Language of document :

ARRÊT DE LA COUR (troisième chambre)

22 novembre 2012 (*)

«Communications électroniques – Directive 2002/58/CE – Article 6, paragraphes 2 et 5 – Traitement des données à caractère personnel – Données relatives au trafic nécessaires pour établir et recouvrer les factures – Recouvrement de créances par une société tierce – Personnes agissant sous l’autorité des fournisseurs de réseaux publics de communications et de services de communications électroniques»

Dans l’affaire C‑119/12,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Bundesgerichtshof (Allemagne), par décision du 16 février 2012, parvenue à la Cour le 6 mars 2012, dans la procédure

Josef Probst

contre

mr.nexnet GmbH,

LA COUR (troisième chambre),

composée de M. K. Lenaerts (rapporteur), faisant fonction de président de la troisième chambre, MM. E. Juhász, G. Arestis, T. von Danwitz et D. Šváby, juges,

avocat général: M. P. Cruz Villalón,

greffier: M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées:

–        pour mr.nexnet GmbH, par Me P. Wassermann, Rechtsanwalt,

–        pour la Commission européenne, par MM. F. Wilman et F. Bulst, en qualité d’agents,

vu la décision prise, l’avocat général entendu, de juger l’affaire sans conclusions,

rend le présent

Arrêt

1        La demande de décision préjudicielle porte sur l’interprétation de l’article 6, paragraphes 2 et 5, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201, p. 37).

2        Cette demande a été présentée dans le cadre d’un litige opposant mr.nexnet GmbH (ci-après «nexnet»), cessionnaire de créances portant sur la fourniture de services d’accès à Internet fournis par Verizon Deutschland GmbH (ci-après «Verizon»), à M. Probst, destinataire desdits services.

 Le cadre juridique

 La directive 95/46/CE

3        L’article 16 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31), dispose:

«Toute personne agissant sous l’autorité du responsable du traitement ou celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en vertu d’obligations légales.»

4        L’article 17 de la directive 95/46 prévoit:

«1.      Les États membres prévoient que le responsable du traitement doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

2.      Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect de ces mesures.

3.      La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que:

–        le sous-traitant n’agit que sur la seule instruction du responsable du traitement;

–        les obligations visées au paragraphe 1, telles que définies par la législation de l’État membre dans lequel le sous-traitant est établi, incombent également à celui-ci.

4.      Aux fins de la conservation des preuves, les éléments du contrat ou de l’acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.»

 La directive 2002/58/CE

5        L’article 1er, paragraphes 1 et 2, de la directive 2002/58 prévoit:

«1.      La présente directive harmonise les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans [l’Union européenne].

2.      Les dispositions de la présente directive précisent et complètent la [directive 95/46] aux fins énoncées au paragraphe 1. [...]»

6        L’article 2, second alinéa, sous b), de cette directive définit les «données relatives au trafic» comme étant «toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou de sa facturation».

7        L’article 5, paragraphe 1, de la directive 2002/58 précise:

«Les États membres garantissent, par la législation nationale, la confidentialité des communications effectuées au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. [...]»

8        L’article 6 de cette même directive dispose:

«1.      Les données relatives au trafic concernant les abonnés et les utilisateurs traitées et stockées par le fournisseur d’un réseau public de communications ou d’un service de communications électroniques accessibles au public doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication sans préjudice des paragraphes 2, 3 et 5 du présent article [...]

2.      Les données relatives au trafic qui sont nécessaires pour établir les factures des abonnés et les paiements pour interconnexion peuvent être traitées. Un tel traitement n’est autorisé que jusqu’à la fin de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement.

[...]

5.      Le traitement des données relatives au trafic effectué conformément aux dispositions des paragraphes 1, 2, 3 et 4 doit être restreint aux personnes agissant sous l’autorité des fournisseurs de réseaux publics de communications et de services de communications électroniques accessibles au public qui sont chargées d’assurer la facturation ou la gestion du trafic, de répondre aux demandes de la clientèle, de détecter les fraudes et de commercialiser les services de communications électroniques ou de fournir un service à valeur ajoutée; ce traitement doit se limiter à ce qui est nécessaire à de telles activités.

[...]»

