CONCLUSIONS DE L’AVOCAT GÉNÉRAL
MME JULIANE KOKOTT
présentées le 20 juillet 2017 (1)
Affaire C‑434/16
Peter Nowak
contre
Data Protection Commissioner
[demande de décision préjudicielle formée par la Supreme Court (Cour suprême, Irlande)]
« Renvoi préjudiciel – Directive 95/46/CE – Traitement de données à caractère personnel – Notion de “données à caractère personnel” – Accès à sa propre copie d’examen – Annotations du correcteur »
I. Introduction
1. Une copie d’examen est-elle composée de données à caractère personnel, si bien que le candidat à l’examen peut le cas échéant se prévaloir de la directive 95/46/CE (2) pour demander à l’organisateur de l’épreuve de lui donner accès à sa copie ? Tel est l’objet de la présente demande de décision préjudicielle formulée par la Supreme Court (Cour suprême, Irlande). Le litige au principal ne porte toutefois pas directement sur l’accès à une copie d’examen, mais concerne le refus de l’ancien Data Protection Commissioner (commissaire irlandais à la protection des données) d’instruire une plainte pour refus d’accès.
2. La question centrale est de savoir si les développements du candidat qui figurent dans une copie d’examen peuvent être des données à caractère personnel. En marge de cette question, il est cependant possible d’évoquer également le point de savoir si le fait que la copie est manuscrite revêt de l’importance, ainsi que le point de savoir si les annotations inscrites sur la copie par l’examinateur constituent également des données à caractère personnel du candidat.
3. La directive sur la protection des données sera remplacée prochainement par le règlement (UE) 2016/679 (3), lequel n’est pas encore applicable, mais cela n’affectera pas la notion de « données à caractère personnel ». Le présent renvoi préjudiciel est donc important pour l’application future du droit de l’Union en matière de protection des données.
II. Le cadre juridique
4. L’article 2 de la directive sur la protection des données définit plusieurs notions, et notamment ce qu’il y a lieu d’entendre par « données à caractère personnel » :
« Aux fins de la présente directive, on entend par :
a) “données à caractère personnel” : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;
b) “traitement de données à caractère personnel” (traitement) : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;
c) “fichier de données à caractère personnel” (fichier) : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;
[…] »
5. Le champ d’application de la directive sur la protection des données est défini par l’article 3 :
« 1. La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. […] »
6. L’article 12 de la directive sur la protection des données régit le droit d’accès en ces termes :
« Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement :
a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs :
– la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,
– la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données,
– la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l’article 15 paragraphe 1 ;
b) selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données ;
[…] »
7. Le considérant 41 de la directive sur la protection des données explique l’objet du droit d’accès :
« considérant que toute personne doit pouvoir bénéficier du droit d’accès aux données la concernant qui font l’objet d’un traitement, afin de s’assurer notamment de leur exactitude et de la licéité de leur traitement […] »
8. L’article 13, paragraphe 1, de la directive sur la protection des données autorise des exceptions à certaines règles :
« 1. Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l’article 6 paragraphe 1, à l’article 10, à l’article 11 paragraphe 1 et aux articles 12 et 21, lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder :
a) la sûreté de l’État ;
b) la défense ;
c) la sécurité publique ;
d) la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées ;
e) un intérêt économique ou financier important d’un État membre ou de l’Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal ;
f) une mission de contrôle, d’inspection ou de réglementation relevant, même à titre occasionnel, de l’exercice de l’autorité publique, dans les cas visés aux points c), d) et e) ;
g) la protection de la personne concernée ou des droits et libertés d’autrui. »
III. Les faits au principal et les questions préjudicielles
9. M. Peter Nowak était, à l’époque des faits, un expert-comptable stagiaire qui avait passé et réussi divers examens organisés par l’Institute of Chartered Accountants of Ireland (ordre irlandais des experts-comptables, ci-après l’« ordre des experts-comptables »). Il a cependant tenté à quatre reprises, en vain, l’examen « Comptabilité de la finance stratégique et de la gestion ». Il s’agissait d’un examen pour lequel il était permis d’apporter ses propres documents de référence (« open book exam »).
