ARRÊT DE LA COUR (troisième chambre)
1er octobre 2015 (*)
«Renvoi préjudiciel – Directive 95/46/CE – Traitement des données à caractère personnel – Articles 10 et 11 – Information des personnes concernées – Article 13 – Exceptions et limitations – Transfert par une administration publique d’un État membre de données fiscales à caractère personnel en vue de leur traitement par une autre administration publique»
Dans l’affaire C‑201/14,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la cour d’appel de Cluj (Curtea de Apel Cluj, Roumanie), par décision du 31 mars 2014, parvenue à la Cour le 22 avril 2014, dans la procédure
Smaranda Bara e.a.
contre
Președintele Casei Naționale de Asigurări de Sănătate,
Casa Naţională de Asigurări de Sănătate,
Agenţia Naţională de Administrare Fiscală (ANAF),
LA COUR (troisième chambre),
composée de M. M. Ilešič, président de chambre, M. A. Ó Caoimh, Mme C. Toader, MM. E. Jarašiūnas et C. G. Fernlund (rapporteur), juges,
avocat général: M. P. Cruz Villalón,
greffier: Mme L. Carrasco Marco, administrateur,
vu la procédure écrite et à la suite de l’audience du 29 avril 2015,
considérant les observations présentées:
– pour Smaranda Bara e.a., par Mes C. F. Costaş et M. K. Kapcza, avocați,
– pour la Casa Naţională de Asigurări de Sănătate, par M. V. Ciurchea, en qualité d’agent,
– pour le gouvernement roumain, par M. R. H. Radu ainsi que par Mmes A. Buzoianu, A.‑G. Văcaru et D. M. Bulancea, en qualité d’agents,
– pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,
– pour la Commission européenne, par MM. I. Rogalski et B. Martenczuk ainsi que par Mme J. Vondung, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 9 juillet 2015,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 124 TFUE ainsi que des articles 10, 11 et 13 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31).
2 Cette demande a été présentée dans le cadre d’un litige opposant Mme Bara e.a. au Președintele Casei Naționale de Asigurări de Sănătate (président de la Caisse nationale de sécurité sociale), à la Casa Națională de Asigurări de Sănătate (Caisse nationale de sécurité sociale, ci‑après la «CNAS») et à l’Agenția Națională de Administrare Fiscală (Agence nationale d’administration fiscale, ci‑après l’«ANAF») à propos du traitement de certaines données.
Le cadre juridique
Le droit de l’Union
3 Aux termes de l’article 2 de la directive 95/46, intitulé «Définitions»:
«Aux fins de la présente directive, on entend par:
a) ‘données à caractère personnel’: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;
b) ‘traitement de données à caractère personnel’ (traitement): toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction;
c) ‘fichier de données à caractère personnel’ (fichier): tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;
d) ‘responsable du traitement’: la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire;
[...]»
4 L’article 3 de cette directive, intitulé «Champ d’application», est libellé comme suit:
«1. La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. La présente directive ne s’applique pas au traitement de données à caractère personnel:
– mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien‑être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,
– effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.»
5 L’article 6 de ladite directive, qui concerne les principes relatifs à la qualité des données, dispose:
«1. Les États membres prévoient que les données à caractère personnel doivent être:
a) traitées loyalement et licitement;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n’est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées;
c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement;
d) exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au‑delà de la période précitée, à des fins historiques, statistiques ou scientifiques.
2. Il incombe au responsable du traitement d’assurer le respect du paragraphe 1.»
6 L’article 7 de la même directive, qui porte sur les principes relatifs à la légitimation des traitements de données, énonce:
«Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si:
a) la personne concernée a indubitablement donné son consentement
ou
b) il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle‑ci
ou
c) il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis
ou
d) il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée
ou
e) il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées
ou
f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1.»
7 L’article 10 de la directive 95/46, intitulé «Informations en cas de collecte de données auprès de la personne concernée», énonce:
«Les États membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci‑dessous, sauf si la personne en est déjà informée:
a) l’identité du responsable du traitement et, le cas échéant, de son représentant;
b) les finalités du traitement auquel les données sont destinées;
c) toute information supplémentaire telle que:
– les destinataires ou les catégories de destinataires des données,
– le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d’un défaut de réponse,
– l’existence d’un droit d’accès aux données la concernant et de rectification de ces données,
dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données.»