 Le droit allemand

9        L’article 97, paragraphe 1, troisième et quatrième phrases, de la loi sur les télécommunications (Telekommunikationsgesetz), du 22 juin 2004 (BGBl. 2004 I, p. 1190, ci-après le «TKG»), est libellé comme suit:

«Détermination et facturation de la rémunération du prestataire

[...] Si le prestataire de services a conclu avec un tiers un contrat sur la perception de la rémunération, il peut lui transmettre les données [relatives au trafic] dans la mesure où cette transmission est nécessaire pour la perception de la rémunération et l’établissement d’une facture détaillée. Le tiers doit être soumis contractuellement au respect du secret des télécommunications conformément à l’article 88 et au respect de la protection des données conformément aux articles 93, 95, 96, 97, 99 et 100.

[...]»

10      Selon la juridiction de renvoi, l’habilitation prévue à l’article 97, paragraphe 1, troisième phrase, du TKG en matière de transmission de données vaut non seulement pour des contrats de recouvrement de créances lorsque celles-ci demeurent dans le patrimoine de leurs titulaires initiaux, mais également pour d’autres contrats de cession, notamment les contrats qui portent sur une acquisition de créances et qui prévoient que le droit cédé appartient définitivement au cessionnaire, tant sur le plan juridique qu’économique.

 Le litige au principal et la question préjudicielle

11      M. Probst possède une ligne téléphonique de Deutsche Telekom AG, au moyen de laquelle son ordinateur est relié à Internet. Il a utilisé, entre le 28 juin et le 6 septembre 2009, le numéro fourni par Verizon afin d’obtenir un accès ponctuel à Internet. Dans un premier temps, la rémunération réclamée à ce titre a été facturée à M. Probst par Deutsche Telekom AG, en tant que «montants dus à d’autres fournisseurs». Par suite du défaut de paiement de M. Probst, nexnet, cessionnaire de cette créance en vertu d’un contrat d’affacturage conclu entre les prédécesseurs en droit de Verizon et de nexnet, lui a réclamé le paiement des montants facturés augmentés de frais divers. En vertu du contrat d’affacturage, nexnet supporte le risque de ducroire.

12      Les prédécesseurs en droit de nexnet et de Verizon ont, en outre, conclu un «accord sur la protection des données et la confidentialité» qui prévoit:

«I.      Protection des données

[...]

(5)      Les parties contractantes s’engagent à traiter et à exploiter les données protégées dans le seul cadre de leur coopération et uniquement dans l’objectif poursuivi par le contrat et de la manière indiquée dans le contrat.

(6)      Dès que la connaissance des données protégées cesse d’être nécessaire pour réaliser cet objectif, l’ensemble des données protégées existant dans ce cadre doit être immédiatement et irrémédiablement effacé ou restitué. […]

(7)      Chaque partie contractante peut vérifier que l’autre partie observe les règles de sécurité et de protection des données définies dans le contrat. [...]

II.      Confidentialité

[...]

(2)      Les parties contractantes doivent traiter et exploiter les documents et informations confidentiels aux seules fins de l’exécution du contrat conclu entre elles. Elles peuvent uniquement les transmettre aux employés qui en ont besoin pour exécuter le contrat. Les parties contractantes doivent imposer à leurs employés une obligation de confidentialité à l’image de celle prévue dans le présent accord.

(3)      Sur demande d’une partie ou, au plus tard, au moment de la cessation de la coopération entre les parties, l’ensemble des informations confidentielles existant dans ce cadre doit être irrémédiablement effacé ou restitué à l’autre partie. […]

[...]»

13      Selon M. Probst, le contrat d’affacturage est nul dans la mesure où il viole notamment l’article 97, paragraphe 1, du TKG. L’Amtsgericht a rejeté la demande en paiement de nexnet, tandis que la juridiction d’appel y a fait droit pour l’essentiel. Un pourvoi en «Revision» a été porté devant le Bundesgerichtshof.

