Les droits fondamentaux

 La convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (2)

3.        L’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (ci-après la «CEDH») dispose:

«1.      Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.

2.      Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui.»

4.        En complément de cette disposition, le Conseil de l’Europe a approuvé, le 28 janvier 1981, la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (ci-après la «convention nº 108»). L’article 1er de la convention nº 108 décrit l’objet et la finalité de la convention dans ces termes: «[l]e but de la présente Convention est de garantir […] à toute personne physique […] le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant» (3).

 La charte des droits fondamentaux de l’Union européenne (4)

5.        L’article 7 de la charte affirme: «[t]oute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications.»

6.        L’article 8 énonce:

«1.      Toute personne a droit à la protection des données à caractère personnel la concernant.

2.      Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.

3.      Le respect de ces règles est soumis au contrôle d’une autorité indépendante.»

7.        L’article 52 de la charte fixe les conditions régissant toute atteinte ou dérogation aux droits garantis par la charte. Il dispose notamment:

«1.      Toute limitation de l’exercice des droits et libertés reconnus par la présente Charte doit être prévue par la loi et respecter le contenu essentiel desdits droits et libertés. Dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui.

[…]

3.      Dans la mesure où la présente Charte contient des droits correspondant à des droits garantis par la [CEDH], leur sens et leur portée sont les mêmes que ceux que leur confère ladite convention. Cette disposition ne fait pas obstacle à ce que le droit de l’Union accorde une protection plus étendue.»

8.        L’article 6, paragraphe 1, TUE énonce que les droits, les libertés et les principes énoncés dans la charte «[ont] la même valeur juridique que les traités».

 La protection des données

 La directive 95/46/CE (5)

9.        Le premier considérant rappelle que:

«[…] les objectifs de la Communauté, énoncés dans le traité, tel que modifié par le traité sur l’Union européenne, consistent à […] promouvoir la démocratie en se fondant sur les droits fondamentaux reconnus dans les Constitutions et les lois des États membres, ainsi que dans la [CEDH]».

10.      Les dixième, onzième et douzième considérants déclarent que l’objet de la directive est d’assurer un haut niveau de protection des droits fondamentaux:

«(10)  […] l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la [CEDH] et dans les principes généraux du droit communautaire; […] pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent, mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté;

(11)      […] les principes de la protection des droits et des libertés des personnes, notamment du droit à la vie privée, contenus dans la présente directive précisent et amplifient ceux qui sont contenus dans la [convention nº 108];

(12)      […] les principes de la protection doivent s’appliquer à tout traitement de données à caractère personnel dès lors que les activités du responsable du traitement relèvent du champ d’application du droit communautaire […]»

11.      Le vingt-huitième considérant affirme que le traitement de données à caractère personnel doit être proportionné: «[…] tout traitement de données à caractère personnel doit être effectué licitement et loyalement à l’égard des personnes concernées; […] il doit, en particulier, porter sur des données adéquates, pertinentes et non excessives au regard des finalités poursuivies; […] ces finalités doivent être explicites et légitimes et doivent être déterminées lors de la collecte des données; […] les finalités des traitements ultérieurs à la collecte ne peuvent pas être incompatibles avec les finalités telles que spécifiées à l’origine […]».

12.      Les trentième et trente-troisième considérants déclarent:

«(30)[…] pour être licite, un traitement de données à caractère personnel doit en outre être fondé sur le consentement de la personne concernée ou être nécessaire à la conclusion ou à l’exécution d’un contrat liant la personne concernée, ou au respect d’une obligation légale, ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, ou encore à la réalisation d’un intérêt légitime d’une personne à condition que ne prévalent pas l’intérêt ou les droits et libertés de la personne concernée;

[…]

(33)      […] les données qui sont susceptibles par leur nature de porter atteinte aux libertés fondamentales ou à la vie privée ne devraient pas faire l’objet d’un traitement, sauf consentement explicite de la personne concernée; […] cependant, des dérogations à cette interdiction doivent être expressément prévues pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est mis en œuvre à certaines fins relatives à la santé par des personnes soumises à une obligation de secret professionnel ou pour la réalisation d’activités légitimes par certaines associations ou fondations dont l’objet est de permettre l’exercice de libertés fondamentales;

[…]»

13.      L’article 1er, paragraphe 1, de la directive 95/46 dispose: «[l]es États membres assurent […] la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel».

14.      L’article 2 définit respectivement les «données à caractère personnel», le «traitement des données à caractère personnel» et le «consentement de la personne concernée» comme suit:

«[…] on entend par:

a)      ‘données à caractère personnel’: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;

b)      ‘traitement de données à caractère personnel’ (traitement): toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction;

h)      ‘consentement de la personne concernée’: toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement.»

15.      L’article 7 dispose que le traitement de données à caractère personnel ne peut être effectué que si certaines conditions sont remplies, à savoir que la personne concernée a indubitablement donné son consentement [article 7, sous a)] ou que ce traitement est «nécessaire» à la réalisation d’un ou de plusieurs objectifs listés de manière exhaustive. Parmi ceux-ci, seuls deux sont potentiellement pertinents en l’espèce:

«c)      [le traitement] est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;

[…]

e)      [le traitement] est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement [(6)] ou le tiers auquel les données sont communiquées; […]»

16.      L’article 18 dispose:

«1.      Les États membres prévoient que le responsable du traitement, ou le cas échéant son représentant, doit adresser une notification à l’autorité de contrôle visée à l’article 28 [(7)] préalablement à la mise en œuvre d’un traitement entièrement ou partiellement automatisé ou d’un ensemble de tels traitements ayant une même finalité ou des finalités liées.

2.      Les États membres ne peuvent prévoir de simplification de la notification ou de dérogation à cette obligation que dans les cas et aux conditions suivants:

–      lorsque, pour les catégories de traitement qui, compte tenu des données à traiter, ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, ils précisent les finalités des traitements, les données ou catégories de données traitées, la ou les catégories de personnes concernées, les destinataires ou catégories de destinataires auxquels les données sont communiquées et la durée de conservation des données

et/ou

–      lorsque le responsable du traitement désigne, conformément au droit national auquel il est soumis, un détaché à la protection des données à caractère personnel chargé notamment:

–      d’assurer, d’une manière indépendante, l’application interne des dispositions nationales prises en application de la présente directive,

–      de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l’article 21, paragraphe 2,

         et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées.

[…]»

17.      L’article 20 dispose:

«1.      Les États membres précisent les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en œuvre.

2.      De tels examens préalables sont effectués par l’autorité de contrôle après réception de la notification du responsable du traitement ou par le détaché à la protection des données, qui, en cas de doute, doit consulter l’autorité de contrôle.

3.      Les États membres peuvent aussi procéder à un tel examen dans le cadre de l’élaboration soit d’une mesure du Parlement national, soit d’une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et fixe des garanties appropriées.»

18.      L’article 21, paragraphe 2, dispose que les États membres doivent s’assurer que l’autorité de contrôle tient un registre des traitements notifiés en vertu de l’article 18.

 La directive 2006/24/CE (8)

19.      L’article 1er, paragraphe 1, de la directive 2006/24 énonce que «[la] […] directive a pour objectif d’harmoniser les dispositions des États membres relatives aux obligations des fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications en matière de conservation de certaines données qui sont générées ou traitées par ces fournisseurs, en vue de garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne».

20.      L’article 1er, paragraphe 2, prévoit que la directive s’applique aux données relatives au trafic et aux données de localisation concernant tant les entités juridiques que les personnes physiques, ainsi qu’aux données connexes nécessaires pour identifier l’abonné ou l’utilisateur enregistré (9).

21.      L’article 3 impose aux États membres de prendre des mesures pour garantir que certaines catégories de données (visées à l’article 5) soient conservées conformément aux dispositions de la directive. Celles-ci incluent les données nécessaires pour retrouver et identifier la source d’une communication, en ce qui concerne, notamment, l’accès à Internet [article 5, paragraphe 1, sous a), point 2]. Les données conservées ne sont transmises qu’aux autorités nationales compétentes, dans des cas précis et conformément au droit interne, sous réserve des garanties appropriées (incluant le respect de la CEDH) (article 4).

22.      L’article 6 dispose: «Les États membres veillent à ce que les catégories de données visées à l’article 5 soient conservées pour une durée minimale de six mois et maximale de deux ans à compter de la date de la communication».

 L’initiative européenne en matière de transparence

23.      En lançant l’initiative européenne en matière de transparence (ci-après l’«IET») en 2005, la Commission européenne a souligné l’importance d’un «niveau élevé de transparence» afin de veiller à ce que l’Union «se prête à un contrôle public et rende compte du travail qu’elle accomplit» (10). La Commission a défini l’un des principaux domaines d’action comme étant celui permettant un «meilleur contrôle de l’utilisation des fonds de l’Union […]» (11).

 Le règlement financier (12)

24.      Le règlement financier met expressément l’accent sur l’importance de la transparence dans la gestion du budget général.

25.      Le troisième considérant reconnaît que la transparence constitue un principe fondamental. Le douzième considérant déclare ensuite que, «s’agissant […] du principe de transparence, il convient d’assurer une meilleure information sur l’exécution du budget et la comptabilité».

26.      Dans le cadre de l’initiative visant à améliorer la transparence, l’article 30, paragraphe 3, dispose:

«La Commission communique de manière appropriée les informations qu’elle détient sur les bénéficiaires de fonds en provenance du budget lorsque le budget est exécuté de manière centralisée et directe dans ses services et les informations sur les bénéficiaires de fonds fournies par les entités auxquelles les tâches d’exécution du budget sont déléguées dans le cadre d’autres modes de gestion.

Ces informations sont communiquées dans le respect des exigences de confidentialité, en particulier de protection des données à caractère personnel énoncées dans la [directive 95/46 (13)] et dans le [règlement (CE) n° 45/2001 (14)], et des exigences de sécurité, en tenant compte des particularités de chaque mode de gestion décrit à l’article 53 et, le cas échéant, conformément à la réglementation sectorielle pertinente.»

27.      L’article 53 ter, paragraphe 2, sous d), prévoit que les États membres doivent «assurer, par le biais des réglementations sectorielles pertinentes et conformément à l’article 30, paragraphe 3, une publication annuelle a posteriori des noms des bénéficiaires des fonds en provenance du budget».

 Le financement de la PAC

 Le règlement (CE) nº 1290/2005 du Conseil (15)

28.      Le règlement nº 1290/2005 fixe les règles essentielles de la gestion financière de la PAC et institue deux fonds, le Fonds européen agricole de garantie (FEAGA) et le Fonds européen agricole pour le développement rural (Feader) (16).

29.      Le trente-sixième considérant reconnaît que, «[é]tant donné que des données personnelles ou des secrets commerciaux peuvent être communiqués dans le cadre de l’application des systèmes de contrôles nationaux et de l’apurement de conformité, il convient que les États membres et la Commission assurent la confidentialité de l’information reçue dans ce contexte».

30.      L’article 1er du règlement nº 1290/2005 expose que ce dernier a pour objet de fixer «[…] les conditions et règles spécifiques applicables au financement des dépenses relevant de la politique agricole commune, y compris celles du développement rural».

31.      L’article 2 institue le FEAGA et le Feader et prévoit que ces fonds relèveront tous deux du budget général de l’Union européenne.

32.      Les articles 6, 7 et 11 prévoient que les paiements sont versés aux bénéficiaires par les organismes payeurs, qui sont des services ou des organismes des États membres. Les organismes payeurs doivent s’assurer que les demandes d’aides satisfont aux conditions arrêtées par les dispositions en vertu desquelles elles sont accordées.

33.      L’article 9 impose à la Commission et aux États membres des obligations visant à assurer une protection efficace des intérêts financiers de la Communauté (17).

34.      L’article 44 prévoit: «Les États membres et la Commission prennent toutes les mesures nécessaires pour assurer la confidentialité des informations communiquées ou obtenues dans le cadre des actions de contrôle et d’apurement des comptes effectuées en application du présent règlement.

Les principes visés à l’article 8 du règlement (Euratom, CE) nº 2185/96 du Conseil […] [(18)] s’appliquent à ces informations».

35.      Le règlement nº 1290/2005 a été modifié par le règlement (CE) nº 1437/2007 (19). L’objet de cette modification est expliqué aux douzième à quatorzième considérants du préambule du règlement, comme suit:

«(12) Il importe de clarifier la base juridique pour l’adoption des modalités d’application du règlement (CE) n° 1290/2005. Il convient, en particulier, que la Commission puisse adopter des modalités d’application en ce qui concerne la publication d’informations relatives aux bénéficiaires de la politique agricole commune, les interventions pour lesquelles il n’a pas été défini de montant unitaire forfaitaire dans le cadre d’une organisation commune de marchés et les crédits reportés en vue de financer les paiements directs aux agriculteurs prévus dans le cadre de la politique agricole commune.

(13)  Dans le cadre de la révision du règlement […] n° 1605/2002 […], les dispositions relatives à la publication annuelle a posteriori des noms des bénéficiaires de fonds en provenance du budget ont été ajoutées aux fins de la mise en œuvre de l’initiative européenne en matière de transparence. Les modalités de cette publication feront l’objet de réglementations sectorielles. Le FEAGA et le Feader relèvent tous deux du budget général des Communautés européennes et financent des dépenses en gestion partagée entre les États membres et la Communauté. Il y a donc lieu d’établir les règles régissant la publication des informations relatives aux bénéficiaires de ces fonds. Il convient à cette fin que les États membres assurent la publication annuelle a posteriori des noms des bénéficiaires ainsi que des montants reçus par chaque bénéficiaire au titre de chacun de ces fonds.