10. À la quatrième reprise, à l’automne 2009, M. Nowak a cherché à contester le résultat. En mai 2010, il a cependant décidé, finalement, de présenter, au titre de la législation irlandaise sur la protection des données, une demande d’accès visant toutes les « données à caractère personnel » le concernant qui étaient détenues par l’ordre des experts-comptables.
11. Par courrier du 1er juin 2010, l’ordre des experts-comptables a communiqué à M. Nowak 17 documents, mais a refusé de lui communiquer sa copie d’examen, au motif que l’ordre avait été informé que la copie ne constituait pas « des données à caractère personnel » au sens des lois sur la protection des données.
12. M. Nowak a ensuite contacté le service du commissaire irlandais à la protection des données en lui demandant de l’aider et en soutenant que sa copie constituait un ensemble de données à caractère personnel. En juin 2010, le commissaire à la protection des données a notamment indiqué à M. Nowak, par courrier électronique, que « de manière générale, les copies d’examen ne sont pas examinées [aux fins de la protection des données] […] car, de manière générale, ces documents ne constituent pas des données à caractère personnel ».
13. L’échange de courrier entre M. Nowak et le commissaire à la protection des données alors en fonction s’est poursuivi et a abouti, le 1er juillet 2010, au dépôt par M. Nowak d’une plainte formelle. Par lettre du 21 juillet 2010, le commissaire à la protection des données a informé M. Nowak que, après examen du dossier, il n’avait pas constaté de violation substantielle de la législation. En outre, ce courrier indiquait que les documents à propos desquels M. Nowak voulait exercer « un droit de correction » « ne constituaient pas des données à caractère personnel auxquelles [la législation] sur la protection des données s’applique ». Par conséquent, le commissaire à la protection des données n’a pas examiné la plainte plus avant.
14. M. Nowak a attaqué cette décision devant les juridictions irlandaises et la procédure est actuellement pendante devant la Supreme Court (Cour suprême). Cette dernière a adressé les questions suivantes à la Cour :
« 1) Les informations inscrites dans des réponses ou à titre de réponses données par un candidat au cours d’un examen professionnel sont-elles de nature à constituer des données à caractère personnel au sens de la directive sur la protection des données ?
2) S’il y a lieu de répondre à la première question que certaines ou la totalité de ces informations sont susceptibles de constituer des données à caractère personnel au sens de la directive sur la protection des données, quels facteurs sont pertinents pour déterminer si, dans un cas donné, une telle copie constitue des données à caractère personnel et quel poids doit être accordé à ceux-ci ? »
15. Dans le cadre de la procédure devant la Cour, des observations écrites ont été présentées par M. Nowak et l’actuelle commissaire irlandaise à la protection des données en tant que parties au principal, ainsi que par la République tchèque, l’Irlande, la République hellénique, la Hongrie, la République d’Autriche, la République de Pologne, la République portugaise et la Commission européenne. Outre M. Nowak et la commissaire irlandaise à la protection des données, l’Irlande et la Commission étaient représentées à l’audience du 22 juin 2017.
IV. Appréciation juridique
16. La question qui est au cœur du renvoi préjudiciel est celle de savoir si des copies d’examen doivent être considérées comme des données à caractère personnel (voir titre A). Certaines parties se sont également interrogées sur le point de savoir si d’éventuelles annotations des examinateurs sont des données à caractère personnel du candidat (voir titre B). Enfin, la Commission, en particulier, s’est exprimée sur les autres conditions du droit d’accès au titre de la législation sur la protection des données (voir titre C).
A. Sur la copie d’examen
17. Par ses deux questions, auxquelles il convient de répondre conjointement, la Supreme Court (Cour suprême) souhaite être éclairée sur le point de savoir si la copie d’une épreuve écrite relève de la définition des données à caractère personnel qui figure à l’article 2, sous a), de la directive sur la protection des données. Cette question tire son origine du fait que M. Nowak, le candidat à l’examen en question, demande à pouvoir consulter sa copie en invoquant le droit d’accès qui est consacré à l’article 12 de la directive sur la protection des données et qu’il a introduit à ce sujet, sans succès, une plainte auprès du commissaire irlandais à la protection des données alors en fonction.