14      La juridiction de renvoi estime que l’article 6, paragraphes 2 et 5, de la directive 2002/58 est pertinent pour l’interprétation de l’article 97, paragraphe 1, du TKG. Elle souligne, d’une part, que le fait d’«établir des factures», qui constitue l’un des objectifs aux fins desquels l’article 6, paragraphes 2 et 5, de cette directive autorise le traitement des données relatives au trafic, n’englobe pas nécessairement le recouvrement du prix facturé. Elle estime toutefois qu’il n’existe aucune raison objective de traiter de manière différente la facturation et le recouvrement des créances au regard de la protection des données. D’autre part, l’article 6, paragraphe 5, de ladite directive réserverait le traitement des données relatives au trafic aux seules personnes agissant «sous l’autorité» du fournisseur de réseaux publics de communications et de services de communications électroniques accessibles au public (ci-après le «fournisseur de services»). Selon la juridiction de renvoi, cette notion ne permet pas d’établir si le fournisseur de services doit pouvoir concrètement déterminer l’utilisation des données, y compris au cas par cas, pendant toute la durée du processus de traitement des données ou bien s’il suffit que des règles générales relatives au respect du secret des télécommunications et de la protection des données soient prévues, à l’image de celles convenues en l’espèce dans les dispositions contractuelles, et qu’il soit possible d’obtenir, sur simple demande, l’effacement ou la restitution des données.

15      Dans ces conditions, le Bundesgerichtshof a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante:

«L’article 6, paragraphes 2 et 5, de la directive 2002/58 permet-il au fournisseur de services de transmettre des données relatives au trafic au cessionnaire d’une créance portant sur la rémunération de services de télécommunications, lorsque la cession, qui vise à recouvrer des créances contre-passées, est régie par les dispositions contractuelles suivantes, lesquelles s’ajoutent à l’obligation générale de respecter le secret des télécommunications et la protection des données conformément aux règles légales en vigueur:

–        le fournisseur de services et le cessionnaire s’engagent à traiter et à exploiter les données protégées dans le seul cadre de leur coopération et uniquement dans l’objectif poursuivi par le contrat et de la manière indiquée dans le contrat;

–        dès que la connaissance des données protégées cesse d’être nécessaire pour réaliser cet objectif, l’ensemble des données protégées existant dans ce cadre doivent être irrémédiablement effacées ou restituées;

–        chaque partie contractante peut vérifier que l’autre partie observe les règles de sécurité et de protection des données définies dans le contrat;

–        les documents et informations transmis à titre confidentiel doivent uniquement être accessibles aux employés qui en ont besoin pour exécuter le contrat;

–        les parties contractantes doivent imposer à leurs employés une obligation de confidentialité à l’image de celle prévue dans le contrat;

–        sur demande d’une partie ou, au plus tard, au moment de la cessation de la coopération entre les parties, l’ensemble des informations confidentielles existant dans ce cadre doivent être irrémédiablement effacées ou restituées à l’autre partie?»

 Sur la question préjudicielle

16      Par sa question, la juridiction de renvoi demande, en substance, si, et dans quelles conditions, l’article 6, paragraphes 2 et 5, de la directive 2002/58 permet à un fournisseur de services de transmettre des données relatives au trafic au cessionnaire de ses créances et à ce dernier de traiter lesdites données.

17      D’une part, conformément à l’article 6, paragraphe 2, de la directive 2002/58, les données relatives au trafic qui sont nécessaires pour établir les factures des abonnés peuvent être traitées. Ainsi que le soulignent nexnet et la Commission européenne, cette disposition de ladite directive autorise le traitement des données relatives au trafic non seulement aux fins de l’établissement des factures, mais également aux fins de leur recouvrement. En effet, en autorisant le traitement des données relatives au trafic «jusqu’à la fin de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement», ladite disposition se rapporte non pas uniquement au traitement des données au moment de l’établissement des factures, mais également au traitement nécessaire aux fins d’obtenir leur paiement.

18      En vertu, d’autre part, de l’article 6, paragraphe 5, de la directive 2002/58, le traitement des données relatives au trafic autorisé par l’article 6, paragraphe 2, de celle-ci «doit être restreint aux personnes agissant sous l’autorité des fournisseurs de [services] qui sont chargées d’assurer la facturation» et «doit se limiter à ce qui est nécessaire» à une telle activité.

19      Il ressort d’une lecture combinée de ces dispositions de la directive 2002/58 qu’un fournisseur de services est autorisé à transmettre des données relatives au trafic au cessionnaire de ses créances en vue de leur recouvrement, et qu’il est permis à ce dernier de traiter lesdites données à condition que, en premier lieu, il agisse «sous l’autorité» du fournisseur de services pour ce qui concerne le traitement desdites données et, en second lieu, il se limite à traiter les données relatives au trafic qui sont nécessaires aux fins du recouvrement desdites créances.