(14)      Le fait de mettre ces informations à la disposition du public accroît la transparence de l’utilisation des fonds communautaires dans le cadre de la politique agricole commune et améliore la bonne gestion financière de ces fonds, notamment en renforçant le contrôle public de l’utilisation des sommes concernées. Compte tenu de l’importance primordiale des objectifs poursuivis, il est justifié, conformément au principe de proportionnalité et aux exigences relatives à la protection des données à caractère personnel, de prévoir la publication générale des informations pertinentes, étant donné que cette disposition ne va pas au-delà de ce qui est nécessaire dans une société démocratique et aux fins de la prévention des irrégularités. Compte tenu de l’avis du Contrôleur européen de la protection des données [(20)], il convient de prévoir que les bénéficiaires de fonds soient informés du fait que les données en question peuvent être rendues publiques et qu’elles peuvent être traitées par les organes compétents en matière d’audit et d’enquête.»

36.      Les deux modifications pertinentes en l’espèce figurent aux articles 42, point 8 ter, et 44 bis.

37.      L’article 42 autorise la Commission à adopter des mesures pour mettre en œuvre le règlement nº 1290/2005. Le point 8 ter énonce plus précisément que la Commission adopte:

«les modalités concernant la publication des informations relatives aux bénéficiaires visée à l’article 44 bis et les aspects pratiques relatifs à la protection des individus eu égard au traitement de leurs données personnelles, conformément à la législation communautaire relative à la protection des données. Ces modalités garantissent notamment que les bénéficiaires de fonds sont informés du fait que les données en question peuvent être rendues publiques et qu’elles peuvent être traitées par les organes compétents en matière d’audit et d’enquête aux fins de la protection des intérêts financiers des Communautés, et précisent le moment opportun pour cette information».

38.      L’article 44 bis prévoit:

«Conformément à l’article 53 ter, paragraphe 2, point d), du règlement (CE, Euratom) nº 1605/2002, les États membres assurent la publication annuelle a posteriori des noms des bénéficiaires du FEAGA et du Feader ainsi que des montants reçus par chaque bénéficiaire au titre de chacun de ces Fonds.

Ces informations comprennent au minimum:

a)      dans le cas du FEAGA, l’indication du montant concerné, ventilé en paiements directs au sens de l’article 2, point d), du règlement (CE) n° 1782/2003 et autres dépenses;

b)      dans le cas du Feader, le montant total du financement public par bénéficiaire.»

 Le règlement (CE) n° 259/2008 de la Commission (21)

39.      Le préambule confirme que le règlement a été adopté après consultation du Contrôleur européen de la protection des données (22).

40.      Le deuxième considérant expose que la publication vise à accroître la transparence de l’utilisation des fonds européens et à contribuer à leur bonne gestion financière.

41.      Le troisième considérant déclare que, afin d’atteindre cet objectif, «[…] il y a lieu de définir les prescriptions minimales applicables au contenu de la publication. Il convient que ces prescriptions n’aillent pas au-delà de ce qui est nécessaire, dans une société démocratique, pour atteindre les objectifs poursuivis».

42.      Le cinquième considérant admet que, «[…] [l]’objectif de transparence ne nécessitant pas que les informations restent disponibles indéfiniment, il y a lieu de fixer une période raisonnable pendant laquelle les informations publiées seront disponibles».

43.      Le sixième considérant expose que «[l]e fait de mettre ces informations à la disposition du public accroît la transparence de l’utilisation des fonds communautaires dans le cadre de la politique agricole commune et améliore la bonne gestion financière de ces fonds, notamment en renforçant le contrôle public de l’utilisation des sommes concernées. Compte tenu de l’importance primordiale des objectifs poursuivis, il est justifié, conformément au principe de proportionnalité et aux exigences relatives à la protection des données à caractère personnel, de prévoir la publication générale des informations pertinentes, étant donné que cette disposition ne va pas au-delà de ce qui est nécessaire dans une société démocratique et aux fins de la prévention des irrégularités».

44.      L’article 1er, paragraphe 1, du règlement n° 259/2008 prévoit que les informations publiées concernant les bénéficiaires des fonds doivent inclure les éléments suivants:

«a)      le prénom et le nom, lorsque les bénéficiaires sont des personnes physiques;

b)      le nom légal complet tel qu’il a été enregistré, lorsque les bénéficiaires sont des personnes morales;

c)      le nom complet de l’association tel qu’il a été enregistré ou officiellement reconnu, lorsque les bénéficiaires sont des associations de personnes physiques ou morales sans personnalité juridique propre;

d)      la municipalité dans laquelle le bénéficiaire réside ou est enregistré et, le cas échéant, le code postal ou la partie de ce code qui indique la municipalité;

e)      pour le […] FEAGA, le montant des paiements directs au sens de l’article 2, point d), du règlement (CE) n° 782/2003 reçus par chaque bénéficiaire au cours de l’exercice concerné;

f)      pour le FEAGA, le montant des paiements autres que ceux visés au point e) reçus par chaque bénéficiaire au cours de l’exercice concerné;

g)       pour le […] Feader, le montant total des financements publics reçus par chaque bénéficiaire au cours de l’exercice concerné, comprenant à la fois la contribution communautaire et la contribution nationale;

h)      la somme des montants visés aux points e), f) et g) reçus par chaque bénéficiaire au cours de l’exercice concerné;

i)      la devise de ces montants.»

45.      L’article 1er, paragraphe 2, autorise les États membres à publier des informations plus détaillées que celles prévues à l’article 1er, paragraphe 1.

46.      L’article 2 énonce que «[l]es informations visées à l’article 1er sont publiées sur un site internet unique par État membre et peuvent être consultées au moyen d’un outil de recherche permettant de rechercher les bénéficiaires par nom, municipalité, montants reçus visés aux points e), f), g) et h) de l’article 1er, ou en utilisant une combinaison de ces critères, et d’extraire toutes les informations correspondantes sous forme d’un ensemble de données unique».

47.      L’article 3 dispose que les informations concernant les bénéficiaires doivent être publiées au plus tard le 30 avril pour l’exercice précédent et rester accessibles sur le site web pendant deux ans à compter de la date de leur publication initiale.

48.      L’article 4 prévoit que:

«1.      Les États membres signalent aux bénéficiaires que les données les concernant seront rendues publiques conformément au règlement (CE) n° 1290/2005 et au présent règlement, et que ces données peuvent être traitées par les organes des Communautés et des États membres compétents en matière d’audit et d’enquête afin de protéger les intérêts financiers des Communautés.

2.      Dans le cas des données à caractère personnel, les informations visées au paragraphe 1 sont communiquées dans le respect des prescriptions de la directive 95/46/CE, et les bénéficiaires sont informés des droits que leur confère cette directive en tant que personnes concernées ainsi que des procédures applicables pour exercer ces droits.

3.      Les informations visées aux paragraphes 1 et 2 sont communiquées aux bénéficiaires sur les formulaires de demande de fonds en provenance du FEAGA et du Feader, ou de quelque autre manière au moment de la collecte des données. […]»

49.      L’article 5 impose à la Commission d’assurer, à partir de son adresse Internet centrale, la mise en place et la maintenance d’un site web communautaire comprenant les liens vers les sites web de tous les États membres.

 Faits, procédure et questions déférées

50.      Dans ces deux affaires, les requérantes sont respectivement une société de droit civil (Volker und Markus Schecke GbR, dans l’affaire C‑92/09) et une personne physique (M. Hartmut Eifert, dans l’affaire C‑93/09), qui gèrent chacune une exploitation agricole. Les deux requérantes s’opposent à la publication d’informations les concernant, en application du règlement n° 259/2008, en tant que bénéficiaire de subventions agricoles. Le 31 décembre 2008, un paiement de 64 623,65 euros a été accordé à Volker und Markus Schecke GbR. Le 5 décembre 2008, un paiement de 6 110,11 euros a été accordé à M. Eifert au titre de l’aide aux exploitations agricoles dans les zones défavorisées.

51.      Les formulaires de demande d’aides contenaient la mention suivante: «Je reconnais avoir pris connaissance du fait que l’article 44 bis du règlement (CE) n° 1290/2005 impose la publication d’informations relatives aux bénéficiaires du FEAGA et du Feader ainsi qu’aux montants reçus pour chaque bénéficiaire. La publication concerne toutes les mesures qui font l’objet d’une demande dans le cadre de la demande commune en tant que demande unique au sens de l’article 11 du règlement (CE) n° 796/2004 [(23)] et est effectuée tous les ans jusqu’au plus tard le 31 mars de l’année suivante».

52.      Les noms des bénéficiaires, leur municipalité de résidence et leur code postal, ainsi que les montants perçus, sont disponibles sur le site Internet (24) de la Bundesanstalt für Landwirtschaft und Ernährung (ci-après la «BfLE», Agence fédérale pour l’agriculture et la nutrition), qui a qualité d’intervenant dans les procédures nationales. Le site est équipé d’un outil de recherche qui permet aux utilisateurs, simplement en renseignant un seul champ de recherche (par exemple le code postal), d’obtenir la liste correspondante des noms des bénéficiaires d’aides provenant du FEAGA ou du Feader. Dans les mentions du site figure l’avertissement suivant à propos de la protection des données: «lors de chaque accès au serveur, des données sont enregistrées à des fins statistiques et de sauvegarde. L’adresse IP du fournisseur de services Internet, la date et l’heure ainsi que le site Internet visité sont conservés pendant une durée limitée. Les données sont utilisées exclusivement aux fins de l’amélioration du service Internet et ne sont pas transmises à des tiers, ni exploitées d’une manière permettant d’identifier les utilisateurs».

53.      Volker und Markus Schecke GbR ainsi que M. Eifert ont assigné le Land Hessen, respectivement le 26 septembre et le 18 décembre 2008. Ils ont tous deux sollicité une ordonnance interdisant la publication de leurs données personnelles en tant que bénéficiaires d’aides provenant des fonds.

54.      Les requérantes estiment que l’article 44 bis du règlement nº 1290/2005 méconnaît le droit communautaire de la protection des données. Les informations publiées sur le site Internet sont des données à caractère personnel et il n’existe aucun intérêt public prépondérant justifiant que l’on porte atteinte à leurs droits.

55.      Le Land Hessen fait valoir que l’obligation des États membres de publier ces données sur Internet résulte de l’article 44 bis du règlement n° 1290/2005, lu en combinaison avec le règlement n° 259/2008. Selon lui, la validité de ces dispositions ne fait aucun doute. La publication répond à un intérêt public prépondérant, en ce qu’elle favorise la transparence en matière de dépenses agricoles et la prévention des irrégularités, sans toutefois aller au-delà de ce qui est nécessaire dans une société démocratique. De plus, les requérantes ont été informées, dans le formulaire de demande d’aide, du fait que les autorités étaient tenues de publier leurs données à caractère personnel et, par conséquent, que le dépôt du formulaire de demande d’aide valait consentement à cette divulgation au sens de l’article 7, sous a), de la directive 95/46. Le Land Hessen argue que, en tout état de cause, les requérantes auraient pu se soustraire à la publication en renonçant aux aides.

56.      La juridiction de renvoi considère que les griefs des requérantes concernent la validité des articles 42, point 8 ter, et 44 bis du règlement n° 1290/2005 et du règlement n° 259/2008. S’il s’avère que ces mesures sont invalides, le traitement des données par la BfLE sera illicite et il devra en conséquence être fait droit à l’interdiction sollicitée par les requérantes.

57.      La juridiction de renvoi a également identifié une série de questions plus techniques quant à savoir si l’obligation de publier des données à caractère personnel des bénéficiaires recevant des aides du FEAGA et du Feader était compatible avec certains aspects de la réglementation communautaire sur la protection des données et, plus particulièrement, avec les directives 95/46 et 2006/24.

58.      Par conséquent, le juge national a sursis à statuer et a déféré les questions préjudicielles suivantes à la Cour:

«1)      Les articles 42, point 8 ter, et 44 bis du [règlement nº 1290/2005], introduits par le [règlement nº 1437/2007] sont-ils invalides?

2)      Le [règlement n° 259/2008]:

a)      est-il invalide,

b)      ou bien n’est-il valide que parce que la [directive 2006/24] est invalide?

Dans l’hypothèse où les dispositions citées dans les première et deuxième questions sont valides:

3)      L’article 18, paragraphe 2, deuxième tiret, de la [directive 95/46] doit-il être interprété en ce sens que la publication en vertu du [règlement n° 259/2008] ne peut avoir lieu que si elle a été précédée de la procédure prévue par cet article en lieu et place de la notification à l’autorité de contrôle?

4)      L’article 20 de la [directive 95/46] doit-il être interprété en ce sens que la publication en vertu du [règlement n° 259/2008] ne peut avoir lieu que lorsque le contrôle préalable que le droit national prescrit pour ce cas de figure a été réalisé?

5)      Dans l’hypothèse d’une réponse affirmative à la quatrième question: l’article 20 de la [directive 95/46] doit-il être interprété en ce sens qu’un contrôle préalable n’est pas valable lorsqu’il a été effectué sur la base d’un registre, au sens de l’article 18, paragraphe 2, deuxième tiret, de cette même directive, qui ne contient pas toutes les informations prescrites?

6)      L’article 7 – en particulier sous e), en l’espèce – de la [directive 95/46] doit‑il être interprété en ce sens qu’il s’oppose à une pratique consistant à enregistrer les adresses IP des utilisateurs d’un site Internet, sans leur consentement exprès?»

59.      Des observations écrites ont été présentées au nom de Volker und Markus Schecke GbR, du Land Hessen, des gouvernements hellénique, néerlandais et suédois, du Conseil de l’Union européenne et de la Commission; tous (à l’exception du gouvernement néerlandais) ont présenté des observations orales à l’audience du 2 février 2010.