1. Sur la définition des données à caractère personnel
18. Le champ d’application de la directive sur la protection des données est très large et les données à caractère personnel visées par la directive sont variées (4). Aux termes de l’article 2, sous a), toute information concernant une personne physique identifiée ou identifiable est une donnée à caractère personnel.
a) Sur la qualification des copies d’examen
19. De l’avis de l’actuelle commissaire irlandaise à la protection des données, une copie d’examen ne contient pas de données à caractère personnel, en particulier lorsque l’utilisation de documents de référence personnels est autorisée. Ce point de vue est sans doute exact, de manière générale, pour ce qui est du traitement des sujets d’examen, considéré isolément. Étant donné que les sujets d’examen sont normalement formulés de manière abstraite ou portent sur des cas fictifs (5), les réponses fournies ne devraient pas comporter d’informations concernant une personne physique identifiée ou identifiable.
20. Bien que les questions de la Supreme Court (Cour suprême) semblent effectivement viser uniquement le traitement du sujet, à savoir les « informations inscrites […] par un candidat », il ne serait pas judicieux de clôturer l’analyse à ce stade.
21. En effet, comme presque toutes les autres parties l’ont soutenu à juste titre, une copie d’examen ne comporte pas uniquement des informations relatives au traitement de certains sujets, mais lie ces informations à la personne du candidat qui rédige la copie. La copie établit que cette personne a passé un certain examen et quelle performance elle a réalisée. Le caractère personnel de ces performances est également démontré par le fait que les candidats intègrent généralement les résultats d’examen les plus importants dans leur curriculum vitae.
22. Le point de savoir si une copie est composée de réponses rédigées par le candidat lui-même ou du choix de réponses déterminées à des questions à choix multiple a tout aussi peu d’importance pour la qualification de la copie d’examen en tant que matérialisation de données à caractère personnel que la possibilité, existant en l’espèce, d’utiliser certains documents (« open book exam »).
23. Certes, le lien entre les performances en question et le candidat est plus fort dans la mesure où ce dernier doit élaborer les réponses lui-même. En effet, l’élaboration autonome d’une réponse ne se limite pas à la reproduction d’informations apprises, mais démontre également de quelle façon le candidat réfléchit et travaille.
24. Dans tous les cas, un examen ne vise cependant pas – à la différence d’une enquête représentative, par exemple – à obtenir des informations qui sont indépendantes d’une personne. Il sert au contraire à déterminer et à établir les performances d’une personne spécifique, à savoir le candidat. Tout examen vise à vérifier les performances individuelles et éminemment personnelles du candidat. Ce n’est pas sans raison que l’appropriation injustifiée des performances d’autrui lors d’un examen est lourdement sanctionnée au titre de la tentative de tromperie.
25. Par conséquent, une copie d’examen matérialise des informations relatives au candidat et elle est, dans cette mesure, un faisceau de données à caractère personnel.
26. L’exactitude de cette conclusion est d’ailleurs corroborée par le fait qu’un candidat a un intérêt légitime, tiré de la protection de sa vie privée, à pouvoir s’opposer à ce que la copie d’examen qui lui est attribuée soit traitée en dehors de la procédure d’examen. En effet, un candidat n’est pas tenu d’accepter que sa copie soit transmise à des tiers, voire publiée, sans son autorisation.
27. Contrairement à ce que soutient la commissaire irlandaise à la protection des données, les données à caractère personnel qui sont matérialisées dans une copie d’examen ne sont pas uniquement constituées par le résultat de l’examen, la note obtenue ou les points attribués pour certaines parties de l’examen. Ces notes résument uniquement la performance lors de l’épreuve, dont les détails sont établis par la copie d’examen elle-même.
