HOTĂRÂREA TRIBUNALULUI (Camera a noua extinsă)
14 februarie 2019(*)
„Date cu caracter personal – Protecția persoanelor fizice în raport cu prelucrarea acestor date – Drept de acces la aceste date – Regulamentul (CE) nr. 45/2001 – Respingerea dreptului de acces – Acțiune în anulare – Scrisoare care face referire la o respingere parțială anterioară a dreptului de acces, fără a se recurge la o nouă examinare – Noțiunea de act atacabil în sensul articolului 263 TFUE – Noțiunea de act pur confirmativ – Aplicabilitate în materie de acces la date cu caracter personal – Fapte noi și esențiale – Interesul de a exercita acțiunea – Admisibilitate – Obligația de motivare”
În cauza T‑903/16,
RE, reprezentat de S. Pappas, avocat,
reclamant,
împotriva
Comisiei Europene, reprezentată de H. Kranenborg și de D. Nardi, în calitate de agenți,
pârâtă,
având ca obiect o cerere întemeiată pe articolul 263 TFUE vizând anularea notei directorului Direcției de securitate din cadrul Direcției Generale de Resurse Umane și de Securitate a Comisiei din 12 octombrie 2016, în măsura în care este respinsă cererea reclamantului prin care solicită accesul la unele dintre datele sale cu caracter personal,
TRIBUNALUL (Camera a noua extinsă),
compus din domnii S. Gervasoni, președinte, L. Madise și R. da Silva Passos, doamna K. Kowalik‑Bańczyk (raportor) și domnul C. Mac Eochaidh, judecători,
grefier: doamna N. Schall, administrator,
având în vedere faza scrisă a procedurii și în urma ședinței din 20 septembrie 2018,
pronunță prezenta
Hotărâre
Istoricul cauzei
1 Reclamantul, RE, exercită funcția de [confidențial](1) în cadrul Direcției Generale de Cooperare Internațională și Dezvoltare a Comisiei Europene.
2 Reclamantul a făcut obiectul unei anchete administrative (denumită în continuare „ancheta administrativă”) efectuate de Direcția de securitate din cadrul Direcției Generale de Resurse Umane și de Securitate a Comisiei (denumită în continuare „Direcția de securitate”). Această anchetă a vizat presupusa participare a reclamantului la activități ale unor servicii secrete și în special comportamentul său în cursul unui conflict între două state terțe, reclamantul fiind suspectat că a fost, cu acea ocazie, prea apropiat de unul dintre acele state și că i‑a comunicat anumite informații confidențiale, fără să fi fost autorizat în acest sens.
3 Printr‑un e‑mail din 5 decembrie 2013, reclamantul a solicitat Direcției de securitate, în temeiul articolului 13 din Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO 2001, L 8, p. 1, Ediție specială, 13/vol. 30, p. 142), furnizarea tuturor informațiilor și datelor cu caracter personal și profesional care îl priveau pe care le deținea această direcție.
4 Prin nota din 25 februarie 2014, directorul Direcției de securitate, după ce a subliniat că anumite documente îi fuseseră deja înmânate reclamantului la 27 noiembrie 2013, i‑a respins dreptul de acces la celelalte date cu caracter personal care îl priveau pentru motivul că intrau sub incidența excepțiilor și restricțiilor prevăzute la articolul 20 alineatul (1) literele (a)-(d) din Regulamentul nr. 45/2001.
5 Apreciind că această respingere a dreptului de acces încalcă articolul 13 și articolul 20 alineatul (1) din Regulamentul nr. 45/2001, reclamantul a sesizat, prin scrisoarea din 18 aprilie 2014, Autoritatea Europeană pentru Protecția Datelor (CEPD) cu o reclamație în temeiul articolului 32 alineatul (2) din Regulamentul nr. 45/2001.
6 Prin decizia din 26 februarie 2016, CEPD a concluzionat că, ținând seama de modul în care Direcția de securitate a aplicat excepțiile prevăzute la articolul 20 alineatul (1) din Regulamentul nr. 45/2001, unele dintre datele cu caracter personal ale reclamantului nu fuseseră corect prelucrate de aceasta.
7 După decizia dată de CEPD, Direcția de securitate a reexaminat cererea reclamantului având ca obiect accesul la datele sale cu caracter personal.
8 La finalul acestei reexaminări, directorul Direcției de securitate a admis în parte cererea reclamantului prin decizia din 8 martie 2016 (denumită în continuare „decizia din 8 martie 2016”), permițându‑i accesul la unele dintre datele sale cu caracter personal și comunicându‑i, în plus, opt documente (documentele nr. 44, 59-62, 67, 69 și 71). Această decizie conținea în anexă un tabel care identifica 71 de documente aflate în posesia Direcției de securitate și care descria, pentru fiecare dintre aceste documente, data, obiectul, tipul de date cu caracter personal pe care le conținea, o scurtă descriere a conținutului acestor date, sursa acestora, precum și, pentru 35 din cele 71 de documente (documentele nr. 1, 6-9, 11, 12, 14-16, 18, 20, 21, 27, 28, 31, 32, 35, 36, 41, 42, 45, 46, 48-52, 54-57, 66, 68 și 70), motivul sau motivele pentru care unele dintre respectivele date nu puteau fi divulgate în aplicarea articolului 20 alineatul (1) literele (a) și (c) din Regulamentul nr. 45/2001. Printre aceste documente se afla, sub nr. 57, o „notă privind recrutarea [reclamantului] ca [confidențial] la [Direcția Generală de Cooperare Internațională și Dezvoltare a Comisiei]” din 23 ianuarie 2012 (denumit în continuare „documentul nr. 57”).
9 Printr‑un e‑mail din 29 aprilie 2016, adresat Direcției de securitate, reclamantul a luat act de aceste elemente de răspuns date prin decizia din 8 martie 2016 și și‑a împărtășit dorința de a avea acces la „un număr limitat de documente [dintre cele enumerate în tabelul anexat la această decizie]”. Cu această ocazie, reclamantul a mai solicitat să fie informat cu privire la data la care ancheta administrativă urma să fie încheiată.
