Language of document : ECLI:EU:C:2008:727

ARRÊT DE LA COUR (grande chambre)

16 décembre 2008 (*)

«Directive 95/46/CE – Champ d’application – Traitement et circulation de données fiscales à caractère personnel – Protection des personnes physiques – Liberté d’expression»

Dans l’affaire C‑73/07,

ayant pour objet une demande de décision préjudicielle au titre de l’article 234 CE, introduite par le Korkein hallinto-oikeus (Finlande), par décision du 8 février 2007, parvenue à la Cour le 12 février 2007, dans la procédure

Tietosuojavaltuutettu

contre

Satakunnan Markkinapörssi Oy,

Satamedia Oy,

LA COUR (grande chambre)

Composée de M. V. Skouris, président, MM. P. Jann, C. W. A. Timmermans, A. Rosas, K. Lenaerts et A. Ó Caoimh, présidents de chambre, MM. P. Kūris, E. Juhász, G. Arestis, A. Borg Barthet, J. Klučka, U. Lõhmus et E. Levits (rapporteur), juges,

avocat général: Mme J. Kokott,

greffier: Mme C. Strömholm, administrateur,

vu la procédure écrite et à la suite de l’audience du 12 février 2008,

considérant les observations présentées:

–        pour Satakunnan Markkinapörssi Oy et Satamedia Oy, par Me P. Vainio, lakimies,

–        pour le gouvernement finlandais, par M. J. Heliskoski, en qualité d’agent,

–        pour le gouvernement estonien, par M. L. Uibo, en qualité d’agent,

–        pour le gouvernement portugais, par M. L. I. Fernandes et Mme C. Vieira Guerra, en qualité d’agents,

–        pour le gouvernement suédois, par Mmes A. Falk et K. Petkovska, en qualité d’agents,

–        pour la Commission des Communautés européennes, par MM. C. Docksey et P. Aalto, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 8 mai 2008,

rend le présent

Arrêt

1        La demande de décision préjudicielle porte sur l’interprétation de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31, ci-après la «directive»).

2        Cette demande a été présentée dans le cadre d’un litige opposant le tietosuojavaltuutettu (médiateur chargé de la protection des données) à la tietosuojalautakunta (commission de protection des données) au sujet d’activités de traitement de données à caractère personnel exercées par les sociétés Satakunnan Markkinapörssi Oy (ci-après «Markkinapörssi») et Satamedia Oy (ci-après «Satamedia»).

 Le cadre juridique

 La réglementation communautaire

3        Ainsi qu’il ressort de son article 1er , paragraphe 1, la directive vise la protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel.

4        L’article 1er, paragraphe 2, de la directive dispose:

«Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1.»

5         L’article 2 de la directive, intitulé «Définitions», dispose:

«Aux fins de la présente directive, on entend par:

a)      ‘données à caractère personnel’: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;

b)      ‘traitement de données à caractère personnel’ (traitement): toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction;

c)      ‘fichier de données à caractère personnel’ (fichier): tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

[…]»

6        L’article 3 de la directive définit le champ d’application de celle-ci comme suit:

«1.      La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2.      La présente directive ne s’applique pas au traitement de données à caractère personnel:

–        mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,

–        effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.»

7        Le rapport entre la protection des données à caractère personnel et la liberté d’expression est régi par l’article 9 de la directive, intitulé «Traitements de données à caractère personnel et liberté d’expression», de la manière suivante:

«Les États membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s’avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d’expression.»