 Appréciation

60.      Les six questions déférées par le juge national peuvent être subdivisées comme suit.

61.      Les première et deuxième questions, sous a), constituent le cœur du renvoi préjudiciel. Par ces questions, la juridiction de renvoi s’interroge sur la validité de la législation de l’UE qui prévoit la publication obligatoire sur Internet de certaines données concernant les bénéficiaires du FEAGA et du Feader. J’examinerai ces questions en premier, après avoir formulé plusieurs observations préliminaires.

62.      Ensuite, la juridiction de renvoi soumet trois questions précises concernant certaines dispositions de la directive 95/46, qui régit la notification des traitements de données (troisième, quatrième et cinquième questions). Si la Cour se rallie aux réponses que je propose aux première et deuxième questions, sous a), il sera (à proprement parler) inutile d’examiner ces questions. Pour le cas où la Cour serait en désaccord avec moi, je les examinerai brièvement.

63.      Enfin, la juridiction de renvoi pose deux questions relatives aux «utilisateurs» des données disponibles sur Internet et à l’interprétation de la directive 2006/24 [deuxième question, sous b), et sixième question]. Pour des raisons que j’exposerai ultérieurement, j’estime que ces questions sont irrecevables.

 Première question et deuxième question, sous a)

 Observations préliminaires

–       Introduction

64.      Je ne m’attarderai pas sur une longue exégèse de l’importance de droits fondamentaux dans l’ordre juridique de l’Union européenne. Les droits fondamentaux constituent un élément essentiel de cet ordre juridique depuis de nombreuses années (25). La CEDH jouit d’une position spéciale en tant que source de ces droits et la Cour prête une attention particulière à la jurisprudence de la Cour européenne des droits de l’homme (à laquelle je me référerai, dans un souci de concision, par l’expression la «Cour de Strasbourg») (26). Il est pour moi inconcevable qu’un acte de droit dérivé de l’UE portant atteinte, de manière générale, à des droits fondamentaux, ou plus particulièrement à la CEDH ou à la charte, puisse être considéré comme valide par la Cour (27).

65.      Je commencerai par une brève description des objectifs concurrents qu’il convient de concilier dans cette affaire, soit le droit d’accès à l’information, dans un souci de transparence, d’une part, et les droits au respect de la vie privée et à la protection des données à caractère personnel, d’autre part. J’examinerai ensuite une objection spécifique qui a été opposée aux requérantes se prévalant de droits dont elles auraient autrement pu bénéficier (droit au respect de la vie privée et/ou à la protection des données personnelles) – à savoir que, en signant les demandes de financement provenant de la PAC, elles ont consenti à la publication litigieuse.

–       Transparence et communication de l’information

66.      L’importance de la transparence est fermement ancrée dans le droit de l’Union. L’article 1er TUE fait référence aux décisions «prises dans le plus grand respect possible du principe d’ouverture» (28). La Cour a décrit la finalité du principe de transparence comme consistant à offrir aux citoyens le plus large accès possible à l’information, en vue de renforcer le caractère démocratique des institutions et de l’administration (29). Communiquer au public des données relatives aux bénéficiaires des fonds de l’Union européenne faisant l’objet d’une gestion partagée est l’une des mesures spécifiques définies par l’IET (30). Au niveau politique, la transparence a ainsi été reconnue comme étant un composant essentiel d’une administration publique démocratique.

67.      La question de savoir si la transparence est un principe général du droit de l’UE (31) ou encore si, effectivement, elle constitue elle-même un droit fondamental est moins claire. Le concept de transparence et son statut en droit de l’Union ont été abordés dans des affaires portant sur l’accès aux documents (32). Dans ses conclusions dans l’affaire Conseil/Hautala (33), l’avocat général Léger a décrit la transparence du processus de prise de décision comme un droit fondamental, dans un contexte où il était question d’offrir au public le plus large accès possible aux documents détenus par les institutions. Cependant, la Cour n’a pas expressément envisagé cette question. Dans l’arrêt Interporc/Commission (34), la Cour n’a pas admis l’argument de la requérante selon lequel la transparence était un principe général du droit communautaire devant prévaloir sur la décision 94/90/CECA, CE, Euratom (35), l’instrument juridique sur lequel la Commission a fondé sa décision refusant d’accorder l’accès aux documents (36). Je laisserai délibérément cette question ouverte, puisqu’il n’est pas nécessaire qu’elle soit tranchée dans la présente affaire. En effet, la classification d’un objectif donné comme droit fondamental n’est pas une condition préliminaire pour que cet objectif tombe dans le champ des exceptions de l’article 8, paragraphe 2, de la CEDH.

68.      La juridiction nationale semble avoir des doutes sur la question de savoir si la transparence peut, en elle-même, constituer un objectif et la regarde simplement comme une façon de décrire les mesures litigieuses. Ces doutes me semblent infondés. Bien qu’il soit parfaitement vrai que la transparence n’est pas un «droit», au sens où ce n’est pas quelque chose qui est cité explicitement dans le texte classique de la CEDH, elle a (très clairement) été approuvée comme un objectif souhaitable et nécessaire dans une société démocratique. Il y est expressément fait référence dans la charte – une énumération démocratique de droits fondamentaux bien plus récente (37). Par conséquent, je partirai de l’idée qu’une action entreprise dans un souci de transparence est une action entreprise en vue de réaliser un objectif qui est démocratiquement souhaitable.

69.      La transparence, par sa nature même, doit être une notion plastique. Elle a pour vocation de promouvoir une société démocratique plus ouverte. La transparence peut aider à protéger les citoyens contre les abus de pouvoir. Plus généralement, accorder un large accès à l’information afin que le public soit averti et que le débat soit démocratique permet aux citoyens d’exercer un contrôle effectif sur l’usage que les autorités publiques font du pouvoir qui leur a été attribué par ces mêmes citoyens. Ainsi, la transparence signifie le contrôle du public sur les institutions publiques. D’ordinaire, il y a lieu de se féliciter en présence d’une plus grande transparence (par opposition à une moindre transparence), puisque celle-ci équivaut à davantage d’ouverture et d’obligations démocratiques de rendre des comptes.

70.      Toutefois, la transparence doit parfois (comme en l’espèce) être contrebalancée par un autre objectif concurrent. Dans cette mesure, la transparence absolue n’est pas nécessairement un bien absolu. Parfois, «le mieux est l’ennemi du bien». Partant, la «transparence maximale dans l’intérêt du public» ne peut devenir un leitmotiv justifiant que les droits individuels soient écartés. Dans la présente affaire, afin de déterminer où se situe le juste équilibre entre la transparence, d’une part, et le respect de la vie privée et la protection des données à caractère personnel, d’autre part, il sera nécessaire d’examiner ce à quoi tend exactement la transparence dans le cadre spécifique de la PAC.

–       Les droits au respect de la vie privée et à la protection des données personnelles

71.      Deux droits distincts sont invoqués en l’espèce: un droit classique (la protection de la vie privée en vertu de l’article 8 de la CEDH) et un droit plus moderne (les dispositions de la convention nº 108 relatives à la protection des données). Les dispositions de la charte désignent des droits similaires, respectivement aux articles 7 et 8. La Cour a reconnu qu’il existait un lien étroit entre les droits fondamentaux au respect de la vie privée et le droit à la protection des données (38).

72.      La Cour de Strasbourg a déjà jugé qu’une personne morale (ainsi qu’une personne physique) pouvait invoquer l’article 8 de la CEDH (39) et que la protection conférée par cet article s’étendait aux activités professionnelles et commerciales (40). Les droits au respect de la vie privée et à la protection des données peuvent donc, à première vue, être invoqués par chacune des requérantes dans les procédures nationales (eu égard aux contenus respectifs de ces droits, il serait absurde de soutenir qu’une personne morale peut invoquer l’article 8 de la CEDH, mais non la convention nº 108). De même, la Cour de Strasbourg a retenu que la vie privée comprend des éléments se rapportant à l’identité d’une personne, tels que son nom (41), et que la protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée d’une personne (42).

73.      Comme nombre des droits classiques protégés par la CEDH, le droit au respect de la vie privée n’est pas un droit absolu. L’article 8, paragraphe 2, de la CEDH admet expressément la possibilité de déroger à ce droit, tout comme l’article 9 de la convention nº 108 s’agissant du droit à la protection des données à caractère personnel. De même, l’article 52 de la charte prévoit (en termes généraux) des conditions similaires, qui, si elles sont remplies, autorisent les exceptions (ou les dérogations) aux droits prévus par la charte.

–       Le «consentement» à la publication empêche-t-il de se prévaloir ensuite des droits allégués?

74.      L’ordonnance de renvoi et les observations écrites du Land Hessen débattent de la question de savoir si la circonstance que les requérantes ont été informées, sur le formulaire de demande sollicitant l’aide de la PAC, du fait que leurs données feraient l’objet d’un traitement et qu’elles ont néanmoins signé le formulaire de demande signifie qu’elles ne peuvent ensuite s’opposer à la publication. Cette question soulève deux difficultés distinctes: a) les requérantes ont-elles «indubitablement» donné leur consentement au sens de l’article 7, sous a), de la directive 95/46 [de sorte que celui-ci était «libre, spécifique et informé», conformément à la définition de l’article 2, sous h), de cette directive], rendant ainsi le traitement de leurs données licite en vertu de ce consentement; b) un quelconque principe de droit administratif de l’Union fait-il obstacle à ce qu’elles invoquent les droits dont elles auraient autrement bénéficié?

75.      S’agissant de la première difficulté, l’agent de la Commission, répondant à une question directe posée par la Cour pendant l’audience, a expressément confirmé que cette institution n’a pas cherché à se fonder sur le consentement visé à l’article 7, sous a), de la directive 95/46, mais qu’elle s’est exclusivement fondée sur les dispositions de l’article 7, sous c) (aux termes desquelles ce traitement était «nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis»). Le Conseil n’a pas tenté de faire valoir un point de vue différent.

76.      En se fondant sur l’article 7, sous c), de la directive 95/46, la Commission postule que les deux obligations légales en vertu desquelles les données des bénéficiaires percevant des fonds du FEAGA ou du Feader font l’objet d’un traitement [article 44, sous a), du règlement nº 1290/2005 et, plus particulièrement, règlement n° 259/2008] sont valables. Toutefois, si l’une ou chacune de ces dispositions devait être considérée comme invalide, ce moyen justifiant le traitement des données tomberait. Le responsable du traitement ne serait plus soumis à une obligation légale de traiter les données. Dans des procédures où c’est (précisément) la validité des dispositions imposant cette obligation légale qui est en cause, cet argument conduit donc à tourner en rond. Je ne m’y attarderai pas davantage et reviendrai plutôt sur la question du consentement.

77.      Les requérantes ont-elles indubitablement donné leur consentement en signant le formulaire de demande? Leur conseil a affirmé que le libellé précis figurant sur le formulaire de la PAC (43) signifie qu’une signature implique simplement que l’on a connaissance de la publication à venir, plutôt que l’on y consent. À le considérer de plus près, cet argument plutôt technique semble réellement pertinent.

78.      Le formulaire de demande parle en effet de la «publication des informations relatives aux bénéficiaires du FEAGA et du Feader ainsi qu’aux montants reçus par chaque bénéficiaire» et cite l’article 44 bis du règlement nº 1290/2005 et, de surcroît, l’article 11 du règlement n° 796/2004). Pris isolément – c’est-à-dire examiné sans avoir à portée de main les textes complets non seulement du règlement nº 1290/2005, mais également du règlement n° 259/2008 –, le formulaire de demande ne précise pas de manière claire que celui qui présente une demande consent à la publication de son nom, de sa municipalité de résidence (ainsi que, le cas échéant, de son code postal) et des montants qui lui sont accordés par le FEAGA et/ou le Feader. Cette personne n’aura conscience qu’il s’agit là de la véritable signification de son consentement à la publication que si elle a connaissance de ce que prévoit l’article 1er, paragraphe 1, du règlement n° 259/2008. Seule cette disposition expose en détail ce qu’emporte cette publication. Mais le règlement n° 259/2008 n’est pas mentionné dans la notice relative au formulaire et l’on ne peut déduire son existence à la lecture du texte de l’un des deux règlements mentionnés par le formulaire de demande.

79.      L’article 7 de la directive 95/46 énumère de manière exhaustive les conditions strictes en vertu desquelles le traitement des données peut être effectué de manière licite. L’article 7, sous a), exige que la personne concernée ait «indubitablement» donné son consentement. L’information préalable selon laquelle on prend acte qu’une publication quelconque interviendra n’est pas la même chose que le fait de consentir «indubitablement» à un certain type de publication détaillée. On ne peut davantage la décrire comme une «manifestation libre [et] spécifique [de la] volonté» des requérantes, conformément à la définition du consentement de la personne concernée qui figure à l’article 2, sous h). Par suite, j’estime que les requérantes n’ont pas consenti au traitement (c’est-à-dire, en l’espèce, à la publication) de leurs données au sens de l’article 7, sous a), de la directive 95/46.

80.      Cela étant dit, l’argument technique a peu de chances de prospérer à long terme. Quand bien même il serait retenu en l’espèce, il pourrait facilement être renversé à l’avenir en modifiant simplement la rédaction du formulaire et en mentionnant le règlement n° 259/2008, afin de faire en sorte que le consentement donné par la personne concernée soit tout à fait univoque. Par conséquent, il est nécessaire d’examiner la seconde difficulté.

81.      L’article 7 de la directive 95/46 pose le cadre qui légitime le traitement de données à caractère personnel au sein des États membres (44). Il se situe dans la droite ligne de l’article 8, paragraphe 2, de la charte, qui prévoit que les données doivent être traitées loyalement et «sur la base du consentement de la personne concernée» (ou en vertu d’un autre fondement légitime prévu par la loi). L’article 7, sous a), de la directive 95/46 ajoute une précision supplémentaire, selon laquelle le consentement doit «indubitablement» avoir été donné. Dans ce cadre, il me semble, tout d’abord, qu’il convient nécessairement d’examiner la nature du consentement allégué et le fait qu’une personne introduisant une demande doit pouvoir faire valoir – même si son consentement a été donné volontairement – qu’elle n’aurait pas dû être forcée à renoncer au droit en question ou que son consentement n’a pas été donné librement.