28. Le fait que le nom du candidat ne figure pas sur la copie, mais qu’elle soit revêtue d’un numéro d’identification ou d’un code-barres ne change rien à la possibilité de qualifier une copie d’examen de matérialisation de données à caractère personnel. En effet, conformément à l’article 2, sous a), de la directive sur la protection des données, il suffit, pour qu’une information soit à caractère personnel, que la personne concernée puisse être identifiée, ne serait-ce qu’indirectement (6). Et, tout au moins lorsque le candidat réclame sa copie à l’entité responsable de l’organisation de l’examen, celle-ci peut identifier le candidat grâce au numéro d’identification.
b) Sur l’incidence du caractère manuscrit de la copie
29. M. Nowak, la République tchèque et la République de Pologne défendent également à juste titre le point de vue selon lequel des réponses rédigées à la main contiennent des informations supplémentaires sur le candidat, à savoir sur son écriture. Une copie manuscrite constitue dès lors, en pratique, un échantillon d’écriture qui pourrait ultérieurement servir d’indice, au moins potentiellement, pour vérifier si un autre texte est également de la main du candidat. Elle peut ainsi fournir des indications sur l’identité de l’auteur de la copie.
30. Le point de savoir si un tel échantillon d’écriture permet d’identifier l’auteur de manière certaine importe peu aux fins de la qualification en tant que données à caractère personnel. En effet, de nombreuses autres données à caractère personnel ne permettent pas non plus, à titre isolé, d’identifier une personne de manière certaine. Il n’est donc pas nécessaire de trancher le point de savoir si l’écriture est à considérer comme une information biométrique.
2. Surl’objetdu droit d’accès
31. Contrairement au point de vue de l’Irlande, l’objet du droit d’accès aux données à caractère personnel, qui est indiqué au considérant 41 de la directive sur les données à caractère personnel, ne plaide pas non plus contre l’attribution d’une telle qualification à une copie d’examen. Selon ce considérant, toute personne doit pouvoir bénéficier du droit d’accès aux données la concernant qui font l’objet d’un traitement, afin de s’assurer notamment de leur exactitude et de la licéité de leur traitement. L’Irlande craint que le candidat ne réclame à ce titre, en combinaison avec le droit de rectification consacré à l’article 12, sous b), la correction de réponses erronées fournies lors de l’épreuve.
a) Sur l’interprétation téléologique de la notion de « données à caractère personnel »
32. Il convient de rappeler tout d’abord que la présente affaire porte uniquement en second lieu sur le droit d’accès et qu’elle porte en premier lieu sur l’interprétation de la notion de « données à caractère personnel ». Comme la Commission l’a exposé à juste titre au cours de l’audience, de nombreuses autres exigences de la directive sur la protection des données se rattachent à cette notion. Ainsi, l’article 6, paragraphe 1, sous a), exige-t-il que les données à caractère personnel soient traitées loyalement et licitement, tandis que le point b) prévoit la limitation des finalités des données à caractère personnel.
33. Dans le contexte de la présente affaire, il est particulièrement intéressant de relever que, en vertu de l’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union européenne, de l’article 16, paragraphe 2, TFUE et de l’article 28 de la directive sur la protection des données, des autorités de contrôle doivent surveiller, en toute indépendance, le respect des règles de l’Union relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (7). Dans ce cadre, l’article 8, paragraphes 1 et 3, de la charte des droits fondamentaux et l’article 28, paragraphe 4, de la directive sur la protection des données garantissent aux personnes auxquelles les données en question se rapportent le droit de saisir les autorités nationales de contrôle d’une demande aux fins de la protection de leurs droits fondamentaux (8).