8        À cet égard, le trente-septième considérant de la directive est libellé comme suit:

«(37) considérant que le traitement de données à caractère personnel à des fins de journalisme ou d’expression artistique ou littéraire, notamment dans le domaine audiovisuel, doit bénéficier de dérogations ou de limitations de certaines dispositions de la présente directive dans la mesure où elles sont nécessaires à la conciliation des droits fondamentaux de la personne avec la liberté d’expression, et notamment la liberté de recevoir ou de communiquer des informations, telle que garantie notamment à l’article 10 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales; qu’il incombe donc aux États membres, aux fins de la pondération entre les droits fondamentaux, de prévoir les dérogations et limitations nécessaires en ce qui concerne les mesures générales relatives à la légalité du traitement des données, les mesures relatives au transfert des données vers des pays tiers ainsi que les compétences des autorités de contrôle, sans qu’il y ait lieu toutefois de prévoir des dérogations aux mesures visant à garantir la sécurité du traitement; qu’il conviendrait également de conférer au moins à l’autorité de contrôle compétente en la matière certaines compétences a posteriori, consistant par exemple à publier périodiquement un rapport ou à saisir les autorités judiciaires».

9        L’article 13 de la directive, intitulé «Exceptions et limitations», dispose:

«1.      Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l’article 6 paragraphe 1, à l’article 10, à l’article 11 paragraphe 1 et aux articles 12 et 21, lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder:

a)      la sûreté de l’État;

[…]»

10      L’article 17 de la directive, intitulé «Sécurité des traitements», énonce:

«1.      Les États membres prévoient que le responsable du traitement doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

2.      Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect de ces mesures.

[…]»      

 La réglementation nationale

11      L’article 10, paragraphe 1, de la Constitution [perustuslaki (731/1999)] du 11 juin 1999 dispose:

«La vie privée, l’honneur et l’inviolabilité du domicile de chacun sont garantis. La protection des données personnelles est réglementée plus précisément par la loi.»

12      Selon l’article 12 de la Constitution:

«Chacun dispose de la liberté d’expression. La liberté d’expression comprend le droit de s’exprimer, de publier et de recevoir des informations, des opinions et d’autres messages, sans censure préalable. Les modalités plus précises relatives à l’exercice de la liberté d’expression sont fixées par la loi. […]

Les documents et les enregistrements en possession des autorités sont publics, sauf si leur communication est spécifiquement limitée par la loi pour des motifs impérieux. Chacun a le droit d’obtenir des informations sur les documents et enregistrements publics.»

13      La loi sur les données à caractère personnel [henkilötietolaki (523/1999)] du 22 avril 1999, transposant la directive en droit national, s’applique au traitement de telles données (article 2, paragraphe 1), exception faite des fichiers nominatifs qui ne comportent que des informations publiées telles quelles dans les médias (article 2, paragraphe 4). Elle ne s’applique que partiellement au traitement des données à caractère personnel à des fins rédactionnelles et à des fins artistiques ou littéraires (article 2, paragraphe 5).

14      L’article 32 de la loi sur les données à caractère personnel prévoit que le responsable de fichiers doit prendre les mesures techniques et organisationnelles nécessaires de façon à protéger les données à caractère personnel contre l’accès injustifié à ces données, la destruction, la modification, la cession ou le transfert accidentels ou illégaux, ou tout autre traitement illégal de ces données.

15      La loi sur le caractère public des activités des autorités publiques [laki viranomaisten toiminnan julkisuudesta (621/1999)] du 21 mai 1999 régit également l’accès à l’information.

16      Selon l’article 1er, paragraphe 1, de la loi sur le caractère public des activités des autorités publiques, la règle générale est que les documents visés par cette loi sont publics.

17      L’article 9 de ladite loi dispose que toute personne a le droit de prendre connaissance d’un document public desdites autorités.

18      L’article 16, paragraphe 1, de la même loi définit les modalités d’accès à un tel document. Cette disposition prévoit que les autorités publiques donnent oralement connaissance du contenu du document ou mettent le document à disposition dans leurs locaux où il peut être consulté et recopié ou entendu ou bien encore délivré sous forme d’une copie ou d’un tirage imprimé.