8 L’article 11 de cette directive, intitulé «Informations lorsque les données n’ont pas été collectées auprès de la personne concernée», est libellé comme suit:
«1. Lorsque les données n’ont pas été collectées auprès de la personne concernée, les États membres prévoient que le responsable du traitement ou son représentant doit, dès l’enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard lors de la première communication de données, fournir à la personne concernée au moins les informations énumérées ci‑dessous, sauf si la personne en est déjà informée:
a) l’identité du responsable du traitement et, le cas échéant, de son représentant;
b) les finalités du traitement;
c) toute information supplémentaire telle que:
– les catégories de données concernées,
– les destinataires ou les catégories de destinataires des données,
– l’existence d’un droit d’accès aux données la concernant et de rectification de ces données,
dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données.
2. Le paragraphe 1 ne s’applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l’information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ou si la législation prévoit expressément l’enregistrement ou la communication des données. Dans ces cas, les États membres prévoient des garanties appropriées.»
9 Aux termes de l’article 13 de ladite directive, intitulé «Exceptions et limitations»:
«1. Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l’article 6 paragraphe 1, à l’article 10, à l’article 11 paragraphe 1 et aux articles 12 et 21, lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder:
a) la sûreté de l’État;
b) la défense;
c) la sécurité publique;
d) la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées;
e) un intérêt économique ou financier important d’un État membre ou de l’Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal;
f) une mission de contrôle, d’inspection ou de réglementation relevant, même à titre occasionnel, de l’exercice de l’autorité publique, dans les cas visés aux points c), d) et e);
g) la protection de la personne concernée ou des droits et libertés d’autrui.
2. Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les États membres peuvent, dans le cas où il n’existe manifestement aucun risque d’atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l’article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n’excédant pas celle nécessaire à la seule finalité d’établissement de statistiques.»
Le droit roumain
La loi no 95/2006
10 Il ressort de la décision de renvoi que l’article 215 de la loi no 95/2006 concernant la réforme dans le domaine de la santé (Legea nr. 95/2006 privind reforma în domeniul sănătății), du 14 avril 2006 (Monitorul Oficial al României, partie I, no 372, du 28 avril 2006), prévoit:
«(1) L’obligation de verser la contribution d’assurance maladie appartient à la personne physique ou morale qui emploie des personnes sur la base d’un contrat individuel de travail ou d’un statut spécial prévu par la loi, ainsi qu’aux personnes physiques, selon le cas.
(2) Les personnes morales ou physiques auprès desquelles les assurés exercent leurs activités sont tenues de déposer mensuellement auprès des caisses d’assurance librement choisies par les assurés des déclarations nominatives relatives aux obligations qui leur incombent vis‑à‑vis du fonds et la preuve du paiement des contributions.
[...]»
11 L’article 315 de cette loi énonce:
«Les données nécessaires à l’établissement de la qualité d’assuré sont transmises gratuitement aux caisses d’assurance maladie par les autorités, les institutions publiques et d’autres institutions, sur la base d’un protocole.»
L’arrêté du président de la CNAS no 617/2007
12 L’article 35 de l’arrêté du président de la CNAS no 617/2007, du 13 août 2007, portant approbation des règles méthodologiques concernant l’établissement des documents justificatifs pour acquérir la qualité d’assuré ou d’assuré non contributeur et l’application des mesures d’exécution forcée en vue de la perception des sommes dues au fonds national unique de sécurité sociale (Monitorul Oficial al României, partie I, no 649, du 24 septembre 2007), énonce:
«[...] pour les obligations de paiement à l’égard du fonds qui incombent aux personnes physiques qui souscrivent un contrat d’assurance, autres que celles pour lesquelles la perception des revenus est effectuée par l’ANAF, le titre de créance consiste, selon le cas, dans la déclaration [...], dans l’avis d’imposition émis par l’organe compétent de la CAS [caisse d’assurance maladie], ou dans les décisions de justice relatives à des dettes vis‑à‑vis du fonds. L’avis d’imposition peut être émis par l’organe compétent de la CAS également sur la base des informations reçues de l’ANAF sur la base d’un protocole.»