34. Par conséquent, le fait de pouvoir qualifier des informations de « données à caractère personnel » ne saurait dépendre du point de savoir si l’accès à ces informations est soumis à des règles spécifiques susceptibles de s’appliquer parallèlement au droit d’accès ou de le remplacer. Les problèmes liés au droit de rectification ne peuvent pas non plus être décisifs aux fins de la constatation de l’existence de données à caractère personnel. En effet, si ces facteurs étaient déterminants, certaines données à caractère personnel pourraient être exclues du système de protection global prévu par la directive sur la protection des données, en dépit du fait que les règles alors applicables n’accorderaient pas une protection équivalente, mais tout au plus une protection fragmentaire.
b) Sur la rectification de données
35. Toutefois, lorsque l’accent est mis sur le droit d’accès et la question de la rectification, force est de reconnaître que, en ce qui concerne une copie d’examen, ce droit ne peut manifestement pas être exercé pour réclamer, après la consultation, une rectification, au titre de l’article 12, sous b), de la directive sur la protection des données, du contenu de la copie, c’est-à-dire de la réponse que le candidat a couchée sur le papier (9). En effet, comme la République de Pologne le relève à juste titre, le caractère exact et complet de données à caractère personnel doit être apprécié, conformément à l’article 6, paragraphe 1, sous d), de la directive sur la protection des données, au regard de la finalité pour laquelle les données ont été collectées et sont traitées. La finalité d’une copie d’examen est de permettre d’évaluer les connaissances et les compétences du candidat à la date de l’examen, ce qui résulte précisément de sa performance à l’examen et, en particulier, des erreurs qu’elle contient. Des erreurs dans la réponse ne signifient donc pas que les données à caractère personnel matérialisées dans la copie sont inexactes.
36. Une rectification serait cependant envisageable s’il devait s’avérer que la copie n’établit pas de manière exacte ou complète la performance de la personne concernée lors de l’épreuve. Un tel cas de figure pourrait se produire lorsque – comme le mentionne la République hellénique – la copie d’un autre candidat est attribuée à la personne concernée, ce qui pourrait notamment être prouvé à l’aide de l’écriture manuscrite, ou lorsqu’une partie de la copie a été égarée.
37. Il n’est d’ailleurs pas à exclure qu’un candidat ait ultérieurement un intérêt légitime à ce que les données à caractère personnel qui sont matérialisées dans la copie soient effacées au titre de l’article 12, sous b), de la directive sur la protection des données, c’est-à-dire que la copie soit détruite. Un tel intérêt devrait au plus tard lui être reconnu lorsque, du fait de l’écoulement de certains délais, la copie a perdu toute valeur probante en ce qui concerne le contrôle des résultats de l’examen. Ce droit à l’effacement suppose également que la copie soit considérée comme matérialisant des données à caractère personnel.
38. Enfin, la rectification et les autres droits visés à l’article 12, sous b), de la directive sur la protection des données, à savoir le verrouillage et l’effacement, ne sont pas les seules finalités du droit d’accès.
39. Certes, le considérant 41 décrit la finalité du droit d’accès comme consistant à permettre à la personne concernée de s’assurer notamment de l’exactitude des données et de la licéité de leur traitement. En utilisant le terme « notamment » dans la plupart des versions linguistiques (10), le législateur a cependant indiqué que ce n’était pas là la seule finalité. En effet, indépendamment de toute rectification, de tout effacement ou verrouillage, les personnes concernées ont généralement un intérêt légitime à savoir quelles informations les concernant sont traitées par le responsable.
40. Il est exact que, dans le cas d’une copie d’examen, le besoin d’informations du candidat sur ce point devrait, dans un premier temps, être très réduit. En effet, il se rappellera en général relativement bien du contenu de ses réponses et tiendra pour établi que l’entité organisatrice aura conservé sa copie.
41. Cependant, quelques années plus tard, il est à supposer que ses souvenirs seront déjà beaucoup moins précis, si bien qu’une éventuelle demande d’accès correspondra à un véritable besoin d’informations – quelles qu’en soient les raisons. En outre, plus le temps passe – en particulier après l’expiration d’éventuels délais de recours et de contrôle –, moins il est certain que la copie soit toujours conservée. Dans une telle situation, le candidat doit tout au moins avoir la possibilité de savoir si sa copie a été conservée. Ce droit présuppose lui aussi qu’il soit admis que la copie matérialise des données à caractère personnel du candidat.
c) Sur l’utilisation abusive du droit d’accès
42. Il y a lieu d’aborder en outre la question de l’utilisation abusive des droits conférés par la législation sur la protection des données, eu égard au fait que la plainte de M. Nowak a été qualifiée d’abusive, au plan national, par la commissaire à la protection des données et que sa demande d’accès a été qualifiée d’abusive, en l’espèce, par la République tchèque. Ce reproche semble être lié au fait que M. Nowak n’a pas utilisé la procédure de contrôle du résultat de l’examen, mais a exercé un droit d’accès au titre de la législation sur la protection des données.