19      Le paragraphe 3 de cet article fixe les conditions dans lesquelles les données qui figurent dans les fichiers contenant des données à caractère personnel des autorités publiques peuvent être communiquées:

«Il peut être délivré une copie ou un tirage imprimé contenant des données à caractère personnel d’un fichier nominatif des autorités publiques ou ces données peuvent être communiquées sous forme électronique, sauf exceptions prévues par la loi, si le destinataire est habilité, en vertu des dispositions concernant la protection des données à caractère personnel, à conserver ces données et à les utiliser. Toutefois, de telles données ne peuvent être cédées à des fins de marketing direct, de sondages ou d’études de marché que si la loi le prévoit spécifiquement ou que si la personne concernée a donné son consentement.»

20      La juridiction de renvoi relève que la loi sur le caractère public et la confidentialité des données à caractère fiscal [laki verotustietojen julkisuudesta ja salassapidosta (1346/1999)] du 30 décembre 1999 a priorité sur la loi sur les données à caractère personnel et sur la loi sur le caractère public des activités des autorités publiques.

21      Selon l’article 2 de cette loi, les dispositions de la loi sur le caractère public des activités des autorités publiques et de la loi sur les données à caractère personnel s’appliquent aux documents et aux données à caractère fiscal, sauf disposition législative contraire.

22      L’article 3 de cette même loi énonce:

«Les données à caractère fiscal sont publiques selon les modalités fixées par la présente loi.

Toute personne a le droit de prendre connaissance des documents à caractère fiscal publics détenus par l’administration fiscale selon les modalités prévues par la loi sur le caractère public des activités des autorités publiques, sous réserve des exceptions énoncées par cette loi.»

23      Selon l’article 5, paragraphe 1, de ladite loi, les informations à caractère public ayant trait à l’imposition effectuée chaque année sont le nom du redevable, sa date de naissance et sa commune de résidence. Sont en outre publiques les informations suivantes:

«1.      Le revenu du travail imposable (impôt national);

2.      Le revenu du capital et le patrimoine imposables (impôt national);

3.      Le revenu imposable (impôt communal);

4.      Les impôts sur le revenu et sur le patrimoine, l’impôt communal et le montant total des impôts et des taxes mis en recouvrement.

[…]»

24      Finalement, le chapitre 24, article 8, du code pénal [rikoslaki dans sa version résultant de la loi 531/2000] sanctionne la divulgation d’une information portant atteinte à la vie privée. Est ainsi punissable, le fait de diffuser auprès de nombreuses personnes, en utilisant les médias ou d’autres moyens, des informations, des insinuations ou des images concernant la vie privée d’autrui dans des conditions susceptibles de causer à la personne lésée un préjudice ou une souffrance, ou à attirer sur elle le discrédit.

 Le litige au principal et les questions préjudicielles

25      Depuis de nombreuses années, Markkinapörssi collecte auprès des autorités fiscales finlandaises des données publiques afin d’éditer, chaque année, des extraits de ces données dans les éditions régionales du journal Veropörssi.

26      Les informations contenues dans ces publications comprennent le nom et le prénom de quelque 1,2 million de personnes physiques dont le revenu excède certains seuils ainsi que, à 100 euros près, le montant de leurs revenus du capital et du travail et des indications concernant l’imposition de leur patrimoine. Ces informations sont communiquées sous la forme d’une liste alphabétique et classées par commune et par catégorie de revenus.

27      Selon la décision de renvoi, Markkinapörssi indique que les données personnelles révélées peuvent être retirées du journal Veropörssi, sur demande, sans impliquer de frais.

28      Même si ce journal contient également des articles, des résumés ainsi que des annonces, son but essentiel est de publier des informations personnelles à caractère fiscal.

29      Markkinapörssi a cédé, sous la forme de disques CD-ROM, à Satamedia, détenue par les mêmes actionnaires, les données à caractère personnel publiées dans Veropörssi, en vue de leur diffusion par un système de SMS. À cet effet, les deux sociétés ont signé un accord avec une société de téléphonie mobile qui, pour le compte de Satamedia, a mis en place un service de SMS permettant aux utilisateurs de téléphones portables de recevoir sur leur téléphone, contre paiement d’environ 2 euros, les informations publiées dans Veropörssi. Sur demande, les données personnelles sont retirées de ce service.