10 În paralel, reclamantul a sesizat CEPD cu o nouă reclamație, din data de 5 iulie 2016, susținând că, prin decizia din 8 martie 2016, Direcția de securitate tot nu s‑a conformat deciziei CEPD din 26 februarie 2016 care a statuat cu privire la precedenta sa reclamație.
11 Prin decizia din 25 iulie 2016 (denumită în continuare „decizia CEPD din 25 iulie 2016”), CEPD a apreciat că Direcția de securitate a aplicat pe deplin, prin decizia din 8 martie 2016, recomandările sale din decizia din 26 februarie 2016 și, prin urmare, a constatat inexistența unei încălcări a articolului 13 și a articolului 20 alineatul (1) din Regulamentul nr. 45/2001 în decizia din 8 martie 2016.
12 La data de 14 septembrie 2016, Direcția de securitate a răspuns la e‑mailul reclamantului din 29 aprilie 2016. Întrucât a apreciat că era sesizată cu o cerere de acces la documente în conformitate cu Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului și ale Comisiei (JO 2001, L 145, p. 43, Ediție specială, 01/vol. 3, p. 76), Direcția de securitate a invitat reclamantul, în temeiul articolului 6 alineatul (2) din regulamentul menționat, să își clarifice cererea astfel încât să fie posibilă identificarea documentelor la care intenționa să aibă acces. Pe de altă parte, l‑a informat pe reclamant că ancheta administrativă fusese încheiată la 31 august 2016.
13 Prin scrisoarea din 21 septembrie 2016, adresată Direcției de securitate (denumită în continuare „cererea din 21 septembrie 2016”), reclamantul a solicitat accesul la 42 din cele 71 de documente identificate în decizia din 8 martie 2016 (documentele nr. 1-5, 8, 11, 13, 14, 19, 21-30, 33, 34, 37-43, 47-53, 56-58 și 63-65) sau, cel puțin, la „informațiile” conținute în aceste documente invocând, pe de o parte, articolul 13 din Regulamentul nr. 45/2001 și, pe de altă parte, articolul 6 din Regulamentul nr. 1049/2001. Cu această ocazie, reclamantul a repartizat documentele și informațiile la care acesta solicita accesul în patru grupe, desemnate pe părți, precum grupa A (documentele nr. 2-5, 13, 19, 22-26, 29, 30, 33, 34, 37-40, 43, 47, 53, 56, 58 și 63), grupa B (documentele nr. 8, 11, 41, 42, 48, 49 și 51), grupa C (documentele nr. 48, 49 și 51, deja incluse în B) și grupa D (documentele nr. 1, 14, 21, 27, 28, 50, 52 și 57), și a precizat, pentru fiecare dintre aceste grupe, motivele ce justificau, în opinia sa, admiterea cererii sale.
14 La data de 12 octombrie 2016, directorul Direcției de securitate a răspuns la cererea din 21 septembrie 2016 printr‑o notă (denumită în continuare „nota atacată”), care are următorul cuprins:
„1. În [cererea] dumneavoastră din 21 [septembrie] 2016, faceți referire la articolul 13 din Regulamentul nr. 45/2001 pentru a solicita accesul la un anumit număr de documente. [În această privință], ne referim la decizia [din 8 martie] 2016 […]
În plus, facem trimitere la decizia [CEPD] din 25 iulie 2016, care arată în mod clar că CEPD nu dispune de vreun element care să indice că Direcția de securitate v‑ar fi încălcat dreptul de acces la propriile date cu caracter personal. În consecință, considerăm că Direcția de securitate a prelucrat [în mod corect] cererea dumneavoastră de acces la datele cu caracter personal.
2. În [cererea dumneavoastră din 21 septembrie 2016], menționați de asemenea Regulamentul nr. 1049/2001 […] și solicitați accesul la documente specifice din dosarul [dumneavoastră] menționate în [tabelul anexat la decizia din 8 martie 2016]. În această privință, aș dori să vă atrag atenția asupra faptului că, dacă v‑ar [fi] comunicate documentele în temeiul acestui regulament, ele ar deveni accesibile oricărei alte persoane care ar face pe viitor o cerere de acces la acestea și, prin urmare, ar deveni de facto publice, eventual sub o formă doar cenzurată a datelor dumneavoastră cu caracter personal.
Vă solicit să rețineți că, având în vedere cele de mai sus, cererea dumneavoastră de acces la documente va fi închisă. Dacă [această] cerere este făcută în scopuri personale, vă cer să confirmați acest lucru comunicându‑ne e‑mailul și adresa poștală personale.”
Procedura și concluziile părților
15 Prin cererea introductivă depusă la grefa Tribunalului la 19 decembrie 2016, reclamantul a introdus prezenta acțiune.
16 Prin act separat depus în aceeași zi la grefa Tribunalului, reclamantul a solicitat beneficiul anonimatului. Prin decizia din 18 ianuarie 2017, Tribunalul a admis această cerere.
17 Prin act separat depus la grefa Tribunalului la 5 aprilie 2017, Comisia a ridicat o excepție de inadmisibilitate în temeiul articolului 130 alineatul (1) din Regulamentul de procedură al Tribunalului.
18 La data de 22 mai 2017, reclamantul a depus la grefa Tribunalului observațiile sale cu privire la excepția de inadmisibilitate.
19 Prin Ordonanța din 18 octombrie 2017, Tribunalul a decis să unească cu fondul excepția de inadmisibilitate invocată de Comisie.
20 Printr‑o măsură de organizare a procedurii, adoptată în temeiul articolului 89 alineatul (3) literele (a) și (b) din Regulamentul de procedură, Tribunalul a adresat părților întrebări scrise pentru a se răspunde în scris.