43. À cet égard, il est exact que les justiciables ne sauraient abusivement ou frauduleusement se prévaloir des normes du droit de l’Union (11).
44. La constatation de l’existence d’une pratique abusive requiert la réunion d’un élément objectif et d’un élément subjectif. D’une part, s’agissant de l’élément objectif, cette constatation nécessite qu’il résulte d’un ensemble de circonstances objectives que, malgré un respect formel des conditions prévues par la réglementation de l’Union, l’objectif poursuivi par cette réglementation n’a pas été atteint. D’autre part, une telle constatation requiert un élément subjectif, à savoir qu’il doit résulter d’un ensemble d’éléments objectifs que le but essentiel des opérations en cause est l’obtention d’un avantage indu. En effet, l’interdiction des pratiques abusives n’est pas pertinente lorsque les opérations en cause sont susceptibles d’avoir une justification autre que la simple obtention d’un avantage (indu) (12).
45. Dans l’hypothèse où des copies d’examen matérialisent des données à caractère personnel, l’objectif de la directive sur la protection des données ne serait pas atteint, selon l’argumentation de la commissaire à la protection des données et de l’Irlande, si un droit d’accès au titre de la législation sur la protection des données permettait de contourner les règles relatives à la procédure d’examen et à l’opposition aux décisions relatives à l’examen.
46. Toutefois, c’est en utilisant les instruments fournis par la directive sur la protection des données qu’il faudrait parer au contournement allégué de la procédure d’examen et de l’opposition aux décisions relatives à l’examen, résultant de l’exercice du droit d’accès au titre de la législation sur la protection des données. L’un des instruments envisageables est l’article 13, qui permet de prévoir des exceptions au droit d’accès pour protéger certains intérêts énumérés dans cette disposition.
47. Dans la mesure où ces motifs n’autorisent pas d’exceptions dans certaines situations, telles que, peut-être, celles qui sont liées aux examens, force est de reconnaître que le législateur a fait primer les exigences de la législation relative à la protection des données, qui s’appuient sur des droits fondamentaux, sur les autres intérêts en cause dans un cas particulier.
48. Il y a lieu, cependant, d’indiquer que le règlement 2016/679 qui s’appliquera à l’avenir réduit la tension entre les intérêts en présence. D’une part, aux termes de l’article 15, paragraphe 4, de ce règlement, le droit d’obtenir une copie de données à caractère personnel ne porte pas atteinte aux droits et libertés d’autrui. D’autre part, l’article 23 du règlement 2016/679 définit les motifs d’une limitation des garanties de la législation relative à la protection des données en des termes un peu plus larges que ne le fait l’article 13 de la directive sur la protection des données, étant donné que, en vertu de l’article 23, paragraphe 1, sous e), du règlement 2016/679, d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre peuvent notamment justifier des limitations.
49. En revanche, la simple existence d’autres règles de droit interne qui portent également sur l’accès à des copies d’examen ne suffit pas pour conclure que l’objectif de la directive n’a pas été atteint.
50. Toutefois, même à supposer que l’objectif n’a pas été atteint, nous ne voyons pas en quoi consisterait l’avantage indu dont bénéficierait le candidat qui pourrait consulter sa copie en exerçant son droit d’accès. En particulier, le fait que le droit d’accès permet d’obtenir des informations qui n’auraient pas pu être obtenues par une autre voie ne saurait être considéré comme un abus. En effet, si l’accès aux informations à caractère personnel existait déjà, il n’aurait pas été nécessaire d’instaurer un droit d’accès au titre de la législation sur la protection des données. Ce droit d’accès a au contraire pour fonction de permettre à l’intéressé de consulter ses propres données – sous réserve des exceptions visées à l’article 13 de la directive sur la protection des données – lorsqu’il ne dispose pas d’un droit d’accès à un autre titre.
