Affaire C‑439/19
B
(demande de décision préjudicielle, introduite par la Latvijas Republikas Satversmes tiesa)
Arrêt de la Cour(grande chambre) du 22 juin 2021
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 5, 6 et 10 – Législation nationale prévoyant l’accès du public aux données à caractère personnel relatives aux points de pénalité imposés pour des infractions routières – Licéité – Notion de “données à caractère personnel relatives aux condamnations pénales et aux infractions” – Divulgation aux fins d’améliorer la sécurité routière – Droit d’accès du public aux documents officiels – Liberté d’information – Conciliation avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel – Réutilisation des données – Article 267 TFUE – Effets dans le temps d’une décision préjudicielle – Possibilité pour une juridiction constitutionnelle d’un État membre de maintenir les effets juridiques d’une législation nationale non compatible avec le droit de l’Union – Principes de primauté du droit de l’Union et de sécurité juridique »
1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Champ d’application – Dérogations – Traitement de données dans le cadre d’une activité ne relevant pas du droit de l’Union – Activité visant à préserver la sécurité nationale ou relevant de cette catégorie – Notion – Activité visant à améliorer la sécurité routière – Exclusion
[Règlement du Parlement européen et du Conseil 2016/679, considérant 16 et art. 2, § 2, a)]
(voir points 61-68)
2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Champ d’application – Dérogations – Traitement de données effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales – Notion d’autorité compétente – Nécessité du lien avec la protection des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière – Autorité publique nationale communiquant au public des données à caractère personnel relatives aux points de pénalité imposés pour des infractions routières – Exclusion
[Règlement du Parlement européen et du Conseil 2016/679, considérant 19 et art. 2, § 2, d) ; directive du Parlement européen et du Conseil 2016/680, considérants 10, 11 et art. 3, § 7]
(voir points 69 -72)
3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions – Notion de données relatives aux infractions – Données relatives aux points de pénalité – Inclusion – Notion d’infractions – Caractère pénal – Critères d’appréciation – Infractions routières donnant lieu à l’imposition de points de pénalité – Inclusion
(Règlement du Parlement européen et du Conseil 2016/679, art. 10 ; directive du Parlement européen et du Conseil 2016/680, considérant 13)
(voir points 77-93, disp. 1)
4. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Conditions de licéité d’un traitement de données à caractère personnel – Traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique – Réglementation nationale rendant obligatoire l’accès du public aux données à caractère personnel relatives aux points de pénalité et autorisant la communication de ces données à des opérateurs économiques à des fins de réutilisation – Objectif d’intérêt général d’amélioration de la sécurité routière – Absence de caractère nécessaire de ce traitement des données à caractère personnel – Inadmissibilité – Droits d’accès du public aux documents officiels et à la liberté d’information – Absence d’incidence – Primauté des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel
[Règlement du Parlement européen et du Conseil 2016/679, considérants 39, 154 et art. 5, § 1, 6, § 1, e), 10, 85, 86]
(voir points 99, 106, 108-113, 120-122, 126, 129, disp. 2 et 3)
5. Questions préjudicielles – Interprétation – Effets dans le temps des arrêts d’interprétation – Effet rétroactif – Limitation par la Cour – Principes de primauté du droit de l’Union et de sécurité juridique – Possibilité pour une juridiction constitutionnelle d’un État membre de maintenir les effets juridiques d’une réglementation nationale jugée incompatible avec le droit de l’Union jusqu’à la date de prononcé de son jugement définitif – Absence
(Art. 267 TFUE)
(voir points 132-137, disp. 4)
Résumé
Le droit de l’Union sur la protection des données s’oppose à la réglementation lettonne obligeant l’autorité de la sécurité routière à rendre accessibles au public les données relatives aux points de pénalité imposés aux conducteurs pour des infractions routières
La nécessité de ce régime pour assurer l’objectif visé, à savoir l’amélioration de la sécurité routière, n’est pas établie
B, une personne physique, s’est vu imposer des points de pénalité pour une ou plusieurs infractions routières. Ces points de pénalité ont été inscrits par la Ceļu satiksmes drošības direkcija (direction de la sécurité routière, Lettonie) (ci-après la « CSDD ») au registre national des véhicules et de leurs conducteurs.