21 Părțile au dat curs acestei solicitări în termenul stabilit.
22 Comisia a depus memoriul în apărare la grefa Tribunalului la 19 decembrie 2017.
23 Prin măsură de organizare a procedurii adoptată în temeiul articolului 89 alineatul (3) literele (a) și (b) din Regulamentul de procedură, Tribunalul a adresat părților întrebări scrise la care să se răspundă în ședință.
24 Reclamantul solicită Tribunalului:
– respingerea excepției de inadmisibilitate;
– anularea notei atacate în măsura în care respinge cererea sa de acces la unele dintre datele sale cu caracter personal;
– obligarea Comisiei la plata unei despăgubiri de 10 000 de euro pentru repararea prejudiciului moral suferit ca urmare a respingerii de către Direcția de securitate a dreptului său de acces la propriile date cu caracter personal;
– obligarea Comisiei la plata unei despăgubiri de 30 000 de euro pentru repararea prejudiciului moral suferit ca urmare a prelucrării și a difuzării ilicite de către Direcția de securitate a datelor sale cu caracter personal;
– obligarea Comisiei la plata cheltuielilor de judecată.
25 Comisia solicită Tribunalului:
– respingerea acțiunii ca inadmisibilă sau, în subsidiar, ca nefondată;
– obligarea reclamantului la plata cheltuielilor de judecată.
26 Reclamantul solicită totodată Tribunalului, cu titlu de măsură de cercetare judecătorească, obligarea Comisiei, în temeiul articolului 91 litera (c) din Regulamentul de procedură sau, în subsidiar, al articolului 104 din acest regulament, să prezinte documentul nr. 57.
27 În ședință, reclamantul a renunțat la capetele de cerere având ca obiect repararea celor două prejudicii morale pe care a pretins că le‑a suferit. Acesta a mai precizat și a limitat întinderea capetelor de cerere în anulare, indicând că ele nu aveau ca obiect contestarea respingerii dreptului de acces la datele cu caracter personal cuprinse în documentele menționate în cererea introductivă, dar neevocate în cererea din 21 septembrie 2016. Întrucât Comisia nu a formulat observații cu privire la această renunțare și la această precizare, s‑a luat act de ele în procesul‑verbal de ședință.
În drept
Cu privire la capetele de cerere privind anularea
28 Trebuie analizat, într‑o primă fază, dacă capetele de cerere privind anularea sunt admisibile și, dacă este cazul, într‑o a doua etapă, dacă aceste capete de cerere sunt fondate.
Cu privire la admisibilitatea capetelor de cerere privind anularea
29 Comisia invocă trei excepții de inadmisibilitate. În primul rând, nota atacată nu ar fi statuat asupra dreptului reclamantului de acces la datele sale cu caracter personal. În al doilea rând, această notă ar constitui oricum un act pur confirmativ. În al treilea rând, reclamantul nu ar fi avut un interes real pentru a exercita o acțiune împotriva respectivei note.
– Cu privire la obiectul notei atacate și la existența unei respingeri a dreptului de acces la datele cu caracter personal
30 Comisia susține că cererea din 21 septembrie 2016 privea exclusiv accesul la documente în temeiul Regulamentului nr. 1049/2001. Din aceasta ar rezulta că, în nota atacată, Direcția de securitate nu ar fi statuat asupra dreptului reclamantului de acces la datele sale cu caracter personal întemeiat pe Regulamentul nr. 45/2001.
31 Reclamantul contestă argumentația Comisiei. Acesta arată că cererea din 21 septembrie 2016 conținea atât o cerere de acces la documente, cât și o cerere de acces la date cu caracter personal.
32 Cu titlu introductiv, trebuie amintit că Regulamentele nr. 1049/2001 și nr. 45/2001 au obiective diferite. Primul urmărește să asigure cea mai mare transparență posibilă a procesului decizional al autorităților publice, precum și a informațiilor pe care se întemeiază deciziile lor. El urmărește, așadar, să faciliteze la maximum exercitarea dreptului de acces la documente, precum și să promoveze bunele practici administrative. Al doilea regulament urmărește să asigure protecția drepturilor și a libertăților fundamentale ale persoanelor fizice, în special a dreptului lor la viață privată, în cadrul prelucrării datelor cu caracter personal (Hotărârea din 29 iunie 2010, Comisia/Bavarian Lager, C‑28/08 P, EU:C:2010:378, punctul 49). În consecință, spre deosebire de Regulamentul nr. 1049/2001, Regulamentul nr. 45/2001 nu urmărește să faciliteze exercitarea dreptului de acces la documente (a se vedea în acest sens Hotărârea din 17 iulie 2014, YS și alții, C‑141/12 și C‑372/12, EU:C:2014:2081, punctul 47).
33 În acest context, drepturile de acces prevăzute de fiecare dintre aceste două regulamente nu au nici același obiect, nici aceiași beneficiari. Astfel, articolul 2 din Regulamentul nr. 1049/2001 urmărește să permită publicului, adică oricărui cetățean și oricărei persoane fizice sau juridice, accesul la documentele deține de instituții. În ceea ce privește articolul 13 din Regulamentul nr. 45/2001, acesta urmărește să permită accesul doar persoanelor interesate la datele lor cu caracter personal, mai precis la informații care le privesc ca persoane identificate sau identificabile, fără a prevedea că aceste persoane pot, în acest temei, să aibă de asemenea acces la documentele care conțin respectivele date. În această privință, trebuie observat că articolul 13 litera (c) din Regulamentul nr. 45/2001 prevede doar că persoana interesată are dreptul să obțină „comunicarea într‑o formă inteligibilă a datelor care fac obiectul prelucrării”.
34 În speță, este necesar să se constate, în primul rând, că nota atacată are un caracter negativ în măsura în care conține un răspuns la cererea din 21 septembrie 2016 și este cert că a respins dreptul de acces al reclamantului atât la datele sale cu caracter personal, cât și la documentele care conțin aceste date.