82.      La première branche de l’alternative n’appelle pas de longs développements. S’agissant de la seconde, je suis prête à accepter qu’une situation de contrainte économique significative suffise pour que ce consentement ne soit pas considéré comme volontaire [et donc qu’il ne soit pas «libre» au sens de l’article 2, sous h), de la directive 95/46].

83.      Déterminer si cette contrainte a réellement existé en l’espèce est une question de fait qu’il appartient au juge national de trancher. Il est utile de rappeler que, au cours de l’audience, l’avocat des requérantes a indiqué – sans avoir été contredit par aucune institution – que les financements versés par la PAC peuvent représenter entre 30 et 70 % des revenus d’un exploitant agricole.

84.      La situation dans laquelle une personne approcherait une banque en vue d’obtenir un prêt a été citée à titre de possible contre-exemple (par la Cour): peut-elle ou non choisir d’accepter le prêt aux conditions dans lesquelles il est proposé? Quel que soit le véritable degré de choix commercial qui est offert à une personne présentant une demande sur le marché, il n’y a ici qu’un seul «banquier» qui puisse mettre à disposition les fonds de soutien que l’Union européenne considère qu’il est opportun et juste de verser aux exploitants agricoles. Il a été suggéré qu’en réalité il n’y a aucune alternative pratique à la PAC pour nombre d’exploitants agricoles qui présentent une demande de financement provenant de la PAC. Ils s’appuient sur ces financements pour être en mesure de gérer des exploitations agricoles viables de petite taille ou de taille moyenne, qui génèrent un niveau de revenu convenable pour eux et leurs familles. À nouveau, c’est une question de fait qui relève de la compétence exclusive du juge national.

85.      Cependant, il me semble que, en principe, une personne sollicitant un financement auprès d’un organisme public, tel que l’Union européenne (que l’Union agisse seule ou conjointement avec les États membres), ne peut être tenue, au titre des seules conditions pour obtenir ce financement, de renoncer à un droit fondamental dont elle aurait autrement pu tirer une protection.

86.      Dans ces circonstances, j’estime que le fait que les requérantes aient signé les formulaires de demande de financement provenant de la PAC ne s’oppose pas à ce qu’elles invoquent leur droit à la protection des données (que ce soit en vertu de la directive 95/46 ou de la convention n° 108). En conséquence, il convient que la Cour examine les difficultés qui sont au cœur de cette affaire.

 Analyse

87.      Il est clair que la Cour doit aborder la première et la deuxième question, sous a), en procédant à une analyse par étapes (bien que certaines puissent être examinées assez brièvement) (45). Puisque l’action intentée devant le juge national est fondée sur une prétendue violation des droits des requérantes au respect de la vie privée et à la protection des données à caractère personnel, ces droits (plutôt que le droit à la transparence) doivent servir de point de départ. Y a-t-il une ingérence dans l’exercice des droits au respect de la vie privée et à la protection des données à caractère personnel? Dans l’affirmative, cette ingérence est-elle «prévue par la loi»? Est-ce (en principe) une mesure qui, «dans une société démocratique, est nécessaire», au motif qu’elle correspond à un besoin social impérieux? Est-elle proportionnée? Répondre à cette dernière question implique de définir clairement et précisément l’objectif exact des mesures contestées, en examinant si les mesures particulières qui ont été choisies (avec le degré particulier d’ingérence dans l’exercice de ces droits qu’elles entraînent) sont aptes à atteindre l’objectif poursuivi par celles-ci et en vérifiant qu’elles ne vont pas au-delà de ce qui est nécessaire pour y parvenir.

–       Y a-t-il une ingérence dans l’exercice d’un droit protégé?

88.      Le Conseil et la Commission admettent tous deux que la législation en cause conduit à une ingérence dans l’exercice du droit au respect de la vie privée des requérantes, mais considèrent que celle-ci est moins grave que l’ingérence examinée par la Cour dans l’arrêt ÖRF (46). Cependant, la Commission soutient que la législation est compatible avec le droit fondamental à la protection des données à caractère personnel. Le Conseil ne se prononce pas sur ce point.

89.      Selon moi, les mesures litigieuses constituent clairement une ingérence dans l’exercice à la fois du droit au respect de la vie privée et à la protection des données à caractère personnel des requérantes.

90.      Dans l’arrêt ÖRF, les entités publiques soumises au contrôle du Rechnungshof (Cour des comptes autrichienne) étaient tenues de lui communiquer les traitements et pensions dépassant un certain niveau, versés à leurs salariés et à leurs pensionnés, ainsi que le nom des bénéficiaires. Ces informations étaient utilisées en vue de l’établissement d’un rapport annuel à transmettre au Nationalrat, au Bundesrat ainsi qu’aux Landtage (les chambres basse et haute du Parlement fédéral et les parlements des Länder) et mis à disposition du grand public. La Cour a jugé que la directive 95/46 était applicable; elle a admis que la communication à un tiers de données relatives aux rémunérations versées par un employeur constituait une ingérence dans l’exercice du droit à la vie privée prévu à l’article 8 de la CEDH, puis a poursuivi son analyse en examinant si cette ingérence était justifiée.

91.      Dans l’affaire Satakunnan Markkinapörssi et Satamedia (47), les données auxquelles les questions font référence comprenaient les nom et prénom de certaines personnes physiques dont le revenu excédait certains seuils ainsi que, à 100 euros près, le montant de leurs revenus du capital et du travail et des indications concernant l’imposition de leur patrimoine. Ces données, que le journal était en mesure d’obtenir auprès des autorités fiscales finlandaises en vertu de la législation nationale relative à l’accès du public à l’information, étaient publiées sous forme d’une liste par ordre alphabétique et classées par commune et par catégorie de revenus. Toute personne pouvait cependant demander à ce que les données la concernant soient retirées de la liste. Ces données consistaient clairement en des «données à caractère personnel» ayant fait l’objet d’un «traitement» au sens de la directive 95/46. Si la Cour n’avait pas estimé que les activités de traitement des données litigieuses étaient réalisées «aux seules fins de journalisme» au sens de l’article 9 de la directive, ces activités auraient constitué une ingérence illicite dans l’exercice des droits de ces individus au respect de la vie privée et à la protection de leurs données à caractère personnel.

92.      Dans la présente affaire, les bénéficiaires de la PAC sont désignés individuellement, par leur nom. L’adresse à laquelle ils peuvent être trouvés est définie avec un degré de précision considérable, puisque la municipalité où ils résident est donnée, ainsi que, lorsque c’est possible, le code postal. Les codes postaux s’appliquent généralement à une zone géographique plutôt réduite (faute de quoi ils présenteraient un intérêt limité pour le tri du courrier). Lorsqu’on les combine avec d’autres sources d’information faciles à obtenir en ligne (telles que les annuaires téléphoniques), ils permettent fréquemment de découvrir l’adresse exacte d’une personne. Le montant exact de l’aide que les bénéficiaires obtiennent de la PAC est publié. Il est plausible que ces informations permettent, à tout le moins dans certains cas, de tirer des conclusions (correctes ou erronées) quant au niveau global des revenus des bénéficiaires (48). Partant, la démarche adoptée par la Cour dans les arrêts ÖRF et Satakunnan Markkinapörssi et Satamedia peut aisément être appliquée ici. En effet, les deux premières questions déférées, en interrogeant sur la validité de ces mesures, cherchent en substance à déterminer si cette ingérence est ou non justifiée. Leur point de départ (à raison, selon moi) consiste à dire qu’il y a eu ingérence.

–       L’ingérence est-elle «prévue par la loi»?

93.      Mis à part l’exception prévue à l’article 1er, paragraphe 2, du règlement n° 259/2008, sur lequel je reviendrai plus tard (49), j’estime que les exigences de publication sont suffisamment claires et précises pour satisfaire à la condition selon laquelle la publication doit être «prévue par la loi» ou effectuée «en vertu d’un […] fondement [...] prévu par la loi»: ces différentes formulations – qui sont pour moi synonymes – sont tirées, respectivement, de l’article 8, paragraphe 2, de la CEDH et de l’article 8, paragraphe 2, de la charte, puis de l’article 52, paragraphe 1, de la charte. Les dispositions litigieuses énoncent clairement que certaines informations relatives aux bénéficiaires seront publiées et précisent la forme que revêtira cette publication.

–       La publication est-elle, en principe, «nécessaire», «dans une société démocratique», au motif qu’elle correspond à un besoin social impérieux?

94.      L’objectif général affirmé des dispositions dont la validité est contestée dans les deux premières questions (article 42, point 8 ter, et 44 bis du règlement n° 1290/2005 et règlement n° 259/2008) est de mettre en œuvre l’IET et d’accroître la transparence dans l’utilisation des fonds de la PAC (50). Favoriser la transparence est, en principe, un fondement légitime justifiant une ingérence dans l’exercice des droits au respect de la vie privée et à la protection des données à caractère personnel. En affirmant cela, je veux simplement dire qu’il s’agit, potentiellement, d’un but légitime, qui peut être considéré comme nécessaire dans une société démocratique (51). Par suite, je suis prête à admettre que, en principe – et j’insiste sur ces mots – un certain degré d’ingérence dans l’exercice des droits au respect de la vie privée et à la protection des données à caractère personnel, aux fins de favoriser la transparence dans le processus démocratique, est «nécessaire» «dans une société démocratique», car elle correspond à un besoin social impérieux.

95.      Pour le dire dans les termes de la charte, favoriser la transparence dans le processus démocratique est un «fondement légitime» justifiant le traitement des données au sens de l’article 8, paragraphe 2, et répond aux «objectifs d’intérêt général reconnus par l’Union» aux fins de l’article 52, paragraphe 1.

96.      Si, et dans la mesure où une juste application du principe de transparence signifie qu’il convient de prendre des mesures pour informer le grand public (qu’il y a lieu de distinguer de groupes particuliers de personnes au sein du public, tels que les journalistes d’investigation, lesquels disposent – peut-être – de davantage de temps et de ressources pour consulter les sources traditionnelles d’information, comme les registres tenus par les maisons communales et les ouvrages de référence que seules possèdent les plus grandes bibliothèques publiques), le support de publication qui vient immédiatement à l’esprit est aujourd’hui Internet. Cependant, l’accessibilité, les possibilités de recherche et la facilité même d’utilisation d’Internet impliquent que, potentiellement, cette publication constituera une intrusion corrélativement plus importante dans les droits des requérantes au respect de la vie privée et à la protection de leurs données à caractère personnel que des publications réalisées de manière plus traditionnelle. Lorsqu’on examine si la publication de données à caractère personnel, moyennant un certain niveau de détails, constitue une ingérence justifiée et proportionnée dans l’exercice de ces droits, il convient de garder à l’esprit la nature et les conséquences d’une publication sur Internet.

97.      Le Conseil et la Commission ont interprété les articles 42, point 8 ter, et 44 bis du règlement n° 1290/2005, en ce sens qu’ils visent une publication dans laquelle les bénéficiaires individuels sont identifiés par leur nom, en relation avec les montants qu’ils reçoivent. Je procéderai à une distinction entre ces deux dispositions.

98.      L’article 42, point 8 ter, est une disposition d’habilitation – ni plus ni moins. Elle délègue à la Commission les compétences nécessaires à l’adoption de règles détaillées. Je ne partage pas la position de la juridiction de renvoi, selon laquelle l’article 42, point 8 ter, est contraire à l’article 202, troisième tiret, CE (compétences d’exécution conférées à la Commission par le Conseil) et à l’article 211, quatrième tiret, CE (exercice par la Commission de ces compétences déléguées) (52).

99.      Il est vrai que l’article 42, point 8 ter, est rédigé en termes généraux. Toutefois, le Conseil jouit d’un large pouvoir d’appréciation dans la fixation des paramètres dans le cadre desquels la Commission peut agir dans l’exercice de compétences déléguées. Le Conseil n’est pas tenu de préciser les éléments essentiels de cette compétence. Une compétence générale est suffisante (53).

100. De plus, la Commission n’a pas reçu un pouvoir discrétionnaire illimité dans le cadre duquel agir. L’article 42, point 8 ter, prévoit que la Commission doit adopter des règles détaillées «conformément à la législation communautaire relative à la protection des données». Ainsi, lorsque l’article 42, point 8 ter, impose que ces règles contiennent des dispositions aux termes desquelles les données «peuvent être rendues publiques», cela ne signifie pas que les règles adoptées doivent l’être sous la forme choisie par la Commission. La Commission a plutôt reçu le pouvoir d’adopter des règles détaillées, mais uniquement des règles d’une nature qui ne porte pas atteinte de manière inacceptable au droit à la protection des données à caractère personnel.

101. Par conséquent, je ne vois aucune raison de mettre en doute la validité de l’article 42, point 8 ter, du règlement n° 1290/2005.

102. Il en va différemment en ce qui concerne l’article 44 bis. Bien que les termes «publication annuelle a posteriori des noms des bénéficiaires du FEAGA et du Feader» n’exigent pas, en eux-mêmes, que l’on puisse identifier les bénéficiaires individuels par ce biais [en effet, cette formule fait simplement écho au libellé de l’article 53 ter, paragraphe 2, sous d), du règlement financier], les conditions suivantes, qui visent à assurer la publication des «montants reçus pour chaque bénéficiaire au titre de chacun de ces Fonds» et selon lesquelles la publication comprend, «dans le cas du Feader, le montant total du financement public par bénéficiaire», lues en combinaison avec les treizième et quatorzième considérants du règlement n° 1437/2007 (qui a introduit la modification fondamentale apportée au règlement n° 1290/2005), indiquent que l’article 44 bis du règlement n° 1290/2005 doit être interprété en ce sens qu’il exige une publication individuelle.