20      Il convient de constater que ni la directive 2002/58 ni les documents pertinents pour l’interprétation de celle-ci, tels que les travaux préparatoires, n’apportent d’éclaircissements sur la portée exacte des termes «sous l’autorité». Dans ces conditions, conformément à la jurisprudence de la Cour, il y a lieu, pour la détermination de la signification de ces termes, de recourir au sens habituel de ceux-ci dans le langage courant, tout en tenant compte du contexte dans lequel ils sont utilisés et des objectifs poursuivis par la réglementation dont ils font partie (voir, en ce sens, arrêts du 10 mars 2005, easyCar, C-336/03, Rec. p. I‑1947, points 20 et 21, ainsi que du 5 juillet 2012, Content Services, C‑49/11, non encore publié au Recueil, point 32).

21      S’agissant du sens habituel de ces termes dans le langage courant, il y a lieu de considérer qu’une personne agit sous l’autorité d’une autre personne lorsque la première agit sur instruction et sous contrôle de la seconde.

22      Quant au contexte dans lequel s’inscrit l’article 6 de la directive 2002/58, il doit être rappelé que l’article 5, paragraphe 1, de celle-ci prévoit que les États membres doivent garantir la confidentialité des communications effectuées au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public ainsi que des données relatives au trafic y afférentes.

23      L’article 6, paragraphes 2 et 5, de la directive 2002/58 contient une exception à la confidentialité des communications prévue à son article 5, paragraphe 1, en autorisant le traitement des données relatives au trafic au regard des impératifs liés aux activités de facturation des services (voir, en ce sens, arrêt du 29 janvier 2008, Promusicae, C‑275/06, Rec. p. I‑271, point 48). En tant qu’exception, cette disposition de ladite directive et, partant, également les termes «sous l’autorité» sont d’interprétation stricte [voir arrêt du 17 février 2011, The Number (UK) et Conduit Enterprises, C‑16/10, Rec. p. I‑691, point 31]. Une telle interprétation implique que le fournisseur de services dispose d’un pouvoir de contrôle effectif lui permettant de vérifier le respect, par le cessionnaire des créances, des conditions imposées à ce dernier pour le traitement des données relatives au trafic.

24      Cette interprétation est corroborée par l’objectif de la directive 2002/58, en général, et de son article 6, paragraphe 5, en particulier. Ainsi qu’il ressort de son article 1er, paragraphes 1 et 2, la directive 2002/58 précise et complète, dans le secteur des communications électroniques, la directive 95/46 aux fins, notamment, d’assurer, dans les États membres, un niveau équivalent de protection des droits et des libertés fondamentaux, et en particulier du droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques.

25      Dans ces conditions, l’article 6, paragraphe 5, de la directive 2002/58 doit être interprété à la lumière de dispositions similaires de la directive 95/46. Or, il ressort des articles 16 et 17 de cette dernière directive, qui précisent le niveau de contrôle qu’un responsable du traitement doit exercer sur le sous-traitant qu’il désigne, que ce dernier agit sur la seule instruction du responsable du traitement et que ledit responsable veille au respect des mesures convenues pour protéger les données à caractère personnel contre toute forme de traitement illicite.

26      Quant à l’objectif poursuivi par l’article 6, paragraphe 5, de la directive 2002/58 en particulier, il doit être constaté que, même si cette disposition autorise le traitement des données relatives au trafic par certaines personnes tierces au fournisseur de services aux fins notamment du recouvrement des créances de ce dernier, lui permettant ainsi de se concentrer sur la prestation des services de communications électroniques, ladite disposition vise à garantir, en prévoyant que le traitement des données relatives au trafic effectué doit être restreint aux personnes agissant «sous l’autorité» du fournisseur de services, qu’une telle externalisation n’affecte pas le niveau de protection des données à caractère personnel dont bénéficie l’utilisateur.