35 Or, atunci când o decizie are un caracter negativ, ea trebuie să fie apreciată în funcție de natura cererii la care ea oferă un răspuns (Hotărârea din 8 martie 1972, Nordgetreide/Comisia, 42/71, EU:C:1972:16, punctul 5, și Hotărârea din 24 noiembrie 1992, Buckl și alții/Comisia, C‑15/91 și C‑108/91, EU:C:1992:454, punctul 22). În consecință, obiectul notei atacate trebuie apreciat în special în raport cu conținutul cererii din 21 septembrie 2016.
36 În această privință, este necesar să se arate mai întâi că cererea din 21 septembrie 2016 este intitulată „Date cu caracter personal”.
37 În continuare, cererea din 21 septembrie 2016 menționează nu doar Regulamentul nr. 1049/2001, ci și Regulamentul nr. 45/2001. Astfel, pe de o parte, această cerere este expres formulată pe un temei dublu, al articolului 6 din Regulamentul nr. 1049/2001 și al articolului 13 din Regulamentul nr. 45/2001. Pe de altă parte, această cerere cuprinde, pentru fiecare dintre cele patru grupe de documente menționate la punctul 13 de mai sus, o argumentație în raport cu excepțiile și cu restricțiile prevăzute de articolul 20 alineatul (1) din Regulamentul nr. 45/2001.
38 În sfârșit, reclamantul se referă în mai multe rânduri în cererea sa din 21 septembrie 2016 atât la documente, cât și la „informațiile” din aceste documente. Astfel, acesta declară de la bun început și într‑o manieră globală că a dorit să aibă acces la anumite documente sau cel puțin la informațiile cuprinse în acestea. Mai mult, reclamantul a reiterat în mod expres această cerere de acces pentru informațiile cuprinse în documentele din grupa D. În plus, în ceea ce privește unele documente din grupa C, acesta contestă faptul că comunicarea acestor documente sau a informațiilor pe care le conțin ar putea aduce atingere instrumentelor și metodelor de anchetă ale Direcției de securitate. În sfârșit, reclamantul menționează informațiile transferate sau compilate în documentele din grupa A, precizând că aceste documente îl privesc în mod direct și personal.
39 Având în vedere aceste elemente, rezultă că cererea din 21 septembrie 2016 cuprindea, pe lângă o cerere de acces la documente, și o cerere de acces la datele cu caracter personal care îl priveau pe reclamant cuprinse în aceste documente.
40 În al doilea rând, trebuie arătat că, în nota atacată, directorul Direcției de securitate a evocat „cererea [reclamantului] de acces la datele [sale] cu caracter personal”. Acesta a mai precizat, întemeindu‑se pe decizia CEPD din 25 iulie 2016, că a considerat că Direcția de securitate a „prelucrat [corect] [această] cerere”. Astfel, Direcția de securitate a ales ea însăși să evoce în nota atacată nu doar problema accesului la documentele în cauză, ci și pe cea a accesului la datele cu caracter personal cuprinse în respectivele documente, insistând asupra inexistenței, în decizia din 8 martie 2016, a unei încălcări a dreptului reclamantului de acces la datele în discuție.
41 Pe de altă parte, Comisia nu a dovedit și nici măcar nu a susținut că Direcția de securitate a răspuns în vreun moment, în scris sau oral, explicit sau implicit, la cererea din 21 septembrie 2016 în sensul că ea viza accesul la date cu caracter personal.
42 În aceste condiții, trebuie să se considere că, în nota atacată, Comisia a statuat asupra cererii reclamantului având ca obiect accesul la unele dintre datele sale cu caracter personal. În consecință, această notă, care nu admite această cerere, trebuie analizată ca fiind o respingere a dreptului de acces la respectivele date.
– Cu privire la caracterul pur confirmativ al notei atacate
43 Comisia susține că, inclusiv în cazul în care s‑ar admite că, în nota atacată, Direcția de securitate a statuat în materia accesului la date cu caracter personal, această notă ar fi, în orice caz, un act pur confirmativ al deciziei din 8 martie 2016, care nu ar fi fost contestată de reclamant în termenul de formulare a acțiunii în contencios.
44 Reclamantul contestă argumentația Comisiei. Acesta arată că încheierea anchetei administrative la 31 august 2016 și formularea, la data de 21 septembrie 2016, a unei cereri prin care a solicitat accesul, sub o formă cenzurată, la datele sale cu caracter personal constituiau fapte noi și esențiale care obligau Direcția de securitate să reexamineze temeinicia deciziei din 8 martie 2016.
45 În primul rând, argumentația Comisiei ridică problema dacă jurisprudența, potrivit căreia o acțiune îndreptată împotriva unui act pur confirmativ al unei decizii anterioare este inadmisibilă atunci când nu a fost introdusă împotriva acesteia în termenul prevăzut (Hotărârea din 17 mai 2017, Portugalia/Comisia, C‑337/16 P, EU:C:2017:381, punctul 51), se aplică deciziilor adoptate de o instituție ca răspuns la o cerere de acces la datele cu caracter personal formulată în temeiul articolului 13 din Regulamentul nr. 45/2001.
46 În această privință, este necesar să se amintească, pe de o parte, că articolul 13 litera (c) din Regulamentul nr. 45/2001 prevede că „persoana vizată are dreptul de a obține de la operator, fără constrângere, în orice moment în termen de trei luni de la primirea cererii și în mod gratuit […] comunicarea într‑o formă inteligibilă a datelor care fac obiectul prelucrării […]”. Rezultă din această dispoziție, care permite persoanei vizate să aibă acces „în orice moment” la datele sale cu caracter personal, că această persoană dispune de un drept de acces continuu și permanent la respectivele date.