103. Une telle publication individuelle pourrait être de nature à correspondre aux exigences du règlement n° 259/2008. Dans la présente affaire, c’est cette forme spécifique de «publication dans un souci de transparence» dont il convient d’évaluer la proportionnalité. Cependant, j’estime qu’en principe il est possible qu’une publication individualisée amène à communiquer moins d’informations sur la personne concernée – par exemple, en ne reliant pas le nom de chaque bénéficiaire à la municipalité où il réside et/ou au code postal.

–       L’ingérence est-elle proportionnée?

104. Une jurisprudence constante de la Cour énonce que «[…]le principe de proportionnalité, qui fait partie des principes généraux du droit communautaire, exige que les actes des institutions communautaires ne dépassent pas les limites de ce qui est approprié et nécessaire à la réalisation des objectifs légitimes poursuivis par la réglementation en cause, étant entendu que, lorsqu’un choix s’offre entre plusieurs mesures appropriées, il convient de recourir à la moins contraignante, et que les inconvénients causés ne doivent pas être démesurés par rapport aux buts visés» (54).

105. Il ne suffit pas, pour le Conseil et la Commission, d’invoquer simplement le principe de transparence dans des termes généraux pour démontrer que les mesures particulières qui ont été mises en place sont justifiées et, par conséquent, que la réglementation est parfaitement valide. En effet, le caractère nécessaire, approprié et proportionné d’une mesure législative ne peut être évalué qu’au regard d’un objectif précis et spécifique. La transparence, en tant que telle, a clairement été appréhendée comme souhaitable, en tant que valeur sociale et démocratique. Mais à quoi tend, précisément, la transparence dans le cadre spécifique de ces deux règlements?

106. Les considérants du règlement n° 1437/2007 (qui ont introduit les modifications pertinentes apportées au règlement n° 1290/2005), ainsi que les considérants du règlement n° 259/2008, fixent les objectifs des mesures litigieuses dans des termes qui sont à même de satisfaire l’exigence selon laquelle les actes législatifs doivent être motivés (55).

107. Ainsi, le treizième considérant expose que l’objectif du règlement n° 1437/2007 est de mettre en œuvre l’IET en ce qui concerne les dépenses de la PAC. Le quatorzième considérant confirme que la publication annuelle a posteriori des noms des bénéficiaires du FEAGA et du Feader vise à accroître la transparence et à améliorer la bonne gestion financière de l’utilisation des fonds de la PAC, notamment en renforçant le contrôle public de l’utilisation des sommes concernées. Ces considérants indiquent, également, que le législateur avait conscience que toute ingérence dans l’exercice du droit au respect de la vie privée et du droit à la protection des données à caractère personnel se devrait d’être proportionnée.

108. Le deuxième considérant du règlement n° 259/2008 reproduit les termes liminaires du quatorzième considérant du règlement n° 1437/2007, indiquant que «[c]ette publication [...] vise à accroître la transparence de l’utilisation des Fonds et à contribuer à leur bonne gestion financière». Le troisième considérant affirme qu’il y a lieu de définir les «prescriptions minimales» applicables au contenu de la publication, tout en rappelant qu’«il convient que ces prescriptions n’aillent pas au-delà de ce qui est nécessaire, dans une société démocratique, pour atteindre les objectifs poursuivis». Le sixième considérant reprend, mot pour mot, les deux premières phrases du quatorzième considérant du règlement n° 1437/2007. Les autres considérants du règlement de la Commission ajoutent simplement que, «[a]fin de respecter les exigences en matière de protection des données», il convient, préalablement à la publication, d’informer les bénéficiaires de cette publication et des droits que leur confère la [directive 95/46]» (septième considérant) (56) et que, «[d]ans un souci de transparence», «il convient également d’informer les bénéficiaires des fonds que [...] leurs données à caractère personnel peuvent être traitées par les organes des Communautés et des États membres compétents en matière d’audit et d’enquête» (huitième considérant).

109. Dans les observations écrites, de nombreux développements ont été consacrés à l’examen des obligations de publication en lien avec plusieurs autres fonds de l’Union européenne, notamment avec le Fonds social européen (ci-après le «FSE»). En substance, les requérantes font observer que le FSE n’exige pas que les bénéficiaires d’aides financières soient nommés. Par analogie, elles soutiennent que la situation des bénéficiaires des fonds de la PAC devrait être identique. Le Conseil et la Commission contestent tous deux cette analogie, arguant que la situation des bénéficiaires n’est pas la même dans les deux secteurs. Premièrement, les paiements provenant du FSE ne sont pas versés directement à des personnes physiques ou morales en tant que bénéficiaires, mais à des organisations intermédiaires (telles qu’une autorité régionale), pour un projet donné. Deuxièmement, une divulgation équivalente, dans le cadre du FSE, conduirait à une ingérence beaucoup plus grave dans l’exercice du droit au respect de la vie privée du bénéficiaire final, car la divulgation révélerait des éléments se rapportant à la situation ou au statut personnel du bénéficiaire, comme un handicap ou une situation de chômage, ce qui (aux dires des institutions) n’est nullement le cas s’agissant des bénéficiaires de la PAC.

110. Il me semble qu’il y a, à la fois, des similitudes et des différences entre les fonds et je ne suis pas certaine qu’il y ait beaucoup à gagner à s’engager ici dans une comparaison détaillée. En effet, la structure des dispositions financières est différente. Cela étant, la manière dont les institutions ont mis en œuvre l’IET dans d’autres secteurs peut apporter des éclairages, en proposant des voies alternatives pour réconcilier les objectifs de transparence, d’une part, et les droits au respect de la vie privée et à la protection des données à caractère personnel, d’autre part.

111. Le secteur de la pêche est un secteur dans lequel les paiements sont effectués directement auprès des bénéficiaires, mais l’objectif de transparence est atteint d’une manière différente, peut-être plus ciblée. Ainsi, l’article 51 du règlement (CE) n° 1198/2006 (57) prévoit une publication qui permet d’établir clairement le lien entre l’aide, le projet et le bénéficiaire. Par conséquent, il est relativement aisé de comprendre en quoi cette information peut éclairer le débat public sur le financement dans le secteur de la pêche. Un tel lien entre, d’une part, le bénéficiaire et le montant de l’aide qu’il a reçue et, d’autre part, la finalité en vue de laquelle l’aide est accordée fait défaut dans les dispositions en matière de publication qui sont en cause dans la présente affaire.

112. Au bout du compte, il me semble toutefois que les dispositions en matière de publication qui ont été adoptées pour chaque fonds, afin de mettre en œuvre l’IET, doivent être évaluées – si et dans la mesure où cela est nécessaire – à l’aune des circonstances, des conditions et des objectifs particuliers définis par le législateur. Selon moi, il n’existe aucune règle automatique permettant de déterminer ce qui est acceptable et ce qui ne l’est pas.

113. Pour résumer ma position jusqu’ici: le libellé des considérants et des dispositions de fond qui sont en cause permettent d’étayer la conclusion selon laquelle l’ingérence, dans un souci de transparence, dans l’exercice des droits au respect de la vie privée et à la protection des données à caractère personnel pourrait satisfaire aux conditions du principe de proportionnalité. Cependant, afin de conclure définitivement sur la question de savoir si l’ingérence est effectivement proportionnée, il est nécessaire d’examiner les éléments supplémentaires avancés par les parties au cours de la phase orale de la procédure.

114. À l’audience, les différents objectifs possibles ont longuement été examinés. Chacune des institutions a présenté des observations générales à propos du fait que la transparence est un droit fondamental et de son importance en tant que principe démocratique. Le Conseil a soutenu que la publication ne permettait pas, en tant que telle, de tirer de conclusions sur la situation personnelle ou la rémunération des bénéficiaires (allégation qui a catégoriquement été contredite, à la fois par l’avocat des requérantes et par M. Volker Schecke, qui s’est adressé en personne à la Cour en réponse à une question posée par cette dernière) (58). Les institutions ont toutes deux fait valoir des arguments généraux relatifs à l’importance d’une bonne gestion des fonds de la Communauté et à la nécessité, pour les citoyens, de pouvoir participer à un débat public (59) (vaguement défini) d’une quelconque façon (non précisée). Le Conseil a insisté sur le fait que la publication n’était pas qu’une question de transparence: elle a également trait au contrôle du public. Si la publication devait être limitée aux bénéficiaires principaux du FEAGA et du Feader, elle ne permettrait pas d’informer les contribuables d’une communauté donnée, qui justifient d’un intérêt pour l’aide accordée à leurs voisins, ni de leur donner des moyens d’agir. Elle fait également partie du débat public et il est, par conséquent, nécessaire d’identifier à la fois les bénéficiaires principaux et les bénéficiaires secondaires de l’aide, sans distinction. La Commission s’est élevée contre cette affirmation: l’objectif des mesures n’était pas, selon elle, de permettre aux individus de satisfaire leur curiosité malsaine à propos de la situation financière de leurs voisins. L’objectif était, au contraire, de favoriser un débat public sur la question de savoir si les aides de la PAC devaient être modifiées ou, éventuellement, accordées de manière différente. Par exemple, y a-t-il lieu d’attribuer cette aide à de grandes entreprises ou à de petites exploitations agricoles locales? Doit-elle être concentrée dans les zones défavorisées?

115. Il a spécifiquement été demandé à la Commission si la publication des informations relatives aux bénéficiaires était destinée à renforcer la prévention des fraudes, en permettant un degré accru de vigilance de la part du grand public. Elle a catégoriquement réfuté cette suggestion, en affirmant que les mesures existantes de lutte contre la fraude étaient adaptées (60). Le Conseil s’est montré manifestement en désaccord avec la Commission sur ce point (plutôt important), lorsqu’il affirme que la publication est bénéfique, car il est bon d’améliorer la prévention des fraudes. Néanmoins, le Conseil n’est pas allé – tel que je le comprends – jusqu’à prétendre que les règles détaillées mises en place par la Commission étaient destinées, en premier lieu, à atteindre cet objectif.

116. Ainsi, l’objectif était-il de fournir au grand public un meilleur niveau de connaissances et de conscience quant à la façon dont les fonds de la PAC sont dépensés? Les institutions répondent par l’affirmative. Mais alors pourquoi, dans ce cas, était-il nécessaire de publier les noms et les adresses de chaque bénéficiaire, accompagnés du montant reçu? Pourquoi ne pas avoir préféré une quelconque forme d’agrégation des données? Le public aurait pu être suffisamment informé, de manière sûre, en regroupant les informations dans des catégories pertinentes, préservant par là même l’anonymat des bénéficiaires individuels. Comme le répond la Commission, ce serait très lourd à gérer en termes administratifs; par ailleurs, une partie de l’objectif était d’améliorer la connaissance, par le grand public, de l’identité des bénéficiaires et du montant des concours financiers qu’ils reçoivent (61). Je prends cela comme un argument (indirect) selon lequel le grand public devrait disposer d’informations précises concernant les bénéficiaires. Il n’était et il n’est toujours pas certain que la Commission visait «tous les bénéficiaires» ou simplement des individus tels que «le comte autrichien» (que l’agent de la Commission n’a, par courtoisie, pas désigné par son nom au cours de l’audience), lequel est apparemment l’un des principaux bénéficiaires des fonds de la PAC.

117. Ainsi, il est apparu que les institutions avaient une compréhension plutôt différente des objectifs des dispositions législatives litigieuses. La Commission a, à plusieurs reprises, fait référence au «débat public». Toutefois, elle n’a pas défini ce que cela signifiait réellement. Elle n’a pas davantage expliqué pourquoi il était nécessaire de publier sur Internet, sous une forme ventilée, les informations personnelles, littéralement, de millions de personnes, afin de stimuler (ou peut-être de faciliter) ce débat. Le Conseil a en outre mentionné le fait que la publication se justifiait aux fins d’améliorer le contrôle du public sur les dépenses de la PAC, dans le cadre de la lutte contre la fraude – position à laquelle la Commission a expressément refusé de souscrire.

118. Selon moi, cela ne saurait suffire. La Cour doit évaluer la proportionnalité des mesures choisies en fonction du résultat recherché. Dans cette affaire, dès lors que l’on tente de procéder à cette évaluation, il devient, selon moi, impossible de conclure à la validité de la législation. La nature vague (si ce n’est, dans les faits, contradictoire) des objectifs que les institutions prétendent poursuivre ne permet pas de conclure que les mesures mises en place satisfont aux conditions du principe de proportionnalité. Au contraire, les discussions qui ont eu lieu à l’audience (qui reposaient sur les éléments avancés dans les observations écrites des institutions et, dans une certaine mesure, qui ont été suscitées par ces éléments) ont clairement établi que, selon le type d’objectif que le législateur définit, de façon précise, comme objectif principal, une forme différente de publication des données pourrait à la fois être moins intrusive et plus appropriée.

