Language of document : ECLI:EU:T:2015:926

Affaire T‑343/13

CN

contre

Parlement européen

« Responsabilité non contractuelle – Pétition adressée au Parlement – Diffusion sur le site Internet du Parlement de certaines données à caractère personnel – Absence de violation suffisamment caractérisée d’une règle de droit conférant des droits aux particuliers »

Sommaire – Arrêt du Tribunal (sixième chambre) du 3 décembre 2015

1.      Responsabilité non contractuelle – Conditions – Illégalité – Violation suffisamment caractérisée du droit de l’Union – Exigence d’une méconnaissance manifeste et grave par les institutions des limites de leur pouvoir d’appréciation – Violation des règles relatives à la protection des données à caractère personnel – Inclusion

(Art. 340, al. 2, TFUE ; charte des droits fondamentaux de l’Union européenne, art. 8 ; règlement du Parlement européen et du Conseil nº 45/2001)

2.      Institutions de l’Union européenne – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement nº 45/2001 – Données relatives à la santé – Notion – Interprétation large – Limites

(Règlement du Parlement européen et du Conseil nº 45/2001, art. 10, § 1)

3.      Institutions de l’Union européenne – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement nº 45/2001 – Nécessité de licéité du traitement – Consentement de la personne concernée – Notion – Dépôt d’une pétition contenant des informations sensibles sur le site Internet du Parlement européen – Informations fournies au pétitionnaire avant le dépôt permettant à celui-ci d’apprécier l’accessibilité au public de sa pétition – Caractère licite du traitement

[Règlement du Parlement européen et du Conseil nº 45/2001, art. 2, h), 5, d), et 10, § 2, a)]

4.      Responsabilité non contractuelle – Conditions – Illégalité – Violation suffisamment caractérisée du droit de l’Union – Invocation d’illégalités découlant d’une violation des droits de tiers – Inadmissibilité

(Art. 340, al. 2, TFUE)

5.      Institutions de l’Union européenne – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement nº 45/2001 – Droit d’effacement des données – Condition – Traitement illicite des données concernées – Effacement par courtoisie de données traitées licitement – Respect d’un délai raisonnable

(Règlement du Parlement européen et du Conseil nº 45/2001, art. 16)

6.      Droits fondamentaux – Respect de la vie privée – Protection des données à caractère personnel – Divulgation de données avec le consentement de la personne concernée – Ingérence dans la vie privée – Absence

7.      Responsabilité non contractuelle – Conditions – Illégalité – Préjudice – Lien de causalité – Conditions cumulatives – Absence de l’une des conditions – Rejet du recours en indemnité dans son ensemble

(Art. 340, al. 2, TFUE)

8.      Responsabilité non contractuelle – Conditions – Préjudice réel et certain causé par un acte illégal – Préjudices matériel et moral – Charge de la preuve

(Art. 340, al. 2, TFUE)

9.      Responsabilité non contractuelle – Conditions – Lien de causalité – Préjudice constitué par les frais afférents à la procédure précontentieuse – Frais résultant du libre choix du requérant – Absence de lien de causalité entre le préjudice et le comportement de l’institution

(Art. 340, al. 2, TFUE)

1.      En matière de responsabilité non contractuelle de l’Union, la condition du comportement illégal des institutions de l’Union requiert la violation suffisamment caractérisée d’une règle de droit ayant pour objet de conférer des droits aux particuliers. Le critère décisif pour considérer qu’une violation du droit de l’Union est suffisamment caractérisée est celui de la méconnaissance manifeste et grave, par une institution de l’Union, des limites qui s’imposent à son pouvoir d’appréciation.

À cet égard, le droit à la protection des données à caractère personnel consacré par l’article 8 de la charte des droits fondamentaux de l’Union européenne étant développé par le règlement nº 45/2001, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, en ce qui concerne les actes des institutions et des organes de l’Union et par les dispositions d’application dudit règlement adoptées par chaque institution, ces différentes dispositions ont pour objet de conférer des droits aux particuliers. Dès lors, elles peuvent être invoquées par un requérant dans le cadre de son recours en indemnité.

(cf. points 44, 47)

2.      Il convient de donner à l’expression « données relatives à la santé », figurant à l’article 10, paragraphe 1, du règlement nº 45/2001, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, une interprétation large, de sorte qu’elle comprenne des informations concernant tous les aspects, tant physiques que psychiques, de la santé d’une personne. Cependant, cette notion ne peut pas être élargie jusqu’à englober des expressions n’entraînant la divulgation d’aucune donnée relative à la santé ou à la condition médicale d’une personne.

(cf. point 50)

3.      Étant donné que l’article 2, sous h), du règlement nº 45/2001, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, n’impose aucune condition quant à la forme du consentement d’une personne à un traitement de données à caractère personnel, le dépôt d’une pétition au Parlement européen peut être regardé comme une manifestation de volonté par la personne concernée.