3. Conclusion intermédiaire
51. En résumé, une copie d’examen manuscrite qui peut être attribuée à un candidat constitue un ensemble de données à caractère personnel au sens de l’article 2, sous a), de la directive sur la protection des données.
B. Sur les éventuelles annotations du correcteur figurant sur la copie d’examen
52. Certaines parties, et en particulier M. Nowak, soulèvent la question de savoir si d’éventuelles annotations du correcteur figurant sur la copie d’examen constituent également des données à caractère personnel en ce qui concerne le candidat.
53. Il n’est cependant pas nécessaire de répondre à cette question pour statuer au principal, étant donné que le litige au principal ne porte pas sur la question de savoir si d’éventuelles annotations du correcteur constituent des informations relatives à M. Nowak. L’objet du litige est au contraire de savoir si c’est à juste titre que le commissaire irlandais à la protection des données alors en fonction a rejeté la plainte de M. Nowak au motif qu’il ne s’agissait pas, dans le cas de sa copie d’examen, de données à caractère personnel. Le point de savoir si des annotations du correcteur doivent également être considérées comme des données concernant le candidat devrait être tranché, non pas par la Supreme Court (Cour suprême), mais tout d’abord – s’il est fait droit au recours – par l’actuelle commissaire irlandaise à la protection des données. Nous évoquerons néanmoins cette question, pour le cas où la Cour aborderait quand même cet aspect.
54. Contrairement au cas de la copie d’examen dans son ensemble, il est difficile d’envisager un droit, au titre de la législation sur la protection des données, à la rectification, à l’effacement ou au verrouillage de données inexactes pour ce qui est des annotations du correcteur. En effet, il semble exclu que les annotations inscrites sur la copie se rapportent effectivement à une autre copie ou ne reflètent pas l’avis du correcteur. Or, c’est précisément cet avis qu’elles doivent établir. Par conséquent, elles ne seraient pas erronées et n’appelleraient pas de correction au sens de la directive sur la protection des données si l’évaluation établie par les annotations n’était pas objectivement justifiée.
55. D’éventuelles objections aux annotations devraient par conséquent être examinées dans le cadre d’une opposition à l’évaluation de la copie.
56. Il est toutefois envisageable que le droit à l’effacement évoqué ci-dessus en ce qui concerne la copie englobe également les annotations du correcteur.
57. Néanmoins, un droit d’accès relatif aux annotations du correcteur aurait principalement pour objectif d’informer le candidat sur l’évaluation de certains passages de sa copie.
58. À cet égard, la présente affaire ressemble à celle dans laquelle la Cour a refusé d’étendre le droit d’accès au projet d’une analyse juridique d’une demande d’asile parce que cela ne servirait pas les objectifs de la directive sur la protection des données, mais que cela instaurerait un droit d’accès aux documents administratifs (13). En l’espèce, il serait possible de considérer que l’accès aux informations relatives à l’évaluation d’une copie d’examen doit prioritairement être obtenu dans le cadre de la procédure d’examen ou d’une procédure spéciale d’opposition aux décisions relatives à l’examen et non au titre de la législation relative à la protection des données. Dans la mesure où la procédure d’examen n’est pas déterminée par le droit de l’Union, d’éventuels droits d’information dans ce cadre seraient alors exclusivement régis par le droit interne.
59. La Cour a jugé en outre dans l’arrêt précité qu’une telle analyse juridique constitue non pas une information concernant le demandeur du titre de séjour, mais tout au plus une information portant sur l’appréciation et l’application, par l’autorité compétente, du droit à la situation de ce demandeur (14). Cette constatation pourrait elle aussi, à première vue, être transposée aux annotations du correcteur. Sous cet angle, les annotations indiqueraient uniquement quelle est l’appréciation que le correcteur porte sur les réponses.