119. Permettez-moi d’illustrer ce point. Si l’enjeu consiste à savoir précisément qui perçoit des niveaux très élevés de financement provenant du budget de la PAC, la publication doit effectivement communiquer les noms des bénéficiaires (qu’il s’agisse de sociétés ou de personnes physiques) et faire apparaître le(s) montant(s) reçu(s) par chacun, mais cette publication doit être limitée à ceux qui perçoivent un montant supérieur à un seuil défini pour chaque année civile. En revanche, si l’objectif sous-tendant la publication est de permettre au public de participer, de manière éclairée, au débat permettant de savoir si la majorité des aides de la PAC devrait aller à une catégorie d’exploitants agricoles plutôt qu’à une autre ou si un type particulier d’activité agricole devrait bénéficier de davantage d’aide qu’une autre, les données doivent être publiées sous une forme agrégée permettant à une personne ordinaire du grand public de comprendre où vont actuellement les fonds. Les éléments présentés par les institutions, à la fois par écrit et à l’oral pendant l’audience, n’expliquent manifestement pas en quoi la forme spécifique de publicationchoisie – des données brutes qui ne sont pas groupées, agrégées ou reliées en pratique à une caractéristique évidente de la PAC dont le public pourrait vouloir débattre – répond de manière proportionnée aux objectifs qui lui étaient impartis.

120. Aux fins d’éviter tout malentendu, permettez-moi d’être très claire sur deux points. En premier lieu, je ne suis pas en train de dicter à la Commission la forme précise sous laquelle elle devrait publier les données. Je ne suis pas statisticienne; de plus, c’est le rôle du législateur, non de la Cour. Ce que j’affirme, c’est que, lorsque le législateur a choisi une forme particulière de publication qui entraîne une ingérence dans l’exercice d’un droit, l’institution responsable doit être en mesure d’expliquer à la Cour en quoi cette forme particulière de publication est nécessaire, appropriée et proportionnée à l’objectif spécifique qu’elle poursuit. Selon moi, ces explications n’ont pas été apportées en l’espèce. Je ne considère pas que la commodité administrative (bien que celle-ci soit assurément souhaitable du point de vue d’une institution) constitue en soi une justification adéquate.

121. En second lieu, je ne suis pas davantage en train d’imposer ce que l’objectif précis de la publication devrait être. À nouveau, c’est là le rôle du législateur (qui bénéficie naturellement d’une marge d’appréciation raisonnable dans son choix). Des objectifs distincts (multiples) requièrent en effet des formes distinctes (multiples) de publication. Mais l’on doit pouvoir justifier la proportionnalité de chaque forme à la lumière de l’objectif précis, clairement identifié, qu’elle poursuit.

 Conclusion sur la proportionnalité et réponses proposées à la première et à la deuxième question, sous a)

122. La motivation des considérants du règlement nº 1437/2007 (qui a introduit les modifications pertinentes au règlement nº 1290/2005) et du règlement n° 259/2008 est appropriée, mais elle est rédigée en termes généraux. Considérer que les articles 42, point 8 ter, et 44 bis du règlement nº 1290/2005 et le règlement n° 259/2008 constituent une ingérence proportionnée dans l’exercice du droit au respect de la vie privée et du droit à la protection des données à caractère personnel revient donc à s’interroger sur l’existence d’une explication plausible justifiant la forme particulière de publication choisie par les institutions, moyennant un certain niveau de détail (des données brutes totalement désagrégées), ainsi que sur la question de savoir si cette forme de publication était nécessaire, appropriée et proportionnée en vue d’atteindre l’objectif précis qu’elle poursuit.

123. De mon point de vue, les institutions n’ont pas fourni à la Cour d’explications qui, après analyse, résisteraient à l’examen. Je ne pense pas que la Cour doive entériner d’office une législation qui renvoie, de façon tout à fait correcte, à des principes généraux éminemment souhaitables, mais – lorsqu’on cherche une explication plus précise afin de permettre à la Cour d’exercer ses fonctions juridictionnelles – qui révèle le même degré de confusion et d’incohérence interinstitutionnelle que celui apparu dans cette affaire.

–       Le règlement nº 1290/2005

124. S’agissant du règlement n° 1290/2005, l’examen de la première question ne révèle aucun élément susceptible d’affecter la validité de l’article 42, point 8 ter. Cependant, l’article 44 bis est invalide, dans la mesure où il impose la publication automatique des noms, de la municipalité de résidence et, le cas échéant, du code postal de tous les bénéficiaires du FEAGA et du Feader, ainsi que des montants reçus par chaque bénéficiaire en provenance de ces fonds.

–       Le règlement n° 259/2008

125.  La validité du règlement n° 259/2008 dépend totalement de la question de savoir si les règles détaillées qu’il édicte pour mettre en œuvre le règlement nº 1290/2005, tel qu’amendé par le règlement nº 1437/2007, sont proportionnées. À la lumière de ce que j’ai dit précédemment, il est évident que, de mon point de vue, elles ne le sont pas. Par conséquent, la réponse à la deuxième question, sous a), doit consister à dire que le règlement n° 259/2008 est invalide.

126. L’article 1er, paragraphe 2, du règlement n° 259/2008 mérite d’être brièvement discuté séparément. Cette disposition prévoit que «[l]es États membres sont autorisés à publier des informations plus détaillées que celles prévues au paragraphe 1» (qui fixe les exigences minimales de publication en vertu du règlement). Je suis déjà parvenue à la conclusion que le règlement n° 259/2008 devait être déclaré invalide dans sa totalité. Cependant, même si je n’étais pas parvenue à cette conclusion, j’aurais invité la Cour à annuler l’article 1er, paragraphe 2, de ce règlement.

127. La Commission a expliqué que, lorsqu’elle a rédigé le règlement, son objectif était de fixer les exigences de publication à un niveau qui respecterait les traditions variables qui existent au sein des États membres en matière de divulgation des données à caractère personnel. À titre préliminaire, je considère que les États membres sont, en tout état de cause, tenus de respecter les droits garantis par l’article 8 de la CEDH et par la convention nº 108. Ils n’ont pas besoin de la permission de la Commission pour publier des informations plus détaillées, dans la mesure où cela n’est pas contraire aux conditions prévues par ces dispositions. À l’inverse, cette permission ne permettrait pas de rendre licite ce qui, à défaut, serait illicite.

128. Plus fondamentalement, dans la mesure où l’article 1er, paragraphe 2, autorise ou entend autoriser une publication plus détaillée, je ne vois pas comment l’ingérence qui en résulterait, considérée à l’aune du droit de l’Union européenne, pourrait être «prévue par la loi». Pour qu’une ingérence soit «prévue par la loi» en vertu de l’article 8, paragraphe 2, de la CEDH, la règle autorisant l’ingérence doit user de termes assez clairs pour indiquer aux citoyens de manière suffisante en quelles circonstances les autorités publiques sont susceptibles de s’ingérer dans leur vie privée (62). De mon point de vue, il est impossible de prévoir, sur la base du texte de l’article 1er, paragraphe 2, quelle forme supplémentaire pourrait revêtir la publication, quelle information supplémentaire pourrait être divulguée ou les motifs qui pourraient être avancés pour justifier cette publication supplémentaire. C’est inacceptable et cela suffit à rendre la mesure illicite.

 Troisième, quatrième et cinquième questions

129. Il convient maintenant d’envisager les questions détaillées qui concernent la directive 95/46, comme annoncé au point 62 ci-dessus.

130.  Les troisième, quatrième et cinquième questions portent sur la section IX de la directive 95/46, dont les articles 18 à 21 traitent de la notification. En substance, le responsable du traitement des données [la personne qui détermine les finalités et les moyens du traitement des données à caractère personnel, telle que la définit l’article 2, sous d)] doit adresser une notification aux autorités de contrôle nationales concernées préalablement à la mise en œuvre du traitement de certaines données. L’objet de la notification est d’accroître la transparence pour les personnes concernées. À l’heure actuelle, chaque État membre dispose de ses propres règles de notification et de ses propres exceptions à l’obligation de notifier (63).

 Troisième question

131. Par la troisième question, la juridiction de renvoi cherche à savoir si l’inobservation de la procédure de notification prévue à l’article 18 de la directive 95/46 rend illicite tout traitement ultérieur de données à caractère personnel.

132. L’article 18, paragraphe 1, de la directive 95/46 prévoit qu’il convient de notifier l’autorité de contrôle préalablement à la mise en œuvre du traitement. Toutefois, l’article 18, paragraphe 2, permet aux États membres de prévoir des simplifications ou des dérogations à cette obligation dans deux cas: lorsqu’ils édictent des règles détaillées pour le traitement de certaines catégories de données qui ne sont «pas susceptibles [...] de porter atteinte aux droits et libertés des personnes concernées» (article 18, paragraphe 2, premier tiret) et lorsque le responsable du traitement des données désigne, conformément au droit national, un détaché à la protection des données à caractère personnel, chargé de garantir que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées (article 18, paragraphe 2, deuxième tiret). Le détaché à la protection des données est chargé «d’assurer, de manière indépendante, l’application interne des dispositions nationales prises en application de la [directive 95/46]» et de «tenir un registre des traitements effectués par le responsable du traitement [des données]» (64), ce qui permet ainsi une vérification a posteriori de ces opérations.

133. L’article 19, paragraphe 1, sous a) à f), fixe le contenu minimal des notifications en vertu de l’article 18. Les éléments visés à l’article 19, paragraphe 1, sous a) à e) inclus, doivent ensuite être consignés dans le registre des traitements afin de se conformer à l’article 21, paragraphe 2 (65). Les États membres sont libres de prévoir que des informations supplémentaires devront figurer dans les notifications et/ou dans le registre (66).

134. Le Land Hessen a choisi de transposer l’article 18, paragraphe 2, deuxième tiret, de telle sorte que la notification préalable des traitements à l’autorité de contrôle en vertu de l’article 18, paragraphe 1, n’est pas obligatoire. Dans ces circonstances (et contrairement à ce que soutient la juridiction de renvoi), rien n’impose qu’une «notification complète et probante» soit adressée. Le contrôle de la licéité du traitement est un contrôle a posteriori réalisé par le biais du registre, non un contrôle a priori.

135. L’information identifiée par la juridiction nationale comme étant absente du registre est une information qui va au-delà des exigences minimales de l’article 19, paragraphe 1, sous a) à e). La juridiction nationale note, par exemple, que le registre est «incomplet», car les informations relatives aux délais dans lesquels les données doivent être effacées font défaut. Cela rend-il illicite le traitement ultérieur des données au regard du droit de l’Union?

136. Je ne le pense pas.

137. Les États membres peuvent légitimement simplifier la procédure de notification ou exonérer certaines opérations de notification, à condition qu’ils se conforment aux conditions prévues à l’article 18, paragraphe 2. Pour respecter cette partie de la directive 95/46, il suffit que toute personne détachée à la protection des données, désignée en vertu de l’article 18, paragraphe 2, deuxième tiret, s’acquitte de son obligation première, qui consiste à «garanti[r] […] que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées», et que le registre des traitements comporte les informations minimales requises par l’article 21, paragraphe 2. Les conséquences (le cas échéant) résultant du fait que des informations supplémentaires allant au‑delà des éléments minimaux ne figurent pas dans ce registre relèvent du droit national, non du droit de l’Union.

 Quatrième question

138. La juridiction de renvoi souhaite savoir si l’article 20 de la directive 95/46 doit être interprété en ce sens que la publication des informations relatives aux bénéficiaires de fonds en provenance du FEAGA et du Feader ne peut avoir lieu que lorsque le contrôle préalable que le droit national prescrit a été réalisé. Elle estime que le droit fédéral allemand et le droit du Land Hessen exigent tous deux que ce contrôle préalable soit effectué. En l’absence d’un tel contrôle préalable, la publication ne serait pas loyale et licite au sens de l’article 6, paragraphe 1, sous a), de la directive 95/46.

139. Le Land Hessen fait valoir qu’un contrôle préalable, au sens de l’article 20 de la directive 95/46, n’est pas une condition préalable à la publication des informations relatives aux bénéficiaires en vertu du règlement n° 259/2008. En premier lieu, il soutient que l’article 20, paragraphe 1, ne soumet pas automatiquement l’ensemble des traitements à un contrôle préalable. En deuxième lieu, il affirme que la publication réalisée en vertu du règlement n° 259/2008 n’entraîne pas de «risques particuliers au regard des droits et libertés des personnes concernées». En troisième lieu, il souligne que, en tout état de cause, une mesure d’évaluation préliminaire est entreprise avant la publication, conformément aux dispositions combinées de l’article 44 bis du règlement n° 1290/2005 et du règlement n° 259/2008.

140. La directive 95/46 ne précise pas directement quels sont les traitements (67) qui doivent être considérés comme susceptibles de présenter un risque particulier au regard des droits et libertés des personnes concernées. Elle laisse cette responsabilité aux États membres. Ainsi, l’article 20, paragraphe 1, prévoit que «[l]es États membres précisent les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en œuvre» (c’est moi qui souligne). Seuls ces traitements doivent être soumis à un contrôle préalable, conformément à la procédure visée à l’article 20, paragraphe 2.

141. Cependant, le préambule de la directive 95/46 apporte un éclairage utile sur ce que l’article 20 est supposé couvrir. Ainsi, le cinquante-troisième considérant désigne certains traitements comme étant «susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées, du fait de leur nature, de leur portée ou de leurs finalités telles que celle d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, ou du fait de l’usage particulier d’une technologie nouvelle [...]». Le cinquante-quatrième considérant affirme que, «au regard de tous les traitements mis en œuvre dans la société, le nombre de ceux présentant de tels risques particuliers devrait être très restreint [...]».

142. L’article 20, paragraphe 1, s’applique, de prime abord, à l’ensemble des traitements. Il impose ensuite aux États membres de préciser quel sous-ensemble limité de traitements est «[susceptible] de présenter des risques particuliers au regard des droits et libertés des personnes concernées». S’agissant de ce sous‑ensemble limité (mais non des autres traitements), il existe une obligation de veiller à ce que ces traitements soient examinés avant leur mise en œuvre. La nature de ce contrôle préalable est précisée à l’article 20, paragraphe 2.