En effet, une lecture attentive des informations fournies par le Parlement sur son site Internet concernant la publicité de la pétition aurait dû permettre à un pétitionnaire raisonnablement attentif d’apprécier la portée de son action et les conséquences de celle-ci. À cet égard, s’agissant d’une pétition visant le fait qu’une institution de l’Union n’a pas dûment pris en compte, aux fins de sa carrière, l’état de santé du pétitionnaire fonctionnaire de l’Union et celui de son fils, cette manifestation de volonté est spécifique dès lors que le Parlement a informé le pétitionnaire, au moment du dépôt, du fait que sa plainte serait accessible sur Internet, et que ce dernier a donné son consentement explicite en cochant les cases d’un formulaire relatives au traitement public et à l’inscription sur un registre accessible sur Internet, sans que son consentement doive être déduit implicitement d’une action quelconque. Dans ces conditions, il y a lieu de considérer que le pétitionnaire a donné son consentement explicite à la divulgation d’informations sensibles relatives à sa santé, au sens de l’article 10, paragraphe 2, sous a), du règlement nº 45/2001. Ces considérations s’appliquent mutatis mutandis au traitement des données personnelles autres que les données personnelles sensibles du pétitionnaire.

Par ailleurs, en ce qui concerne les données personnelles ne figurant pas parmi celles mentionnées à l’article 10, paragraphe 1, du règlement nº 45/2001, telles que celles relatives à la carrière du pétitionnaire, leur traitement est soumis au régime prévu à l’article 5 dudit règlement. Aux termes de l’article 5, sous d), de ce règlement, le traitement peut être effectué, notamment, lorsque la personne concernée a indubitablement donné son consentement. En d’autres termes, le traitement peut être effectué lorsque la personne concernée a donné son consentement avec certitude et sans ambiguïté. À cet égard, alors que l’article 10, paragraphe 2, sous a), du règlement nº 45/2001 requiert que le consentement soit explicite, l’article 5, sous d), dudit règlement exige un consentement indubitablement donné. Il est logique de considérer, compte tenu de la nature des données personnelles sensibles, que les conditions requises pour le consentement au sens de l’article 5, sous d), du règlement nº 45/2001 ne peuvent pas être plus strictes que celles prévues à l’article 10, paragraphe 2, sous a), dudit règlement.

(cf. points 59, 70, 74, 76-79)

4.      En matière de responsabilité non contractuelle de l’Union, afin de garantir l’effet utile de la condition tenant à la violation d’une règle de droit conférant des droits aux particuliers, il est nécessaire que la protection offerte par la règle invoquée soit effective à l’égard de la personne qui l’invoque et, donc, que cette personne soit parmi celles auxquelles la règle en question confère des droits. Il ne saurait être admis comme source d’indemnité une règle ne protégeant pas le particulier contre l’illégalité qu’il invoque, mais un autre particulier. Il en résulte qu’un requérant ne saurait invoquer, dans le cadre de son recours en indemnité, des illégalités découlant de la prétendue violation des droits d’un tiers.

(cf. point 86)

5.      L’article 16 du règlement nº 45/2001, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, confère le droit d’obtenir l’effacement des données personnelles uniquement lorsque le traitement est illicite. Dès lors, cette disposition ne peut pas être invoquée à l’appui d’une demande d’effacement lorsque le traitement est licite. Le fait que l’institution de l’Union concernée ait décidé d’accueillir une demande d’effacement n’implique pas en soi la reconnaissance de l’illégalité du traitement initial.

À cet égard, l’article 12, paragraphe 3, des dispositions d’application du règlement nº 45/2001, adoptées par le Parlement européen, prévoit que, lorsqu’une demande d’effacement des données personnelles est acceptée, elle est exécutée sans délai. Cette disposition vise les situations dans lesquelles la demande est acceptée parce qu’elle est fondée, à savoir parce que le traitement est illégal. Dans ces circonstances, il est logique qu’elle doive être exécutée sans délai. En revanche, lorsque la demande n’est pas fondée, mais est acceptée par courtoisie, il n’y a pas de raison d’imposer une obligation d’exécution sans délai. Dans ce cas, le Parlement est uniquement tenu de donner suite à son engagement dans un délai raisonnable.

(cf. points 90, 100)

6.      S’agissant de la divulgation d’informations personnelles par une institution de l’Union, il n’est pas possible de considérer qu’il y a ingérence d’une autorité publique dans la vie privée au sens de l’article 8 de la convention européenne des droits de l’homme lorsque la personne concernée donne son consentement à cette divulgation.

(cf. point 107)

7.      Voir le texte de la décision.

(cf. point 110)

8.      Voir le texte de la décision.

(cf. points 118, 119)

9.      Voir le texte de la décision.

(cf. points 123, 124)