47 Pe de altă parte, deși articolul 20 alineatul (1) din Regulamentul nr. 45/2001 prevede excepții și restricții de la dreptul persoanei vizate de acces la datele sale cu caracter personal, această dispoziție precizează că instituțiile nu pot limita aplicarea articolului 13 din același regulament decât „în cazul în care o astfel de restricție constituie o măsură necesară”. Rezultă că excepțiile și restricțiile menționate la articolul 20 alineatul (1) din regulamentul menționat nu se pot aplica decât în perioada în care ele se dovedesc necesare.
48 Pe de altă parte, trebuie subliniat că protecția datelor cu caracter personal, care rezultă din obligația explicită prevăzută la articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene, are o importanță specială pentru dreptul la viața privată consacrat la articolul 7 din aceasta (Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții, C‑293/12 și C‑594/12, EU:C:2014:238, punctul 53).
49 Astfel, Curtea a dat preferință unei interpretări a dreptului Uniunii Europene favorabile unui nivel ridicat de protecție a datelor cu caracter personal. Aceasta a luat în considerare în special faptul că, în domeniul prelucrării datelor cu caracter personal, situația de fapt și de drept a persoanei vizate este, prin natura sa, evolutivă, simpla curgere a timpului fiind susceptibilă să facă inutilă, ba chiar ilicită, o prelucrare care anterior nu era astfel (a se vedea în acest sens și prin analogie Hotărârea din 13 mai 2014, Google Spain și Google, C‑131/12, EU:C:2014:317, punctele 92 și 93).
50 În consecință, în cadrul Regulamentului nr. 45/2001, o persoană poate, în orice moment, să formuleze o nouă cerere de acces privind datele cu caracter personal la care anterior i s‑a respins dreptul de acces. O astfel de cerere obligă instituția în cauză să analizeze dacă respingerea anterioară a dreptului de acces se justifică în continuare.
51 În consecință, o nouă analiză, prin care să se verifice că respingerea dreptului de acces la datele cu caracter personal adoptată anterior se justifică în continuare în raport cu articolele 13 și 20 din Regulamentul nr. 45/2001, conduce la adoptarea unui act care nu este pur confirmativ pentru actul anterior, ci constituie un act care poate face obiectul unei acțiuni în anulare în temeiul articolului 263 TFUE.
52 În speță, Comisia a fost sesizată de reclamant la 21 septembrie 2016 cu o cerere de acces la datele sale cu caracter personal care figurează în diferite documente. Rezultă din punctul 50 de mai sus că Comisia era obligată să analizeze această cerere. Astfel cum s‑a subliniat la punctul 42 de mai sus, trebuie să se considere că, în nota atacată, Comisia a statuat asupra acestei cereri și a refuzat să o admită. În aceste condiții, având în vedere principiul enunțat anterior la punctul 51, această notă constituie un act atacabil, independent de faptul că un refuz anterior parțial al accesului la respectivele date i‑a fost deja dat reclamantului prin decizia din 8 martie 2016. Prin urmare, Comisia nu poate în mod util să se prevaleze de caracterul pur confirmativ al notei atacate.
53 În al doilea rând, presupunând chiar că jurisprudența menționată la punctul 45 de mai sus este aplicabilă în speță, este necesar să se amintească faptul că un act nu poate fi considerat pur confirmativ pentru o decizie anterioară decât dacă nu conține niciun element nou în raport cu aceasta din urmă (Hotărârea din 10 decembrie 1980, Grasselli/Comisia, 23/80, EU:C:1980:284, punctul 18, și Hotărârea din 31 mai 2017, DEI/Comisia, C‑228/16 P, EU:C:2017:409, punctul 33). În plus, existența unor fapte noi și esențiale poate justifica formularea unei cereri prin care se urmărește reexaminarea unei decizii anterioare devenite definitive (a se vedea Hotărârea din 7 februarie 2001, Inpesca/Comisia, T‑186/98, EU:T:2001:42, punctul 47 și jurisprudența citată). Ca atare, o acțiune formulată împotriva unei decizii prin care se refuză reexaminarea unei decizii devenite definitive va fi declarată admisibilă în cazul în care reiese că cererea se baza efectiv pe fapte noi și esențiale (a se vedea în acest sens Hotărârea din 7 februarie 2001, Inpesca/Comisia, T‑186/98, EU:T:2001:42, punctul 49). Unele fapte trebuie să fie considerate „noi și esențiale” atunci când, pe de o parte, nici reclamantul, nici administrația nu au sau nu sunt în măsură să fi avut cunoștință de faptul vizat la momentul adoptării deciziei anterioare și, pe de altă parte, faptul vizat poate modifica de o manieră esențială situația reclamantului în raport cu cea care a dat naștere deciziei anterioare devenite definitive (a se vedea în acest sens Hotărârea din 7 februarie 2001, Inpesca/Comisia, T‑186/98, EU:T:2001:42, punctele 50 și 51).
54 În speță, pentru a stabili existența unor fapte noi și esențiale, reclamantul invocă, printre altele, împrejurarea că ancheta administrativă s‑a încheiat la 31 august 2016.
55 Comisia obiectează că, în cererea sa din 21 septembrie 2016, reclamantul s‑a limitat la a mulțumi Direcției de securitate pentru faptul că, la 14 septembrie 2016, l‑a informat cu privire la încheierea anchetei administrative și că nu a invocat, cu această ocazie, faptul că respectiva încheiere constituia un fapt nou și esențial de natură să justifice reexaminarea deciziei din 8 martie 2016.
56 În această privință, este necesar să se amintească că nicio dispoziție din Regulamentul nr. 45/2001, cu precădere articolul său 13, care consacră un drept de acces „fără constrângere”, nu impune persoanei vizate să motiveze sau să justifice cererea sa de acces la datele sale cu caracter personal. În consecință, în materie de acces la datele cu caracter personal, reclamantul se poate prevala la Tribunal de existența, la momentul actului atacat, a unor fapte noi și esențiale care justificau o nouă analiză, chiar în condițiile în care s‑ar fi omis să fie menționate în cerere.