30      Le tietosuojavaltuutettu et la tietosuojalautakunta, autorités finlandaises chargées de la protection des données, contrôlent le traitement des données à caractère personnel et ont pouvoir de décision dans les conditions prescrites par la loi sur les données à caractère personnel.

31      À la suite de plaintes de particuliers invoquant la violation de leur vie privée, le tietosuojavaltuutettu chargé d’enquêter sur les activités de Markkinapörssi et de Satamedia, a demandé le 10 mars 2004 à la tietosuojalautakunta d’interdire à ces dernières de poursuivre les activités concernant le traitement des données à caractère personnel en cause.

32      La tietosuojalautakunta ayant rejeté cette demande, le tietosuojavaltuutettu a introduit un recours devant le Helsingin hallinto-oikeus (tribunal administratif de Helsinki) lequel a également rejeté le recours. Le tietosuojavaltuutettu s’est alors pourvu devant le Korkein hallinto-oikeus.

33      La juridiction de renvoi met en exergue que le pourvoi introduit par le tietosuojavaltuutettu ne porte pas sur la cession d’informations par les autorités finlandaises. De même, elle précise que le caractère public des données fiscales en question n’est pas mis en cause. En revanche, elle nourrit des doutes quant au traitement ultérieur de ces données.

34      Dans ces conditions, elle a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes:

«1)      Peut-on considérer comme un ‘traitement de données à caractère personnel’ au sens de l’article 3, paragraphe 1, de la directive [...], une activité qui consiste:

a)      à collecter dans les documents publics de l’administration fiscale des données relatives aux revenus du travail et du capital ainsi qu’au patrimoine de personnes physiques et à les traiter en vue de leur publication,

b)      à les publier dans l’ordre alphabétique et par classe de revenus, sous la forme de listes détaillées établies commune par commune,

c)      à les céder sous la forme de disques CD-ROM, pour qu’elles soient utilisées à des fins commerciales,

d)      à les traiter dans un service de SMS qui permet aux utilisateurs de téléphones mobiles, en envoyant le nom et la commune de résidence d’une personne, de recevoir des informations concernant les revenus du travail et du capital ainsi que le patrimoine de cette personne?

2)      Convient-il d’interpréter la directive [...] en ce sens que les diverses activités mentionnées ci-dessus à la première question, sous a) à d), peuvent être considérées comme constituant un ‘traitement de données à caractère personnel réalisé uniquement à des fins de journalisme’ au sens de l’article 9 de la directive, si l’on tient compte du fait que les données qui ont été collectées, et qui concernent plus d’un million de redevables, proviennent de documents qui sont publics en vertu de la législation nationale sur l’accès à l’information? Le fait que le but essentiel de cette activité est de publier les données en question est-il pertinent pour l’appréciation?

3)      Convient-il d’interpréter l’article 17 de la directive [...], conformément aux principes et à la finalité de la directive, en ce sens qu’il s’oppose à la publication de données qui ont été collectées à des fins de journalisme et à leur cession à des fins commerciales?

4)      Convient-il d’interpréter la directive [...] en ce sens que sont totalement exclus de son champ d’application les fichiers nominatifs qui ne comportent que des informations déjà publiées telles quelles dans les médias?»

 Sur les questions préjudicielles

 Sur la première question

35      Il convient de constater que les données visées par cette question qui concernent le nom et le prénom de certaines personnes physiques dont le revenu excède certains seuils ainsi que, notamment, et à 100 euros près, le montant de leurs revenus du travail et du capital constituent des données à caractère personnel au sens de l’article 2, sous a), de la directive, puisqu’il s’agit d’«informations concernant une personne physique identifiée ou identifiable» (voir, également, arrêt du 20 mai 2003, Österreichischer Rundfunk e.a., C‑465/00, C‑138/01 et C‑139/01, Rec. p. I-4989, point 64).