En vertu de la réglementation lettonne sur la circulation routière (1), les informations relatives aux points de pénalité imposés aux conducteurs de véhicules inscrits dans ce registre sont accessibles au public et sont communiquées par la CSDD à toute personne qui en fait la demande, sans que celle-ci ait à justifier d’un intérêt spécifique à obtenir ces informations, y compris à des opérateurs économiques à des fins de réutilisation. S’interrogeant sur la légalité de cette réglementation, B a formé un recours constitutionnel devant la Latvijas Republikas Satversmes tiesa (Cour constitutionnelle, Lettonie), afin que celle-ci examine la conformité de cette règlementation avec le droit au respect de la vie privée.
La Cour constitutionnelle a considéré que, dans le cadre de son appréciation de ce droit constitutionnel, elle doit tenir compte du règlement général sur la protection des données (ci-après le « RGPD ») (2). Ainsi, elle a demandé à la Cour de clarifier la portée de plusieurs dispositions du RGPD dans le but de déterminer la compatibilité de la réglementation lettonne sur la circulation routière avec ce règlement.
Par son arrêt, prononcé en grande chambre, la Cour juge que le RGPD s’oppose à la réglementation lettonne. Elle constate que la nécessité, notamment au regard de l’objectif d’amélioration de la sécurité routière invoqué par le gouvernement letton, d’une communication de données à caractère personnel relatives aux points de pénalité imposés pour des infractions routières n’est pas établie. En outre, selon la Cour, ni le droit du public d’accéder aux documents officiels ni le droit à la liberté d’information ne justifient une telle réglementation.
Appréciation de la Cour
En premier lieu, la Cour juge que le traitement des données à caractère personnel relatives aux points de pénalité constitue un « traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions » (3), pour lequel le RGPD prévoit une protection accrue en raison de la sensibilité particulière des données en cause.
Dans ce cadre, elle observe, à titre liminaire, que les informations relatives aux points de pénalité sont des données à caractère personnel et que leur communication par la CSDD à des tiers constitue un traitement qui relève du champ d’application matériel du RGPD. En effet, ce champ d’application est très large, et ce traitement ne relève pas des exceptions à l’applicabilité de ce règlement.
Ainsi, d’une part, ce traitement n’est pas couvert par l’exception relative à la non-application du RGPD à un traitement effectué dans le cadre d’une activité ne relevant pas du droit de l’Union (4). Cette exception est à considérer comme ayant pour seul objet d’exclure du champ d’application de ce règlement les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d’une activité visant à préserver la sécurité nationale ou d’une activité pouvant être rangée dans la même catégorie. Ces activités couvrent, en particulier, celles visant à protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société. Or, les activités relatives à la sécurité routière ne poursuivent pas cet objectif et ne sauraient donc être rangées dans la catégorie des activités ayant pour but la préservation de la sécurité nationale.
D’autre part, la communication des données personnelles relatives aux points de pénalité n’est pas non plus un traitement couvert par l’exception prévoyant la non-application du RGPD aux traitements de données personnelles effectués par les autorités compétentes en matière pénale (5). La Cour constate, en effet, que, dans l’exercice de ladite communication, la CSDD ne peut pas être considérée comme une telle « autorité compétente » (6).