57 În aceste condiții și dat fiind că deja Comisia avea cunoștință de încheierea anchetei administrative la momentul la care ea a fost sesizată cu cererea din 21 septembrie 2016, reclamantul poate în mod util să se prevaleze la Tribunal de încheierea anchetei administrative pentru a demonstra existența unui fapt nou și esențial.
58 Or, trebuie arătat, pe de o parte, că acest eveniment a intervenit după decizia din 8 martie 2016, astfel încât are un caracter nou în sensul jurisprudenței citate la punctul 53 de mai sus.
59 Pe de altă parte, acest eveniment are și un caracter esențial, în sensul aceleiași jurisprudențe. Astfel, trebuie amintit că, pentru a‑i respinge reclamantului, prin decizia din 8 martie 2016, dreptul de acces la unele dintre datele sale cu caracter personal, Direcția de securitate a invocat, potrivit datelor în cauză, pe de o parte, excepția prevăzută la articolul 20 alineatul (1) litera (a) din Regulamentul nr. 45/2001, care urmărește „prevenirea, cercetarea, depistarea și urmărirea în justiție a infracțiunilor”, și, pe de altă parte, excepția prevăzută de articolul 20 alineatul (1) litera (c) din același regulament, care urmărește, printre altele, a „garanta protecția […] drepturilor și libertăților altora”. În ceea ce privește excepția prevăzută de articolul 20 alineatul (1) litera (a) din Regulamentul nr. 45/2001, Direcția de securitate a indicat că divulgarea datelor în cauză ar dezvălui instrumentele și metodele sale de anchetă. În ceea ce privește excepția prevăzută la articolul 20 alineatul (1) litera (c) din regulamentul menționat, ea a precizat că divulgare datelor în cauză ar aduce atingere drepturilor altor persoane care fac obiectul prelucrării datelor lor cu caracter personal, și anume martorii și informatorii audiați în cadrul anchetei administrative. Astfel, rezultă că motivele care au justificat respingerea parțială a dreptului de acces al reclamantului prin decizia din 8 martie 2016 aveau legătură, cel puțin indirect, cu ancheta administrativă care îl viza pe reclamant. În consecință, nu se poate exclude că încheierea acestei anchete a modificat în mod semnificativ situația reclamantului.
60 Această concluzie nu poate fi răsturnată de argumentația Comisiei că necesitatea, pe de o parte, de a nu compromite instrumentele și metodele de anchetă utilizate de Direcția de securitate și, pe de altă parte, de a proteja martorii și informatorii s‑ar menține după încheierea anchetei administrative. Astfel, această argumentație tinde să condiționeze în întregime admisibilitatea capetelor de cerere privind anularea de temeinicia noului refuz de acces la acte dat reclamantului. Or, pentru a constata ca încheierea anchetei administrative constituia un fapt nou și esențial care să justifice reexaminarea situației reclamantului este suficient să se arate că acest eveniment era susceptibil să aibă o incidență asupra aplicării excepțiilor prevăzute la articolul 20 alineatul (1) literele (a) și (c) din Regulamentul nr. 45/2001, fără o antepronunțare asupra posibilității sau a imposibilității de a‑i respinge din nou reclamantului, la sfârșitul acestei reexaminări, dreptul de acces în temeiul eventual al acelorași excepții.
61 În consecință, încheierea anchetei administrative constituia un fapt nou și esențial de natură să justifice o nouă analiză a dreptului reclamantului de acces la datele sale cu caracter personal.
62 Acest examen se justifica cu atât mai mult în speță cu cât reclamantul a lăsat să treacă un termen rezonabil înainte de a sesiza Direcția de securitate cu o nouă cerere de acces la datele sale cu caracter personal. Astfel, cererea din 21 septembrie 2016 a fost formulată după mai bine de șase luni de la refuzul parțial de acces dat reclamantului prin decizia din 8 martie 2016.
63 În aceste condiții, Comisia nu și‑a fundamentat, în orice caz, susținerea că nota atacată constituie un act pur confirmativ al deciziei din 8 martie 2016.
– Cu privire la interesul reclamantului de a exercita o acțiune
64 Comisia consideră că, în măsura în care reclamantul a avut deja acces în tot sau în parte la datele sale cu caracter personal și în special la toate datele care figurează în documentele din grupa A și în măsura în care în realitate urmărește să aibă acces la documente, el nu are un interes real de a exercita o acțiune împotriva notei atacate.
65 Deși reclamantul nu contestă în mod specific argumentația Comisiei, rezultă din toate înscrisurile sale că el consideră că a fost în mod eronat privat, prin nota atacată, de accesul la datele sale cu caracter personal.
66 Potrivit unei jurisprudențe constante, o acțiune în anulare introdusă de o persoană fizică sau juridică nu este admisibilă decât în măsura în care aceasta din urmă are un interes să obțină anularea actului atacat. Un astfel de interes presupune ca anularea acestui act să poată avea, în sine, consecințe juridice și ca acțiunea să poată astfel aduce, prin rezultatul său, un beneficiu părții care a formulat‑o (Hotărârea din 17 septembrie 2009, Comisia/Koninklijke FrieslandCampina, C‑519/07 P, EU:C:2009:556, punctul 63, și Hotărârea din 17 septembrie 2015, Mory și alții/Comisia, C‑33/14 P, EU:C:2015:609, punctul 55).
67 În speță, astfel cum s‑a arătat deja la punctul 42 de mai sus, trebuie să se considere că, prin nota atacată, Comisia a respins dreptul de acces al reclamantului la toate datele cu caracter personal menționate în cererea din 21 septembrie 2016.