27      Il ressort de ce qui précède que, indépendamment de la qualification du contrat de cession des créances aux fins de leur recouvrement, le cessionnaire d’une créance portant sur la rémunération de services de télécommunications agit «sous l’autorité» du fournisseur desdits services, au sens de l’article 6, paragraphe 5, de la directive 2002/58, lorsque, pour le traitement des données relatives au trafic qu’une telle activité implique, le cessionnaire agit sur la seule instruction et sous le contrôle dudit fournisseur. En particulier, le contrat conclu entre le fournisseur de services qui cède ses créances et le cessionnaire de celles-ci doit comporter des dispositions de nature à garantir le traitement licite des données relatives au trafic par ce dernier et doit permettre au fournisseur de services de s’assurer, à tout moment, du respect desdites dispositions par le cessionnaire.

28      Il incombe à la juridiction nationale de vérifier, au regard de tous les éléments du dossier, si ces conditions sont remplies dans l’affaire au principal. Or, le fait qu’un contrat d’affacturage présente les caractéristiques décrites dans la question posée plaide en faveur du fait que ce contrat satisfait auxdites conditions. En effet, un tel contrat ne permet le traitement des données relatives au trafic par le cessionnaire des créances que dans la mesure où ce traitement est nécessaire aux fins du recouvrement de ces créances et impose audit cessionnaire l’obligation d’effacer ou de restituer immédiatement et irrémédiablement lesdites données dès que la connaissance de celles-ci cesse d’être nécessaire pour le recouvrement des créances concernées. En outre, il permet au fournisseur de services de contrôler le respect des règles de sécurité et de protection des données par le cessionnaire qui, sur simple demande, peut être obligé d’effacer ou de restituer les données relatives au trafic.

29      Eu égard aux considérations qui précèdent, il y a lieu de répondre à la question posée que l’article 6, paragraphes 2 et 5, de la directive 2002/58 doit être interprété en ce sens qu’il autorise un fournisseur de services à transmettre des données relatives au trafic au cessionnaire de ses créances portant sur la fourniture de services de télécommunications en vue du recouvrement de celles-ci, et ce cessionnaire à traiter lesdites données à condition que, en premier lieu, celui-ci agisse sous l’autorité du fournisseur de services pour ce qui concerne le traitement de ces mêmes données et, en second lieu, ledit cessionnaire se limite à traiter les données relatives au trafic qui sont nécessaires aux fins du recouvrement des créances cédées.

30      Indépendamment de la qualification du contrat de cession, le cessionnaire est censé agir sous l’autorité du fournisseur de services, au sens de l’article 6, paragraphe 5, de la directive 2002/58, lorsque, pour le traitement des données relatives au trafic, il agit sur la seule instruction et sous le contrôle dudit fournisseur. En particulier, le contrat conclu entre eux doit comporter des dispositions de nature à garantir le traitement licite, par le cessionnaire, des données relatives au trafic et à permettre au fournisseur de services de s’assurer, à tout moment, du respect de ces dispositions par ledit cessionnaire.

 Sur les dépens

31      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (troisième chambre) dit pour droit:

L’article 6, paragraphes 2 et 5, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), doit être interprété en ce sens qu’il autorise un fournisseur de réseaux publics de communications et de services de communications électroniques accessibles au public à transmettre des données relatives au trafic au cessionnaire de ses créances portant sur la fourniture de services de télécommunications en vue du recouvrement de celles-ci, et ce cessionnaire à traiter lesdites données à condition que, en premier lieu, celui-ci agisse sous l’autorité du fournisseur de services pour ce qui concerne le traitement de ces mêmes données et, en second lieu, ledit cessionnaire se limite à traiter les données relatives au trafic qui sont nécessaires aux fins du recouvrement des créances cédées.

Indépendamment de la qualification du contrat de cession, le cessionnaire est censé agir sous l’autorité du fournisseur de services, au sens de l’article 6, paragraphe 5, de la directive 2002/58, lorsque, pour le traitement des données relatives au trafic, il agit sur la seule instruction et sous le contrôle dudit fournisseur. En particulier, le contrat conclu entre eux doit comporter des dispositions de nature à garantir le traitement licite, par le cessionnaire, des données relatives au trafic et à permettre au fournisseur de services de s’assurer, à tout moment, du respect de ces dispositions par ledit cessionnaire.

Signatures


* Langue de procédure: l’allemand.