Le protocole de 2007
13 Aux termes de l’article 4 du protocole no P 5282/26.10.2007/95896/30.10.2007 conclu entre la CNAS et l’ANAF (ci‑après le «protocole de 2007»):
«Après l’entrée en vigueur du présent protocole, l’[ANAF], par l’intermédiaire de ses unités spécialisées subordonnées, transmettra, sous forme électronique, la base de données initiale concernant:
a. les revenus des personnes qui font partie des catégories prévues à l’article 1, paragraphe 1, du présent protocole et, trimestriellement, l’actualisation de cette base de données, à la [CNAS], sous une forme compatible avec le traitement automatique, conformément à l’annexe no 1 du présent protocole [...]
[...]»
Le litige au principal et les questions préjudicielles
14 Les requérants au principal tirent des revenus d’activités indépendantes. L’ANAF a transmis à la CNAS les données relatives à leurs revenus déclarés. Sur la base de ces données, la CNAS a exigé le paiement d’arriérés de contributions au régime d’assurance maladie.
15 Les requérants au principal ont saisi la cour d’appel de Cluj d’un recours dans le cadre duquel ils contestent la légalité du transfert des données fiscales relatives à leurs revenus au regard de la directive 95/46. Ils font valoir que ces données à caractère personnel ont été, sur la base d’un simple protocole interne, transmises et utilisées à des fins autres que celles pour lesquelles elles avaient été initialement communiquées à l’ANAF, sans leur consentement exprès et sans leur information préalable.
16 Il ressort de la décision de renvoi que les entités publiques sont habilitées, en vertu de la loi no 95/2006, à transmettre des données à caractère personnel aux caisses d’assurance maladie afin de permettre à ces dernières d’établir la qualité d’assuré des personnes concernées. Ces données concernent l’identification des personnes (nom, prénom, numéro d’identification personnel, adresse) mais ne comprennent pas celles relatives aux revenus perçus.
17 La juridiction de renvoi cherche à déterminer si le traitement des données par la CNAS nécessitait l’information préalable des personnes concernées quant à l’identité du responsable du traitement et au but dans lequel ces données ont été transmises. Cette juridiction est également appelée à se prononcer sur le point de savoir si la transmission des données sur la base du protocole de 2007 est contraire aux dispositions de la directive 95/46 qui exigent que toute restriction aux droits des personnes concernées soit prévue par la loi et assortie de garanties, notamment lorsque les données sont utilisées contre ces personnes.
18 Dans ces conditions, la cour d’appel de Cluj a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes:
«1) L’autorité fiscale nationale, en tant que représentante du ministère compétent d’un État membre, est‑elle une institution financière au sens de l’article 124 TFUE?
2) Le transfert de la base de données relative aux revenus perçus par les ressortissants d’un État membre, de l’autorité fiscale nationale vers une autre institution dudit État membre, peut‑il être réglementé par un acte assimilé aux actes administratifs, à savoir par un protocole conclu entre l’autorité fiscale nationale et une autre institution de l’État, sans que cela constitue un accès préférentiel, tel que défini à l’article 124 TFUE?
3) Le transfert de la base de données en vue de faire supporter à des citoyens d’un État membre des obligations de paiement à titre de contributions sociales, à l’égard de l’institution de l’État membre au bénéfice de laquelle ledit transfert est effectué, relève‑t‑il de la notion de considération d’ordre prudentiel au sens de l’article 124 TFUE?
4) Les données personnelles peuvent‑elles être traitées par une autorité qui n’était pas destinataire desdites données, dans des conditions où cette opération cause rétroactivement des préjudices patrimoniaux?»
Sur les questions préjudicielles
Sur la recevabilité
Sur la recevabilité des première à troisième questions
19 Selon une jurisprudence constante, la Cour peut refuser de statuer sur une question préjudicielle posée par une juridiction nationale lorsqu’il apparaît de manière manifeste que l’interprétation du droit de l’Union sollicitée n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées (voir arrêt PreussenElektra, C‑379/98, EU:C:2001:160, point 39 et jurisprudence citée).