68 Desigur, este adevărat că reclamantul a avut deja acces la unele dintre datele sale cu caracter personal. Astfel, în tabelul anexat la decizia din 8 martie 2016, Comisia i‑a comunicat anumite date cu privire la care ea nu s‑a prevalat de niciuna dintre excepțiile și restricțiile prevăzute la articolul 20 din Regulamentul nr. 45/2001. Acest lucru este valabil, pe de o parte, pentru toate datele cu caracter personal identificate de Comisie în documentele din grupa A, mai puțin documentul nr. 56, și, pe de altă parte, pentru o parte din datele cu caracter personal identificate de Comisie în documentele din grupele B, C și D, precum și pentru documentul nr. 56.
69 Cu toate acestea, s‑a observat deja la punctul 46 de mai sus că, în cadrul Regulamentului nr. 45/2001, persoana vizată dispune de un drept de acces continuu și permanent la datele sale cu caracter personal. Acest drept îi permite în special să formuleze o cerere de acces la datele cu caracter personal, inclusiv în cazul în care ea ar fi putut deja să aibă acces, în tot sau în parte, la aceste date în scopul, de exemplu, de a se asigura că toate datele cu caracter personal deținute de o instituție au fost identificate în mod efectiv, apoi comunicate, sau de a ști dacă datele în cauză sunt încă prelucrate de instituție și, în acest caz, dacă ele au fost modificate sau nu.
70 Pe de altă parte, deși este adevărat că reclamantul nu poate, prin intermediul unei cereri de acces la propriile date cu caracter personal, să aibă acces la documentele care conțin respectivele date, această împrejurare este irelevantă în sine pentru interesul pe care îl are pentru reclamant accesul la chiar datele menționate.
71 În aceste condiții, anularea notei atacate, care respinge dreptul de acces al reclamantului la toate datele sale cu caracter personal cuprinse în documentele menționate în cererea din 21 septembrie 2016, poate avea consecințe juridice pentru reclamant și îi poate aduce un beneficiu acestuia.
72 În consecință, capetele de cerere privind anularea sunt admisibile, iar excepțiile de inadmisibilitate invocate de Comisie trebuie respinse.
Cu privire la temeinicia capetelor de cerere privind anularea
73 În susținerea capetelor de cerere privind anularea, reclamantul invocă faptul că nota atacată nu respecta obligația de motivare prevăzută la articolul 296 TFUE. Astfel, această notă s‑ar limita la a face referire la decizia din 8 martie 2016 și nu ar menționa motivele pentru care nu ar putea avea acces la datele sale cu caracter personal. Referitor la datele cu caracter personal care figurează în documentele din grupa A, decizia din 8 martie 2016 nu ar fi fost motivată, astfel încât nota atacată ar fi la rândul ei viciată de nemotivare. În ceea ce privește datele cu caracter personal care figurează în documentele din grupele B, C și D, nota atacată nu ar explica în ce fel aplicarea excepțiilor și restricțiilor prevăzute la articolul 20 alineatul (1) literele (a) și (c) din Regulamentul nr. 45/2001 și invocate în decizia din 8 martie 2016 s‑ar justifica și după încheierea anchetei administrative, în condițiile în care Direcția de securitate era sesizată cu o nouă cerere având ca obiect dreptul de acces la respectivele date sub o formă cenzurată.
74 Comisia contestă argumentele reclamantului. Aceasta arată, pe de o parte, că nu era necesară nicio motivare specială în ceea ce privește datele cu caracter personal care figurează în documentele din grupa A, la care reclamantul a avut deja acces, și, pe de altă parte, că reclamantul fusese suficient informat, în tabelul anexat la decizia din 8 martie 2016, cu privire la motivele pentru care unele dintre datele sale cu caracter personal care figurau în documentele din grupele B, C și D nu i‑au fost divulgate.
75 Trebuie amintit că, potrivit unei jurisprudențe constante, motivarea impusă de articolul 296 TFUE trebuie să fie adaptată naturii actului în cauză și trebuie să menționeze în mod clar și neechivoc raționamentul instituției care a emis actul, astfel încât să dea posibilitatea persoanelor interesate să ia cunoștință de justificările măsurii luate, iar instanței competente să își exercite controlul. Cerința motivării trebuie apreciată în funcție de împrejurările cauzei, în special de conținutul actului, de natura motivelor invocate și de interesul de a primi explicații pe care îl pot avea destinatarii sau alte persoane vizate în mod direct și individual de actul respectiv. Nu este obligatoriu ca motivarea să specifice toate elementele de fapt și de drept pertinente, în măsura în care problema dacă motivarea unui act respectă condițiile impuse de articolul 296 TFUE trebuie să fie apreciată nu numai prin prisma modului de redactare, ci și în raport cu contextul său, precum și cu ansamblul normelor juridice care reglementează materia respectivă (Hotărârea din 2 aprilie 1998, Comisia/Sytraval și Brink’s Franța, C‑367/95 P, EU:C:1998:154, punctul 63, și Hotărârea din 1 iulie 2008, Chronopost și La Poste/UFEX și alții, C‑341/06 P și C‑342/06 P, EU:C:2008:375, punctul 88).
76 Pe de altă parte, rezultă din articolul 20 alineatul (3) din Regulamentul nr. 45/2001 că, atunci când o excepție sau o restricție prevăzută la articolul 20 alineatul (1) din același regulament este invocată împotriva persoanei vizate, aceasta din urmă trebuie să fie informată cu privire la principalele motive care stau la baza aplicării acestei excepții sau restricții.
77 În speță, trebuie să se constate că nota atacată – ai cărei termeni sunt reproduși la punctul 14 de mai sus – este, în sine, aproape lipsită de orice motivare în fapt și în drept. Astfel, această notă nu conține nicio motivare proprie. Ea nu precizează din ce motive nu i se permite reclamantului să aibă acces la datele cu caracter personal menționate în cererea din 21 septembrie 2016. În realitate, nota atacată se limitează să facă trimitere la decizia din 8 martie 2016, precum și la decizia CEPD din 25 iulie 2016 care a constatat inexistența unei încălcări a dreptului de acces al reclamantului la datele sale cu caracter personal. În această notă se afirmă doar, având în vedere concluzia la care a ajuns CEPD și fără nicio altă explicație, că cererea de acces a fost „[corect] prelucrată”.