Afin de déterminer si l’accès aux données à caractère personnel relatives aux infractions routières, telles que les points de pénalité, constitue un traitement de données à caractère personnel relatives à des « infractions » (7), qui jouissent d’une protection accrue, la Cour constate, en s’appuyant notamment sur la genèse du RGPD, que cette notion renvoie exclusivement aux infractions pénales. Toutefois, le fait que, dans le système juridique letton, les infractions routières sont qualifiées d’administratives n’est pas déterminant pour apprécier si ces infractions relèvent de la notion d’« infraction pénale » dans la mesure où il s’agit d’une notion autonome du droit de l’Union qui requiert, dans toute l’Union, une interprétation autonome et uniforme. Ainsi, après avoir rappelé les trois critères pertinents pour apprécier le caractère pénal d’une infraction, à savoir la qualification juridique de l’infraction en droit interne, la nature de l’infraction et le degré de sévérité de la sanction encourue, la Cour juge que les infractions routières en cause relèvent de la notion d’« infraction » au sens du RGPD. S’agissant des deux premiers critères, la Cour constate que, même si les infractions ne sont pas qualifiées de « pénales » en droit national, un tel caractère peut découler de la nature de l’infraction, et notamment de la finalité répressive poursuivie par la sanction que l’infraction est susceptible d’entraîner. Or, en l’espèce, l’attribution de points de pénalité pour des infractions routières, tout comme les autres sanctions que leur commission peut entraîner, poursuivent, entre autres, une telle finalité répressive. Quant au troisième critère, la Cour observe que seules des infractions routières d’une certaine gravité comportent l’imposition de points de pénalité, et que, partant, celles-ci sont susceptibles d’entraîner des sanctions d’une certaine sévérité. De plus, l’imposition de tels points se rajoute généralement à la sanction infligée, et la cumulation de ces points entraîne des conséquences juridiques pouvant même aller jusqu’à l’interdiction de conduire.
En deuxième lieu, la Cour juge que le RGPD s’oppose à la réglementation lettonne faisant obligation à la CSDD de rendre accessibles au public les données relatives aux points de pénalité imposés aux conducteurs de véhicules pour des infractions routières, sans que la personne demandant l’accès ait à justifier d’un intérêt spécifique à les obtenir.
Dans ce contexte, la Cour souligne que l’amélioration de la sécurité routière, visée par la réglementation lettonne, constitue un objectif d’intérêt général reconnu par l’Union et que, partant, les États membres peuvent qualifier la sécurité routière de « mission d’intérêt public » (8). Cependant, la nécessité du régime letton de communication de données à caractère personnel relatives aux points de pénalité pour assurer l’objectif visé n’est pas établie. En effet, d’une part, le législateur letton dispose d’une multitude de voies d’actions qui lui auraient permis d’atteindre cet objectif par d’autre moyens moins attentatoires aux droits fondamentaux des personnes concernées. D’autre part, il convient de tenir compte de la sensibilité des données relatives aux points de pénalité et du fait que leur communication au public est susceptible de constituer une ingérence grave dans les droits au respect de la vie privée et à la protection des données à caractère personnel, dès lors qu’elle peut provoquer la désapprobation de la société et entraîner la stigmatisation de la personne concernée.
En outre, la Cour considère que, compte tenu de la sensibilité de ces données et de la gravité de cette ingérence dans ces deux droits fondamentaux, ces droits prévalent tant sur l’intérêt du public à avoir accès à des documents officiels, tels que le registre national des véhicules et de leurs conducteurs, que sur le droit à la liberté d’information.
En troisième lieu, pour des raisons identiques, la Cour juge que le RGPD s’oppose également à la réglementation lettonne dans la mesure où elle autorise la CSDD à communiquer les données relatives aux points de pénalité imposés aux conducteurs de véhicules pour des infractions routières à des opérateurs économiques afin que ces derniers puissent les réutiliser et les communiquer au public.
En quatrième et dernier lieu, la Cour précise que le principe de primauté du droit de l’Union s’oppose à ce que la juridiction de renvoi, saisie du recours contre la réglementation lettonne, qualifiée par la Cour d’incompatible avec le droit de l’Union, décide de maintenir les effets juridiques de cette réglementation jusqu’à la date de prononcé de son arrêt définitif.