20 Toutes les observations soumises à la Cour tendent à considérer que les première à troisième questions préjudicielles relatives à l’interprétation de l’article 124 TFUE sont irrecevables au motif qu’elles sont sans rapport avec l’objet du litige au principal.
21 À cet égard, il y a lieu de rappeler que l’article 124 TFUE relève de la troisième partie, titre VIII, du traité FUE relatif à la politique économique et monétaire. Cet article interdit toute mesure, ne reposant pas sur des considérations d’ordre prudentiel, qui établit un accès privilégié des institutions, des organes ou des organismes de l’Union, des administrations centrales, des autorités régionales ou locales, des autres autorités publiques ou d’autres organismes ou entreprises publics des États membres aux institutions financières.
22 Cette interdiction trouve son origine dans l’article 104 A du traité CE (devenu article 102 CE) qui a été inséré dans le traité CE par le traité de Maastricht. Elle fait partie des dispositions du traité FUE relatives à la politique économique qui visent à inciter les États membres à respecter une politique budgétaire saine en évitant qu’un financement monétaire des déficits publics ou un accès privilégié des autorités publiques aux marchés financiers ne conduise à un endettement excessif ou à des déficits excessifs des États membres (voir, en ce sens, arrêt Gauweiler e.a., C‑62/14, EU:C:2015:400, point 100).
23 Il est donc manifeste que l’interprétation de l’article 124 TFUE sollicitée n’a aucun rapport avec la réalité ou l’objet du litige au principal qui concerne la protection des données à caractère personnel.
24 Il s’ensuit qu’il n’y a pas lieu de répondre aux première à troisième questions.
Sur la recevabilité de la quatrième question
25 La CNAS et le gouvernement roumain soutiennent que la quatrième question est irrecevable. Ce gouvernement fait valoir qu’il n’existe aucun lien entre le préjudice invoqué par les requérants au principal et l’annulation des actes administratifs attaqués dans le cadre de la procédure au principal.
26 Il convient de rappeler, à cet égard, que, selon une jurisprudence constante de la Cour, les questions relatives à l’interprétation du droit de l’Union posées par le juge national dans le cadre réglementaire et factuel qu’il définit sous sa responsabilité, et dont il n’appartient pas à la Cour de vérifier l’exactitude, bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une demande de décision préjudicielle formée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées (arrêt Fish Legal et Shirley, C‑279/12, EU:C:2013:853, point 30 et jurisprudence citée).
27 Il convient de relever que l’affaire au principal porte sur la légalité du traitement des données fiscales collectées par l’ANAF. La juridiction de renvoi s’interroge sur l’interprétation des dispositions de la directive 95/46, dans le cadre du contrôle de la légalité du transfert de ces données à la CNAS et de leur traitement subséquent. La quatrième question préjudicielle est donc pertinente et suffisamment précise pour permettre à la Cour d’y répondre de façon utile. Dès lors, la demande de décision préjudicielle doit être considérée comme recevable en ce qui concerne la quatrième question.
Sur le fond
28 Par sa quatrième question, la juridiction de renvoi demande, en substance, si les articles 10, 11 et 13 de la directive 95/46 doivent être interprétés en ce sens qu’ils s’opposent à des mesures nationales, telles que celles en cause au principal, qui permettent à une administration publique d’un État membre de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’aient été informées de cette transmission et de ce traitement.
29 À cet égard, il y a lieu de constater, sur la base des indications fournies par la juridiction de renvoi, que les données fiscales transférées à la CNAS par l’ANAF constituent des données à caractère personnel au sens de l’article 2, sous a), de ladite directive, puisqu’il s’agit d’«informations concernant une personne physique identifiée ou identifiable» (arrêt Satakunnan Markkinapörssi et Satamedia, C‑73/07, EU:C:2008:727, point 35). Tant leur transmission par l’ANAF, organisme chargé de la gestion de la base de données qui les rassemble, que leur traitement subséquent par la CNAS présentent dès lors le caractère d’un «traitement de données à caractère personnel» au sens de l’article 2, sous b), de la même directive (voir en ce sens, notamment, arrêts Österreichischer Rundfunk e.a., C‑465/00, C‑138/01 et C‑139/01, EU:C:2003:294, point 64, ainsi que Huber, C‑524/06, EU:C:2008:724, point 43).