143. Toutefois, il revient aux États membres de préciser, en vertu du droit national, quelles sont les catégories de traitement auxquelles s’applique la procédure prévue à l’article 20, paragraphe 2. Il s’ensuit qu’il appartient au juge national – et au juge national uniquement – de déterminer si le droit national classe ou ne classe pas la publication des informations relatives aux bénéficiaires de fonds en provenance du FEAGA et du Feader parmi ce type de traitements.

144. Par conséquent, il me semble qu’il n’est pas nécessaire pour la Cour de répondre à la quatrième question.

 Cinquième question

145. La juridiction nationale souhaite savoir si l’article 20 de la directive 95/46 doit être interprété en ce sens qu’un contrôle préalable n’est pas valable lorsqu’il a été effectué sur la base d’un registre, au sens de l’article 18, paragraphe 2, deuxième tiret, qui ne contient pas toutes les informations prescrites.

146. Je dois admettre que je trouve cette question difficilement compréhensible. Les mentions figurant dans le registre qui sont visées aux articles 18, paragraphe 2, et 21 de la directive 95/46 sont les mentions des traitements notifiés en application de l’article 18. Toutefois, s’agissant des traitements dispensés de notification par un État membre en vertu de l’article 18, paragraphe 2, deuxième alinéa, la mention figurant dans le registre se réfère (conformément au libellé de cette disposition) à un «registre des traitements effectués par le responsable du traitement» – c’est-à-dire que la mention est inscrite après que le traitement a été effectué. À l’inverse, le contrôle préalable visé à l’article 20 consiste simplement en ceci: un contrôle qui est réalisé avant que le traitement ne débute. Par suite, l’autorité qui effectue le contrôle préalable ne peut en aucun cas être influencée par la mention qui figure au registre à propos de ce traitement, laquelle n’aura pas encore été inscrite. La «publicité» du traitement n’aura pas non plus été assurée (conformément à l’article 21, paragraphe 1) avant que ces informations aient été consignées dans le registre.

147. Bien entendu, la situation pourrait être différente si le législateur national, lorsqu’il a identifié une catégorie particulière de traitement qui mériterait un contrôle préalable conformément à l’article 20, avait précisé: a) que cette catégorie ne serait pas dispensée de notification en vertu de l’article 18, paragraphe 2; b) que, à réception de la notification, la mention appropriée devrait immédiatement être inscrite dans le registre; c) que certains éléments [au minimum, les informations énumérées à l’article 19, paragraphe 1, sous a) à f), mais il pourrait également s’agir d’informations plus détaillées] devraient être inscrits dans le registre et d) que l’autorité compétente devrait se fonder sur le contenu du registre pour décider si elle autorisait ou non un traitement. Mais il ne s’agit là que de simples spéculations. Rien dans l’ordonnance de renvoi ne suggère que le droit national prévoit de telles dispositions en ce qui concerne la publication des informations relatives aux bénéficiaires du FEAGA et du Feader.

148. En l’absence de données adéquates témoignant de la pertinence de la question – faute, dans les faits, d’éléments clairs reliant la question posée aux circonstances de l’espèce et aux questions que la juridiction nationale doit trancher –, je suggère que la Cour refuse de répondre à la question.

 Deuxième question, sous b), et sixième question

149. La deuxième question, sous b), et la sixième question soulèvent des interrogations relatives aux droits des utilisateurs (68) (c’est-à-dire les personnes qui souhaitent accéder aux données relatives aux bénéficiaires, publiées en vertu du règlement n° 259/2008) plutôt qu’aux droits des personnes concernées, telles que les requérantes.

150. J’estime que ces deux questions sont irrecevables.

 Deuxième question, sous b)

151. Cette question est rédigée de manière curieuse. Par cette question, la juridiction de renvoi cherche à savoir si le règlement n° 259/2008 n’est valide que parce que la directive 2006/24 est invalide. Tel que je le comprends, le raisonnement du juge national est le suivant. Les utilisateurs qui souhaitent accéder aux informations publiées en vertu du règlement n° 259/2008 ne peuvent le faire que par Internet. Cela signifie qu’ils ne peuvent pas le faire de manière anonyme, car les données les concernant seront conservées au maximum pendant deux ans en vertu de la directive 2006/24. Toutefois, si cette disposition prévue par la directive 2006/24 était invalide, cela aurait pour conséquence de rendre ladite directive invalide. Le corollaire de cette invalidité serait cependant que le règlement n° 259/2008 pourrait au bout du compte être considéré comme valide.

152. Les recours à l’encontre de la validité des actes de l’Union sont généralement fondés sur des moyens tirés de «l’incompétence [(69)], de la violation des formes substantielles [(70)], de la violation du traité [CE], ou de toute règle de droit relative à son application, ou d’un détournement de pouvoir» (71). C’est une chose inédite pour la Cour que d’être interrogée sur le fait que la validité d’une mesure de l’Union européenne (en l’espèce, le règlement n° 259/2008) soit contingente à la validité (ou à l’invalidité) d’une autre mesure de l’Union dans un domaine lointainement apparenté (en l’espèce, la directive 2006/24).

153. Selon moi, la deuxième question, sous b), est purement hypothétique. Par conséquent, elle est irrecevable, et ce pour deux raisons.

154. En premier lieu, la question ne présente aucune pertinence au regard du problème qui se pose dans la procédure au principal, qui consiste à déterminer si la juridiction nationale doit rendre une ordonnance faisant interdiction au Land Hessen de publier les données relatives aux requérantes, en leur qualité de bénéficiaires du FEAGA et du Feader.

155. Une jurisprudence constante de la Cour confirme que cette dernière n’examine pas les motifs ayant poussé une juridiction nationale à procéder à un renvoi préjudiciel. Une demande de décision préjudicielle ne peut être rejetée que lorsqu’il apparaît de manière manifeste que l’interprétation du droit de l’Union ou l’examen de la validité d’une règle de droit de l’Union sollicité par une juridiction nationale n’a aucun rapport avec la réalité de l’affaire ou l’objet du litige au principal (72). Or, nous sommes en présence d’une telle affaire.

156. Entendues de la manière la plus large, les affaires nationales portent sur les droits au respect de la vie privée et à la protection des données à caractère personnel des bénéficiaires du FEAGA et du Feader: plus précisément, elles portent sur la question de savoir si les données personnelles de ces bénéficiaires doivent ou non être divulguées au sein d’une base de données accessible par Internet. Les affaires nationales portent, par conséquent, sur les bénéficiaires en leur qualité de personneconcernée, mais elles n’abordent aucunement leur droit en qualité d’utilisateurs, voire les droits des tiers.

157. La validité de la directive 2006/24 n’a donc aucune influence sur les questions que le juge national doit trancher pour statuer sur le recours au principal.

158. En second lieu, le contexte dans lequel la question est soumise à la Cour n’a pas trait, s’agissant des faits, à des données relatives à une partie à la procédure au principal qui ont été conservées en vertu de la directive 2006/24 (et encore moins communiquées aux autorités compétentes en vertu de l’article 4 de ladite directive). Il serait très malvenu pour la Cour de s’engager dans un examen de la validité de la directive 2006/24 de manière abstraite. Il n’est pas davantage nécessaire d’examiner la validité de ladite directive pour parvenir à une conclusion sur la validité du règlement n° 259/2008.

159. Par voie de conséquence, je considère que la deuxième question, sous b), est irrecevable.

 Sixième question

160. La juridiction de renvoi souhaite savoir si l’article 7 de la directive 95/46 – en particulier, l’article 7, sous e) (73) – doit être interprété en ce sens qu’il s’oppose à la conservation des adresses IP des utilisateurs qui accèdent à des sites Internet contenant des informations publiées en vertu du règlement n° 259/2008, sans le consentement exprès de ses utilisateurs.

161. À nouveau, cette question me paraît quelque peu tortueuse. Telle que je la comprends, la juridiction de renvoi part du postulat que, si un utilisateur souhaite consulter les informations publiées en vertu du règlement n° 259/2008, il ne peut le faire que par Internet. Cela signifie que ses données à caractère personnel (l’adresse IP) feront l’objet d’un «traitement» au sens de la directive 95/46. La juridiction de renvoi cherche ainsi à savoir si la directive 95/46 s’oppose à ce traitement, sauf lorsqu’un consentement exprès a été donné.

162. Comme je l’ai déjà indiqué, l’action principale concerne la divulgation d’informations relatives aux personnes concernées (les bénéficiaires de fonds en provenance de la PAC). Cela ne concerne en rien les droits des utilisateurs (voire des utilisateurs en qualité de personne concernée). Par conséquent, la sixième question est également irrecevable, pour les raisons exposées ci-dessus.

 Conclusion

163. Par voie de conséquence, j’estime que, en réponse aux questions déférées par le Verwaltungsgericht Wiesbaden, la Cour devrait statuer comme suit:

«1)      L’examen de la première question ne révèle aucun élément susceptible d’affecter la validité de l’article 42, point 8 ter, du règlement (CE) n° 1290/2005 du Conseil, du 21 juin 2005, relatif au financement de la politique agricole commune.

2)      L’article 44 bis du règlement n° 1290/2005 est invalide, dans la mesure où il impose une publication automatique des noms, de la municipalité de résidence et, le cas échéant, du code postal de tous les bénéficiaires du Fonds européen agricole de garantie (FEAGA) et du Fonds européen agricole pour le développement rural (Feader), ainsi que des montants reçus par chaque bénéficiaire en provenance de ces fonds.

3)      Le règlement (CE) n° 259/2008 de la Commission, du 18 mars 2005, portant modalités d’application du règlement n° 1290/2005 en ce qui concerne la publication des informations relatives aux bénéficiaires de fonds en provenance du FEAGA et du Feader, est invalide.

4)      La deuxième question, sous b), et la sixième question sont irrecevables.

5)      Il n’est pas nécessaire de répondre aux troisième, quatrième et cinquième questions.»


1 – Langue originale: l’anglais.


2 – Signée à Rome le 4 novembre 1950.


3 – À l’instar de la CEDH, la convention nº 108 est en vigueur dans tous les États membres.


4 – Proclamée à Nice le 7 décembre 2000 (JO C 364, p. 1). Une version mise à jour a été approuvée par le Parlement européen le 29 novembre 2007, après suppression des références à la Constitution européenne avortée (JO C 303, p. 1, ci-après la «charte»).


5 – Directive du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31).


6 –      Le responsable du traitement est défini à l’article 2, sous d), comme la personne ou l’organisme qui détermine les finalités et les moyens du traitement de données à caractère personnel.


7 –      L’État membre désigne une ou plusieurs autorités de contrôle et les charge de surveiller l’application de la directive sur son territoire. Leurs missions et leurs compétences détaillées sont fixées par cet article. Plus précisément, chaque autorité de contrôle est chargée (en vertu de l’article 28, paragraphe 3, deuxième tiret) de rendre des avis préalablement à la mise en œuvre des traitements conformément à l’article 20.


8–       Directive du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54).


9 – L’article 2 de la directive 2006/24 dispose: «‘utilisateur’: toute entité juridique ou personne physique qui utilise un service de communications électroniques accessible au public à des fins privées ou professionnelles sans être nécessairement abonnée à ce service». L’article 2 de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201, p. 37), donne les définitions suivantes: «[…] b) ‘données relatives au trafic’: toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou de sa facturation; c) ‘données de localisation’: toutes les données traitées dans un réseau de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public».


10 – SEC(2005) 1300.


11 – Voir livre vert «Initiative européenne en matière de transparence» [COM(2006) 194 final, p. 3].


12 – Règlement (CE, Euratom) n° 1605/2002 du Conseil, du 25 juin 2002, portant règlement financier applicable au budget général des Communautés européennes (JO L 248, p. 1), modifié par le règlement (CE, Euratom) nº 1995/2006 du Conseil, du 13 décembre 2006 (JO L 390, p. 1), et par le règlement (CE) n° 1525/2007 du Conseil, du 17 décembre 2007 (JO L 343, p. 9).


13 –      Voir note 5.


14 –      Règlement du Parlement européen et du Conseil, du 18 décembre 2001, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8, p. 1).


15 – Règlement du 21 juin 2005, relatif au financement de la politique agricole commune (JO L 209, p. 1).


16 – Aux fins des présentes conclusions, il sera fait référence au FEAGA et au Feader sous la désignation «les fonds».


17 – Des dispositions détaillées relatives à l’évaluation de la conformité et à la surveillance menées par la Commission figurent également aux articles 32 à 37.


18 –      Règlement du 11 novembre 1996, relatif aux contrôles et vérifications sur place effectués par la Commission pour la protection des intérêts financiers des Communautés européennes contre les fraudes et autres irrégularités (JO L 292, p. 2). En général, ces principes consistent dans le fait que les informations obtenues en vertu du règlement sont couvertes par le secret professionnel et bénéficient de la même protection que celle accordée à des informations similaires par la loi nationale de l’État membre qui les a reçues et par les dispositions correspondantes applicables aux institutions communautaires. En particulier, la Commission doit s’assurer que, dans le cadre de la mise en œuvre du règlement, ses contrôleurs veillent au respect des dispositions communautaires et nationales relatives à la protection des données à caractère personnel, tel que le prévoit la directive 95/46.


19 – Règlement du Conseil, du 26 novembre 2007 (JO L 322, p. 1).


20 –       Avis du 10 avril 2007 (JO C 134, p. 1).


21 – Règlement du 18 mars 2008, portant modalités d’application du règlement n° 1290/2005 en ce qui concerne la publication des informations relatives aux bénéficiaires de fonds en provenance du Fonds européen agricole de garantie (FEAGA) et du Fonds européen agricole pour le développement rural (Feader) (JO L 76, p. 28).


22 – Les résultats de cette consultation ne sont pas publiés sur le site du Contrôleur européen de la protection des données.