78 Cu toate acestea, o motivare printr‑o referire poate fi admisă în anumite cazuri (a se vedea în acest sens Hotărârea din 19 noiembrie 1998, Parlamentul European/Gaspari, C‑316/97 P, EU:C:1998:558, punctul 27). În special, jurisprudența acceptă o motivare prin referire la o decizie anterioară [a se vedea în acest sens Hotărârea din 12 mai 2016, Zuffa/EUIPO (ULTIMATE FIGHTING CHAMPIONSHIP), T‑590/14, nepublicată, EU:T:2016:295, punctul 43, și Hotărârea din 5 februarie 2018, Edeka‑Handelsgesellschaft Hessenring/Comisia, T‑611/15, EU:T:2018:63, punctele 32-38].
79 Prin urmare, este necesar să se stabilească dacă referirea la decizia din 8 martie 2016 și la decizia CEPD din 25 iulie 2016 constituie o motivare suficientă a notei atacate.
80 În această privință, trebuie arătat, în primul rând, că, în ceea ce privește datele cu caracter personal care figurează în documentele din grupul A (mai puțin documentul nr. 56), tabelul anexat la decizia din 8 martie 2016 prin care s‑a admis în totalitate cererea de acces – cel puțin în ceea ce privește datele cu caracter personal identificate de Comisie în documentele în cauză – nu conținea niciun motiv de respingere a dreptului de acces. În consecință, referirea la decizia din 8 martie 2016 nu poate constitui o motivare a respingerii, invocată pentru prima dată în nota atacată, a dreptului de acces al reclamantului la toate datele cu caracter personal conținute în documentele din grupa A.
81 În al doilea rând, în ceea ce privește datele cu caracter personal care figurează în documentele din grupele B, C și D, trebuie amintit că, după cum s‑a arătat la punctele 52 și 61 de mai sus, Comisia era obligată să analizeze dacă respingerea dreptului de acces al reclamantului prin decizia din 8 martie 2016 se mai justifica. În acest scop, îi revenea mai ales sarcina de a verifica, pentru toate datele cu caracter personal în cauză, că aplicarea excepțiilor și restricțiilor prevăzute la articolul 20 alineatul (1) literele (a) și (c) din Regulamentul nr. 45/2001 și evocate în decizia din 8 martie 2016 se mai justificau în raport cu o eventuală modificare a situației de drept sau de fapt. În special, Comisia era obligată să ia în considerare împrejurările că ancheta fusese între timp încheiată și că s‑a scurs un termen mai mare de șase luni.
82 Or, pe de o parte, trebuie să se constate că nota atacată nu conține niciun element de motivare referitor la o nouă analiză concretă și detaliată a dreptului reclamantului de acces la datele sale cu caracter personal. Nota nu conține nici elemente de motivare referitoare la eventuala indicare a împrejurărilor menționate la punctul 81 de mai sus. Pe de altă parte, simpla trimitere la decizia din 8 martie 2016 și la decizia CEPD din 25 iulie 2016 nu poate constitui în mod evident o motivare adecvată și suficientă, un refuz nou adoptat în urma reexaminării neputând, prin definiție, să se întemeieze în mod exclusiv pe motive menționate în decizii anterioare acestei reexaminări. În consecință, referirea la aceste două decizii nu constituia o respectare a obligației de motivare în ceea ce privește respingerea dreptului de acces la datele cu caracter personal cuprinse în documentele din grupele B, C și D invocate din nou în nota atacată împotriva reclamantului.
83 Rezultă că motivul întemeiat pe încălcarea obligației de motivare trebuie admis.
84 Prin urmare, trebuie anulată nota atacată în măsura în care respinge cererea reclamantului de acces la unele dintre datele sale cu caracter personal.
Cu privire la cererea de probe formulată de reclamant
85 Reclamantul solicită obligarea Comisiei să prezinte documentul nr. 57.
86 Cu toate acestea, măsura de cercetare judecătorească solicitată are legătură, astfel cum a admis reclamantul în ședință, cu capetele de cerere privind despăgubirile. Întrucât reclamantul a renunțat la aceste capete de cerere și s‑a luat act de această renunțare (punctul 27 de mai sus), prezentarea documentului nr. 57 nu are nicio utilitate în acest litigiu.
87 Prin urmare, nu este necesar să se admită cererea de probe formulată de reclamant.
Cu privire la cheltuielile de judecată
88 Potrivit articolului 134 alineatul (1) din Regulamentul de procedură, partea care cade în pretenții este obligată, la cerere, la plata cheltuielilor de judecată.
89 Întrucât Comisia a căzut în pretenții în mod substanțial, este necesară obligarea sa la plata cheltuielilor de judecată în conformitate cu concluziile reclamantului, fără a fi nevoie să se ia în considerare renunțarea parțială a acestuia din urmă la capetele de cereri privind despăgubirile.
Pentru aceste motive,
TRIBUNALUL (Camera a noua extinsă)
declară și hotărăște:
1) Anulează nota directorului Direcției de securitate din cadrul Direcției Generale de Resurse Umane și de Securitate a Comisiei Europene din 12 octombrie 2016, în măsura în care respinge cererea din 21 septembrie 2016 formulată de RE prin care a solicitat accesul la unele dintre datele sale cu caracter personal.
2) Obligă Comisia la plata cheltuielilor de judecată.
Gervasoni | Madise | da Silva Passos |
Kowalik‑Bańczyk | | Mac Eochaidh |
Pronunțată astfel în ședință publică la Luxemburg, la 14 februarie 2019.
Semnături