30 Conformément aux dispositions du chapitre II de la directive 95/46, intitulé «Conditions générales de licéité des traitements de données à caractère personnel», sous réserve des dérogations admises au titre de l’article 13 de cette directive, tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes relatifs à la qualité des données énoncés à l’article 6 de ladite directive et, d’autre part, répondre à l’un des principes relatifs à la légitimation des traitements de données énumérés à l’article 7 de cette même directive (arrêts Österreichischer Rundfunk e.a., C‑465/00, C‑138/01 et C‑139/01, EU:C:2003:294, point 65; Huber, C‑524/06, EU:C:2008:724, point 48, ainsi que ASNEF et FECEMD, C‑468/10 et C‑469/10, EU:C:2011:777, point 26).
31 En outre, le responsable du traitement des données ou son représentant est soumis à une obligation d’information dont les modalités, énoncées aux articles 10 et 11 de la directive 95/46, varient selon que ces données sont, ou ne sont pas, collectées auprès de la personne concernée, et ce sous réserve des dérogations admises au titre de l’article 13 de cette directive.
32 S’agissant, en premier lieu, de l’article 10 de ladite directive, celui‑ci prévoit que le responsable du traitement doit fournir à la personne auprès de laquelle il collecte des données la concernant les informations énumérées à cet article, sous a) à c), sauf si cette personne en est déjà informée. Ces informations concernent l’identité du responsable du traitement de ces données, les finalités de ce traitement ainsi que toute information supplémentaire nécessaire pour assurer un traitement loyal des données. Parmi les informations supplémentaires nécessaires pour assurer un traitement loyal des données, l’article 10, sous c), de la même directive mentionne expressément «les destinataires ou les catégories de destinataires des données» ainsi que «l’existence d’un droit d’accès aux données [...] concernant [ladite personne] et de rectification de ces données».
33 Ainsi que l’a relevé M. l’avocat général au point 74 de ses conclusions, cette exigence d’information des personnes concernées par le traitement de leurs données personnelles est d’autant plus importante qu’elle est une condition nécessaire à l’exercice par ces personnes de leur droit d’accès et de rectification des données traitées, défini à l’article 12 de la directive 95/46 et de leur droit d’opposition au traitement desdites données, visé à l’article 14 de cette directive.
34 Il s’ensuit que l’exigence de traitement loyal des données personnelles prévue à l’article 6 de la directive 95/46 oblige une administration publique à informer les personnes concernées de la transmission de ces données à une autre administration publique en vue de leur traitement par cette dernière en sa qualité de destinataire desdites données.
35 Il ressort des explications de la juridiction de renvoi que les requérants au principal n’ont pas été informés par l’ANAF de la transmission à la CNAS des données personnelles les concernant.
36 Le gouvernement roumain fait cependant valoir que l’ANAF est tenue, notamment en vertu de l’article 315 de la loi no 95/2006, de transmettre aux caisses régionales d’assurance maladie les informations nécessaires à la détermination par la CNAS de la qualité d’assuré des personnes tirant des revenus d’activités indépendantes.
37 Certes, l’article 315 de la loi no 95/2006 prévoit expressément que «les données nécessaires à l’établissement de la qualité d’assuré sont transmises gratuitement aux caisses d’assurance maladie par les autorités, les institutions publiques et d’autres institutions, sur la base d’un protocole». Toutefois, il ressort des explications fournies par la juridiction de renvoi que les données nécessaires à l’établissement de la qualité d’assuré, au sens de ladite disposition, n’incluent pas celles relatives aux revenus, la loi reconnaissant également la qualité d’assuré aux personnes sans revenus imposables.
38 Dans de telles conditions, l’article 315 de la loi no 95/2006 ne saurait constituer, au sens de l’article 10 de la directive 95/46, une information préalable permettant de dispenser le responsable du traitement de son obligation d’informer les personnes auprès desquelles il collecte les données relatives à leurs revenus des destinataires de ces données. Dès lors, il ne saurait être considéré que la transmission en cause a été effectuée dans le respect des dispositions de l’article 10 de la directive 95/46.