36      Il suffit de constater, ensuite, qu’il résulte clairement de la lecture même de l’article 2, sous b), de la directive que l’activité visée à cette question relève de la définition du «traitement de données à caractère personnel» au sens de cette disposition.

37      Par conséquent, il y a lieu de répondre à la première question que l’article 3, paragraphe 1, de la directive doit être interprété en ce sens qu’une activité qui consiste à:

–        collecter dans les documents publics de l’administration fiscale des données relatives aux revenus du travail et du capital ainsi qu’au patrimoine de personnes physiques et à les traiter en vue de leur publication,

–        les publier dans l’ordre alphabétique et par classe de revenus, sous la forme de listes détaillées établies commune par commune,

–        les céder sous la forme de disques CD-ROM, pour qu’elles soient utilisées à des fins commerciales,

–        les traiter dans un service de SMS qui permet aux utilisateurs de téléphones mobiles, en envoyant le nom et la commune de résidence d’une personne, de recevoir des informations concernant les revenus du travail et du capital ainsi que le patrimoine de cette personne

doit être considérée comme un «traitement de données à caractère personnel» au sens de cette disposition.

 Sur la quatrième question

38      Par sa quatrième question, qu’il convient d’examiner en deuxième lieu, la juridiction de renvoi demande, en substance, si les activités de traitement de données à caractère personnel telles que celles visées à la première question, sous c) et d), concernant des fichiers nominatifs qui ne contiennent que des informations déjà publiées telles quelles dans les médias, relèvent du champ d’application de la directive.

39      À cet égard, en vertu de l’article 3, paragraphe 2, de la directive, cette dernière ne s’applique pas aux traitements de données à caractère personnel dans deux cas de figure.

40      Le premier cas de figure concerne les traitements de données à caractère personnel mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal.

41      Ces activités, mentionnées à titre d’exemples au premier tiret de cette disposition, sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques, étrangères aux domaines d’activité des particuliers. Elles sont destinées à définir la portée de l’exception prévue à ladite disposition, de sorte que cette exception ne s’applique qu’aux activités qui y sont ainsi expressément mentionnées ou qui peuvent être rangées dans la même catégorie (ejusdem generis) (voir arrêt du 6 novembre 2003, Lindqvist, C-101/01, Rec. p. I-12971, points 43 et 44).

42      Or, les activités de traitement de données à caractère personnel telles que celles énoncées à la première question, sous c) et d), concernent des activités de sociétés privées. Ces activités ne s’insèrent nullement dans un cadre institué par les pouvoirs publics et visant la sécurité publique. Par conséquent, de telles activités ne sauraient être assimilées à celles visées à l’article 3, paragraphe 2, de la directive (voir, en ce sens, arrêt du 30 mai 2006, Parlement/Conseil, C-317/04 et C‑318/04, Rec. p. I‑4721, point 58).

43      S’agissant du second cas de figure, prévu au second tiret de cette disposition, le douzième considérant de la directive, relatif à cette exception, mentionne, en tant qu’exemples de traitement de données effectué par une personne physique dans l’exercice d’activités exclusivement personnelles ou domestiques, la correspondance et la tenue de répertoires d’adresses.

44      Il en découle que cette seconde exception doit être interprétée comme visant uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers (voir arrêt Lindqvist, précité, point 47). Tel n’est manifestement pas le cas en ce qui concerne les activités de Markkinapörssi et Satamedia, dont l’objet est de porter les données collectées à la connaissance d’un nombre indéfini de personnes.

45      Force est, par conséquent, de conclure que les activités de traitement de données à caractère personnel telles que celles visées à la première question, sous c) et d), ne font pas partie de l’un des cas de figure énoncés à l’article 3, paragraphe 2, de la directive.

46      Par ailleurs, il y a lieu de mentionner que la directive ne prévoit aucune limitation supplémentaire à son champ d’application.