23 – Règlement de la Commission, du 21 avril 2004, portant modalités d’application de la conditionnalité, de la modulation et du système intégré de gestion et de contrôle prévus par le règlement (CE) n° 1782/2003 du Conseil, du 23 septembre 2003, établissant des règles communes pour les régimes de soutien direct dans le cadre de la politique agricole commune et établissant certains régimes de soutien en faveur des agriculteurs (JO L 141, p. 18).


24 – http://www.agrar-fischerei-zahlungen.de.


25 – La jurisprudence de la Cour remonte à 1969: voir, par exemple, arrêts du 12 novembre 1969, Stauder (29/69, Rec. p. 419, point 7), et du 17 décembre 1970, Internationale Handelsgesellschaft (11/70, Rec. p. 1125, point 4). Plus récemment, voir arrêts du 20 mai 2003, Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 et C‑139/01, Rec. p. I‑4989, points 68 et 69, ci-après l’arrêt «ÖRF), et du 29 janvier 2008, Promusicae (C‑275/06, Rec. p. I‑271, point 62).


26 – Voir arrêts du 15 octobre 2002, Limburgse Vinyl Maatschappij e.a./Commission (C-238/99 P, C-244/99 P, C-245/99 P, C-247/99 P, C-250/99 P à C-252/99 P et C-254/99 P, Rec. p. I-8375, point 274), et du 29 juin 2006, Commission/SGL Carbon (C-301/04 P, Rec. p. I-5915, point 43). Voir, également, arrêt du 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia (C‑73/07, Rec. p. I-9831), et notamment point 37 des conclusions de l’avocat général Kokott dans cette affaire.


27 – Dans l’affaire Bosphorus (arrêt du 30 juillet 1996, C‑84/95, Rec. p. I‑3953), au point 53 de ses conclusions, l’avocat général Jacobs a affirmé que «[l]e respect des droits fondamentaux est […] une condition de légalité des actes communautaires».


28 – L’article 6, paragraphe 1, TUE affirme que l’Union européenne est fondée sur les principes de liberté, de démocratie, de respect des droits de l’homme et des libertés fondamentales, ainsi que sur l’État de droit, principes qui sont communs aux États membres.


29 – Arrêt du 6 décembre 2001, Conseil/Hautala (C‑353/99 P, Rec. p. I‑9565, point 24), et point 52 des conclusions de l’avocat général Léger dans cette affaire.


30 – Voir point 23 ci-dessus.


31 – La transparence est clairement considérée par certains commentateurs comme relevant de cette catégorie: voir, par exemple, Lenaerts, K., «In the Union we trust – Enhancing principles of Community Law», Common Market Law Review, 2004, p. 317, ainsi que Craig, P., et de Burca, G., EU Law: text, cases, and materials (4e édition), 2007, p. 567. Néanmoins, la Cour n’a pas encore tranché cette question de manière définitive.


32 – Voir, en particulier, arrêts du 30 avril 1996, Pays-Bas/Conseil (C‑58/94, Rec. p. I-2169, point 35); Conseil/Hautala, précité dans la note 29 ci-dessus (dans lequel la Cour examinait un pourvoi formé par le Conseil contre un arrêt du Tribunal annulant la décision du Conseil qui avait refusé l’accès à un rapport d’un groupe de travail du Conseil sur les exportations d’armes), point 22, et du 6 mars 2003, Interporc/Commission (C‑41/00 P, Rec. p. I‑2125, points 38 à 43).


33 – Précitée dans la note 29 ci-dessus, points 76 et 77.


34 – Précité dans la note 32 ci-dessus.


35 – Décision de la Commission, du 8 février 1994, relative à l’accès du public aux documents de la Commission (JO L 46, p. 58).


36 – Arrêt précité à la note 32 ci-dessus, point 43; voir, également, point 80 des conclusions de l’avocat général Léger dans cette affaire.


37 – La charte n’avait pas force obligatoire à l’époque où l’action a été intentée au principal: voir, par analogie, arrêt du 27 juin 2006, Parlement/Conseil (C‑540/03, Rec. p. I‑5769, point 38). À la suite de l’entrée en vigueur du traité de Lisbonne, avec effet au 1er décembre 2009, la charte a valeur d’acte de droit primaire (article 6, paragraphe 1, TUE).


38 – Voir arrêt Promusicae, précité à la note 25 ci-dessus, point 63, et point 51 des conclusions de l’avocat général Kokott; voir, plus récemment, conclusions de l’avocat général Ruiz-Jarabo Colomer dans l’affaire Rijkeboer (arrêt du 7 mai 2009, C‑553/07, Rec. p. I-3889), aux points 18 à 20. Le lien entre vie privée et protection des données se reflète également dans les dixième à douzième considérants et dans l’article 1er, paragraphe 1, de la directive 95/46. Sur ce point, voir également le Bundesverfassungsgericht (Cour constitutionnelle fédérale, Allemagne), arrêt du 15 décembre 1983 («Volkszählungsurteil», 1 BvR 209, 269, 362, 420, 440, 484/483, VCerfGE 65, 1), et, plus récemment, arrêt du 2 mars 2010 (BvR 256, 263, 586/08, disponible à l’adresse: www.bundesverfassungsgericht.de).


39 – Voir Cour eur. D. H., arrêt Niemietz c. Allemagne du 16décembre 1992, série A nº 251-B, § 29 à 31.


40 – Voir Cour eur. D. H., arrêts Société Colas Est et autres c. France, nº 37971/97, Recueil des arrêts et décisions 2002-III, § 41, et Peck c. Royaume-Uni, nº 44647/98, Recueil des arrêts et décisions 2003-I, § 57. Parmi les arrêts de la Cour elle-même, voir arrêt du 14 février 2008, Varec (C‑450/06, Rec. p. I‑581, point 48).


41 – Voir Cour eur. D. H., arrêts Von Hannover c. Allemagne, n° 59320/00, Recueil des arrêts et décisions 2004-VI, § 50 et jurisprudence citée, ainsi que Karakó c. Hongrie du 28 avril 2009, n° 39311/05, § 21.


42 – Voir Cour eur. D. H., arrêt S. et Marper c. Royaume-Uni [GC] du 4 décembre 2008, nº 30562/04 et nº 30566/04, § 103.


43 – Cité in extenso au point 51 ci-dessus.


44 – L’article 5 du règlement n° 45/2001 prévoit une protection équivalente en ce qui concerne le traitement de données effectuées par les institutions.


45 – Voir analyse de la Cour dans l’arrêt ÖRF, précité à la note 25 ci-dessus; conformément à une jurisprudence constante de la Cour de Strasbourg, les conditions sont cumulatives: voir, par exemple, Cour eur. D. H., arrêt Amann c. Suisse [GC], n° 27798/95, Recueil des arrêts et décisions 2000-II, § 80. Les exceptions que ménage l’article 8, paragraphe 2, de la CEDH appellent une interprétation étroite et leur nécessité dans un cas donné doit se trouver établie de manière convaincante: voir Cour eur. D. H., arrêts Funke c. France du 25 février 1993, série A n° 256-A, § 55 ainsi que jurisprudence citée, et Buck c. Allemagne, n° 41604/98, Recueil des arrêts et décisions 2005-IV, § 37.


46 – Précité à la note 25 ci-dessus et discuté au point 90 ci-dessous.


47 – Affaire précitée à la note 26 ci-dessus.


48 – Voir ci-dessus, point 83, et ci-dessous, point 114.


49 – Voir points 126 à 128 ci-dessous.


50 – Voir treizième et quatorzième considérants du règlement n° 1437/2007 et deuxième considérant du règlement n° 259/2008. De même, le règlement financier (dont la validité n’a pas été mise en cause) insiste sur l’importance de la transparence (troisième et douzième considérants); il édicte des dispositions imposant à la Commission de «communiquer, de manière appropriée, les informations qu’elle détient sur les bénéficiaires de fonds», et ce dans le respect des «exigences de confidentialité, en particulier de protection des données à caractère personnel» (article 30, paragraphe 3), et impose aux États membres d’«assurer, par le biais des réglementations sectorielles pertinentes et conformément à l’article 30, paragraphe 3, une publication annuelle a posteriori des noms des bénéficiaires des fonds en provenance du budget» [article 53 ter, paragraphe 2, sous d)].


51 – L’ingérence doit (naturellement) être énoncée avec suffisamment de précision pour être «prévue par la loi» (voir ci-dessus), mais, pour être licite, elle doit également être proportionnée.


52 – L’article 202 CE est désormais remplacé, en substance, par l’article 16, paragraphe 1, TUE et par les articles 290 TFUE et 291 TFUE. L’article 211 CE est désormais remplacé, en substance, par l’article 17, paragraphe 1, TUE.


53 – Arrêts du 17 décembre 1970, Köster (25/70, Rec. p. 1161, point 6); du 30 octobre  1975, Rey Soda e.a. (23/75, Rec. p. 1279, point 11), et du 27 octobre 1992, Allemagne/Commission (C‑240/90, Rec. p. I‑5383, point 41).


54 – Arrêt du 7 septembre 2006, Espagne/Conseil (C‑310/04, Rec. p. I‑7285, point 97). Voir, également, arrêts du 13 novembre 1990, Fedesa e.a. (C‑331/88, Rec. p. I‑4023, point 13); du 5 octobre 1994, Crispoltoni e.a. (C‑133/93, C‑300/93 et C‑362/93, Rec. p. I‑4863, point 41), et du 12 juillet 2001, Jippes e.a. (C‑189/01, Rec. p. I‑5689, point 81), ainsi que jurisprudence citée.


55 – Article 253 CE, devenu article 296 TFUE.


56 – Dans le même sens, voir dernière phrase du quatorzième considérant du règlement n° 1437/2007 et avis du Contrôleur européen de la protection des données du 10 avril 2007 (JO C 134, p. 1), auquel il est fait référence dans ce considérant.


57 – Règlement du Conseil, du 27 juillet 2006, relatif au Fonds européen pour la pêche (JO L 223, p. 1).


58 – M. Volker Schecke a insisté sur le lien étroit qui existe, dans bien des cas, entre la subvention provenant de la PAC et le revenu global obtenu par une exploitation agricole familiale qui subvient aux besoins d’un nombre connu de personnes. Il a confirmé, en fournissant des exemples, que l’intrusion dans la vie privée d’un bénéficiaire, qui résulterait du fait que les voisins tireraient avantage de cette publication, était parfois considérable.


59 – Au cours de l’audience, des exemples de débat(s) public(s) possible(s) susceptibles d’avoir lieu ont été cités: plus précisément, le débat journalistique qui a cours en France quant à savoir si de plus petites ou de plus grandes exploitations agricoles bénéficient d’aides (la Commission faisait ici référence à un article publié dans Le Monde du 30 mars 2010); le gouvernement grec a, quant à lui, mentionné son initiative visant à susciter un débat public avant la restructuration de la PAC envisagée en 2013. Cependant, les exemples ne définissent pas en eux-mêmes ce qui est un débat.


60 – Les mécanismes de contrôle pour contrer la fraude et prévenir les irrégularités sont en effet prévus par le règlement n° 1290/2005: voir, par exemple, articles 9 et 30 à 37.


61 – Au regard de certains éléments extérieurs, il semble que la reconnaissance de cet objectif résulte d’une initiative majeure prise par des journalistes d’investigation dans un grand nombre d’États membres, qui visait à déterminer si certains des principaux bénéficiaires des fonds de la PAC étaient de riches propriétaires terriens ou de grandes entreprises agricoles, plutôt que de petits exploitants. Voir The Guardian, lundi 22 janvier 2007, «So, that’s where the 100 billion went».


62 – Voir Cour eur. D. H., arrêt Malone c. Royaume-Uni du 2 août 1984, série A n° 82, § 67 et 68.


63 – Voir le vade-mecum sur les obligations de notification, adopté par le groupe de travail institué en vertu de l’article 29 de la directive 95/46, qui présente les bases du système de notification dans chaque État membre.


64 – L’article 21, paragraphe 2, impose aux États membres de prévoir que l’autorité de contrôle tient un registre des traitements notifiés en vertu de l’article 18.


65 – La «description générale permettant d’apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la sécurité du traitement en application de l’article 17», visée à l’article 19, paragraphe 1, sous f), est le seul élément qui ne doit pas être reporté dans le registre.


66 – Voir deuxièmes phrases des articles 19, paragraphe 1, et 21, paragraphe 2.


67 – Les traitements sont définis à l’article 2, sous b), de la directive 95/46, comme «toute opération ou ensemble d’opérations […] appliquées à des données à caractère personnel, telles que […] la communication par transmission, diffusion ou toute autre forme de mise à disposition […]».


68 – Les «utilisateurs» sont définis à l’article 2 de la directive 2006/24: voir note 9 ci-dessus.


69 – Voir, par exemple, arrêt du 5 octobre 2000, Allemagne/Parlement et Conseil (C‑376/98, Rec. p. I‑8419).


70 – Voir, par exemple, arrêt du 21 janvier 2003, Commission/Parlement et Conseil (C‑378/00, Rec. p. I‑937, point 34).


71 – Article 230 CE.


72 – Arrêts du 16 juin 1981, Salonia (126/80, Rec. p. 1563); du 10 septembre 2009, Eurawasser (C‑206/08, non encore publié au Recueil, points 33 et 34), et du 19 novembre 2009, Filipiak (C‑314/08, non encore publié au Recueil, points 40 à 42).


73 – L’article 7, sous e), autorise le traitement s’«il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique». Par ailleurs, les cas de figure visé à l’article 7, sous b) à f), revêtent la même importance, à la fois les uns par rapport aux autres et vis-à-vis du cas de figure visé à l’article 7, sous a) (la personne concernée a indubitablement donné son consentement). Par suite, il est plutôt difficile de concevoir en quoi l’article 7, sous e), pourrait s’opposer aux traitements, à moins que les conditions de l’article 7 ne soient remplies.