39 Il convient d’examiner si cette absence d’information des personnes concernées est susceptible de relever de l’article 13 de ladite directive. Il ressort en effet du paragraphe 1, sous e) et f), de cet article 13 que les États membres peuvent limiter la portée des obligations et des droits prévus à l’article 10 de la même directive lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder «un intérêt économique ou financier important d’un État membre [...] y compris dans les domaines monétaire, budgétaire et fiscal» ainsi qu’«une mission de contrôle, d’inspection ou de réglementation relevant, même à titre occasionnel, de l’exercice de l’autorité publique, dans les cas visés aux points c), d) et e)». Toutefois, ledit article 13 exige expressément que de telles limitations soient prises au moyen de mesures législatives.
40 Or, outre la circonstance, relevée par la juridiction de renvoi, selon laquelle les données relatives aux revenus ne font pas partie des données personnelles nécessaires à l’établissement de la qualité d’assuré, il y a lieu de souligner que l’article 315 de la loi no 95/2006 ne fait qu’envisager, en son principe, la transmission de ces dernières données personnelles détenues par des autorités, des institutions publiques et d’autres institutions. Il ressort également de la décision de renvoi que la définition des informations transmissibles ainsi que les modalités de mise en œuvre de la transmission de ces informations ont été élaborées au moyen non pas d’une mesure législative, mais du protocole de 2007 conclu entre l’ANAF et la CNAS, lequel n’aurait pas fait l’objet d’une publication officielle.
41 Dans de telles circonstances, il ne saurait être considéré que les conditions posées à l’article 13 de la directive 95/46 pour qu’un État membre puisse déroger aux droits et aux obligations qui découlent de l’article 10 de cette directive sont réunies.
42 S’agissant, en second lieu, de l’article 11 de ladite directive, celui‑ci prévoit, à son paragraphe 1, que le responsable du traitement de données qui n’ont pas été collectées auprès de la personne concernée doit fournir à cette dernière les informations énumérées sous a) à c). Ces informations concernent l’identité du responsable du traitement, les finalités du traitement ainsi que toutes les informations supplémentaires nécessaires pour assurer un traitement loyal des données. Parmi ces informations supplémentaires, l’article 11, paragraphe 1, sous c), de la même directive mentionne expressément «les catégories de données concernées» ainsi que «l’existence d’un droit d’accès aux données la concernant et de rectification de ces données».
43 Il s’ensuit que, conformément à l’article 11, paragraphe 1, sous b) et c), de la directive 95/46, dans les circonstances de l’affaire au principal, le traitement par la CNAS des données transmises par l’ANAF impliquait que les personnes concernées par ces données fussent informées des finalités de ce traitement ainsi que des catégories de données concernées.
44 Or, il ressort des explications données par la juridiction de renvoi que la CNAS n’a pas fourni aux requérants au principal les informations énumérées à l’article 11, paragraphe 1, sous a) à c), de ladite directive.
45 Il convient d’ajouter que, conformément à l’article 11, paragraphe 2, de la directive 95/46, les dispositions de l’article 11, paragraphe 1, de cette directive ne s’appliquent pas lorsque, notamment, l’enregistrement ou la communication des données sont prévus par la loi, les États membres devant alors prévoir des garanties appropriées. Pour les motifs énoncés aux points 40 et 41 du présent arrêt, les dispositions de la loi no 95/2006 invoquées par le gouvernement roumain et le protocole de 2007 ne sont susceptibles de relever ni du régime dérogatoire issu de l’article 11, paragraphe 2, ni de celui découlant de l’article 13 de ladite directive.
46 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question posée que les articles 10, 11 et 13 de la directive 95/46 doivent être interprétés en ce sens qu’ils s’opposent à des mesures nationales, telles que celles en cause au principal, qui permettent à une administration publique d’un État membre de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’aient été informées de cette transmission ou de ce traitement.
Sur les dépens
47 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle‑ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (troisième chambre) dit pour droit:
Les articles 10, 11 et 13 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils s’opposent à des mesures nationales, telles que celles en cause au principal, qui permettent à une administration publique d’un État membre de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’aient été informées de cette transmission ou de ce traitement.
Signatures