47      À cet égard, Mme l’avocat général relève, au point 125 de ses conclusions, que l’article 13 de la directive n’autorise de dérogations qu’à certaines dispositions de celle-ci dont l’article 3 ne fait pas partie.

48      Finalement, il y a lieu de relever qu’une dérogation générale à l’application de la directive en faveur d’informations publiées viderait cette dernière largement de son sens. En effet, il suffirait aux États membres de faire publier des données pour les faire échapper à la protection prévue par la directive.

49      Il convient, par conséquent, de répondre à la quatrième question que les activités de traitement de données à caractère personnel telles que celles visées à la première question, sous c) et d), concernant des fichiers des autorités publiques contenant des données à caractère personnel qui ne comprennent que des informations déjà publiées telles quelles dans les médias, relèvent du champ d’application de la directive.

 Sur la deuxième question

50      Par sa deuxième question, la juridiction de renvoi demande, en substance, si l’article 9 de la directive doit être interprété en ce sens que les activités mentionnées à la première question, sous a) à d), concernant des données provenant de documents publics selon la législation nationale, doivent être considérées comme des activités de traitement de données à caractère personnel exercées aux seules fins de journalisme. Cette juridiction précise qu’elle souhaite des éclaircissements sur la question de savoir si le fait que le but essentiel de ces activités est de publier les données en question est pertinent pour cette appréciation.

51      Il y a lieu de relever, à titre liminaire, que, selon une jurisprudence constante, les dispositions d’une directive doivent être interprétées au regard de l’objectif qu’elle poursuit et du système qu’elle institue (voir, en ce sens, arrêt du 11 septembre 2008, Caffaro, C-265/07, non encore publié au Recueil, point 14).

52      À cet égard, il est constant, ainsi qu’il ressort de l’article 1er de la directive, que l’objet de celle-ci est que les États membres, tout en permettant la libre circulation des données à caractère personnel, assurent la protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement desdites données.

53      Cet objet ne saurait, cependant, être poursuivi sans tenir compte du fait que lesdits droits fondamentaux sont à concilier, dans une certaine mesure, avec le droit fondamental de la liberté d’expression.

54      Une telle conciliation est visée à l’article 9 de la directive. Ainsi qu’il ressort notamment du trente-septième considérant de la directive, l’article 9 de celle-ci poursuit l’objectif de concilier deux droits fondamentaux, à savoir, d’une part, la protection de la vie privée et, d’autre part, la liberté d’expression. Cette tâche incombe aux États membres.

55      En vue de concilier ces deux «droits fondamentaux» au sens de la directive, les États membres sont appelés à prévoir certaines dérogations ou limitations à la protection des données, et donc du droit fondamental à la vie privée, prévues aux chapitres II, IV et VI de cette directive. Ces dérogations doivent être faites aux seules fins de journalisme ou d’expression artistique ou littéraire, qui relèvent du droit fondamental de la liberté d’expression, dans la seule mesure où elles s’avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d’expression.

56      Afin de tenir compte de l’importance que détient la liberté d’expression dans toute société démocratique, il convient, d’une part, d’interpréter les notions y afférentes, dont celle de journalisme, de manière large. D’autre part, et pour obtenir une pondération équilibrée entre les deux droits fondamentaux, la protection du droit fondamental à la vie privée exige que les dérogations et limitations de la protection des données prévues aux chapitres susmentionnés de la directive doivent s’opérer dans les limites du strict nécessaire.

57      Dans ce contexte, il y a lieu de retenir les éléments suivants.

58      Premièrement, ainsi que Mme l’avocat général l’a remarqué au point 65 de ses conclusions et qu’il ressort des travaux préparatoires de la directive, les exemptions et les dérogations prévues à l’article 9 de la directive s’appliquent non seulement aux entreprises de média, mais également à toute personne exerçant une activité de journalisme.

59      Deuxièmement, le fait qu’une publication de données à caractère public soit liée à une fin lucrative n’exclut a priori pas qu’elle puisse être considérée comme une activité «aux seules fins de journalisme». En effet, ainsi que le relèvent Markkinapörssi et Satamedia dans leurs observations et Mme l’avocat général au point 82 de ses conclusions, toute entreprise cherche un profit par son activité. Un certain succès commercial peut même constituer la condition sine qua non de la subsistance d’un journalisme professionnel.

60      Troisièmement, il y a lieu de tenir compte de l’évolution et de la multiplication des moyens de communication et de diffusion d’informations. Ainsi qu’il a été relevé, notamment, par le gouvernement suédois, le support au moyen duquel les données traitées sont transmises, classique tel que le papier ou les ondes hertziennes, ou électronique tel que l’Internet, n’est pas déterminant pour apprécier s’il s’agit d’une activité «aux seules fins de journalisme».

61      Il découle de tout ce qui précède que des activités telles que celles de l’affaire au principal, concernant des données provenant de documents publics selon la législation nationale, peuvent être qualifiées d’«activités de journalisme», si elles ont pour finalité la divulgation au public d’informations, d’opinions ou d’idées, sous quelque moyen de transmission que ce soit. Elles ne sont pas réservées aux entreprises de média et peuvent être liées à un but lucratif.

62      Il convient, par conséquent, de répondre à la deuxième question que l’article 9 de la directive doit être interprété en ce sens que les activités mentionnées à la première question, sous a) à d), concernant des données provenant de documents publics selon la législation nationale, doivent être considérées comme des activités de traitement de données à caractère personnel exercées «aux seules fins de journalisme» au sens de cette disposition, si lesdites activités ont pour seule finalité la divulgation au public d’informations, d’opinions ou d’idées, ce qu’il appartient à la juridiction nationale d’apprécier .

Sur la troisième question

63      Par sa troisième question, la juridiction de renvoi demande, en substance, s’il convient d’interpréter l’article 17 de la directive en ce sens qu’il s’oppose à la publication de données qui ont été collectées à des fins de journalisme et à leur cession à des fins commerciales.

64      Compte tenu de la réponse donnée à la deuxième question, il n’y a pas lieu de répondre à cette question.

Sur les dépens

65      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (grande chambre) dit pour droit:

1)      L’article 3, paragraphe 1, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’une activité qui consiste à:

–        collecter dans les documents publics de l’administration fiscale des données relatives aux revenus du travail et du capital ainsi qu’au patrimoine de personnes physiques et à les traiter en vue de leur publication,

–        les publier dans l’ordre alphabétique et par classe de revenus, sous la forme de listes détaillées établies commune par commune,

–        les céder sous la forme de disques CD-ROM, pour qu’elles soient utilisées à des fins commerciales,

–        les traiter dans un service de SMS qui permet aux utilisateurs de téléphones mobiles, en envoyant le nom et la commune de résidence d’une personne, de recevoir des informations concernant les revenus du travail et du capital ainsi que le patrimoine de cette personne

doit être considérée comme un ‘traitement de données à caractère personnel’ au sens de cette disposition.

2)      L’article 9 de la directive 95/46 doit être interprété en ce sens que les activités mentionnées à la première question, sous a) à d), concernant des données provenant de documents publics selon la législation nationale, doivent être considérées comme des activités de traitement de données à caractère personnel exercées «aux seules fins de journalisme» au sens de cette disposition, si lesdites activités ont pour seule finalité la divulgation au public d’informations, d’opinions ou d’idées, ce qu’il appartient à la juridiction nationale d’apprécier.

3)      Les activités de traitement de données à caractère personnel telles que celles visées par la première question, sous c) et d), concernant des fichiers des autorités publiques contenant des données à caractère personnel qui ne comprennent que des informations déjà publiées telles quelles dans les médias, relèvent du champ d’application de la directive 95/46.

Signatures

* Langue de procédure: le finnois.