60. Effectivement, il n’est absolument pas nécessaire qu’un examinateur sache, lors de la correction d’une copie, de qui elle émane. Au contraire, dans de nombreuses procédures d’examen, telle que celle qui est considérée au principal, une grande importance est attachée au fait que les correcteurs ignorent l’identité des candidats pour éviter des conflits d’intérêts ou des partis pris. Dans ce cas – qui est vraisemblablement celui du présent examen –, leurs annotations n’ont a priori aucun rapport avec la personne du candidat.
61. De telles annotations servent néanmoins à évaluer la performance lors de l’épreuve et se rapportent ainsi indirectement au candidat. L’entité responsable de l’organisation de l’examen peut également l’identifier sans problème et le relier aux annotations du correcteur dès que la copie corrigée lui est rendue par le correcteur.
62. Comme la République d’Autriche l’expose par ailleurs, les annotations qui figurent sur la copie sont généralement – à la différence d’une analyse sommaire relative à la copie, par exemple – indissociables de la copie parce que, sans celle-ci, elles ne posséderaient pas de valeur informative ayant un sens. Toutefois, la copie elle-même matérialise – comme nous l’avons déjà démontré – des données à caractère personnel relatives au candidat. Et ces données sont précisément collectées et traitées afin de permettre l’évaluation des performances du candidat, évaluation qui est matérialisée dans les annotations du correcteur.
63. Ne serait-ce qu’en raison de ce lien étroit entre la copie d’examen et les annotations du correcteur qui sont apposées sur celle-ci, ces dernières sont également des données à caractère personnel relatives au candidat, au sens de l’article 2, sous a), de la directive sur la protection des données.
64. En revanche, la possibilité de contourner la procédure de réclamation prévue dans le cadre de l’examen ne saurait faire obstacle à l’application de la législation relative à la protection des données. En effet, le fait qu’il existe, le cas échéant, d’autres règles parallèles en ce qui concerne l’accès à certaines informations ne saurait évincer la législation relative à la protection des données. Il pourrait tout au plus être admis que les intéressés soient invités à utiliser les droits d’accès parallèles dès lors que ceux-ci peuvent être exercés utilement.
65. Par souci d’exhaustivité, nous précisons que les annotations du correcteur sont également des données à caractère personnel relatives au correcteur. En principe, les droits de celui-ci sont susceptibles de justifier des limitations du droit d’accès en application de l’article 13, paragraphe 1, sous g), de la directive sur la protection des données lorsqu’ils l’emportent sur les intérêts légitimes du candidat. La solution permettant de régler définitivement ce conflit d’intérêts potentiel devrait cependant consister, en règle générale, à détruire la copie corrigée dès lors qu’un contrôle a posteriori de la procédure d’examen n’est plus possible en raison du temps écoulé.
C. Sur les autres conditions d’application de la directive sur la protection des données
66. La Commission relève à juste titre que l’application de la directive sur la protection des données et du droit d’accès est subordonnée à des conditions autres que l’existence de données à caractère personnel et qu’elle autorise également des limitations du droit d’accès.
67. Toutefois, la Cour n’est pas interrogée sur ces autres conditions et sur les possibilités de limitation, si bien qu’elle n’est pas tenue d’aborder ces questions. Il ne semble pas non plus nécessaire de les examiner afin de permettre à la Supreme Court (Cour suprême) de statuer sur le point de savoir si le commissaire irlandais à la protection des données alors en fonction a refusé à juste titre de poursuivre l’instruction de la plainte de M. Nowak.
68. Si la Cour souhaitait néanmoins se prononcer sur ces questions, l’article 3, paragraphe 1, de la directive sur la protection des données serait particulièrement utile à première vue. Cet article prévoit que la directive s’applique uniquement au traitement de données à caractère personnel, automatisé en totalité ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
69. Il ne semble pas impératif que la copie d’examen de M. Nowak ait fait l’objet d’un traitement automatisé, par exemple en étant numérisée et enregistrée dans une unité électronique de traitement des données. Il y a néanmoins lieu de supposer qu’elle fait tout au moins partie d’un « fichier ». En effet, en vertu de l’article 2, sous c), de la directive sur la protection des données, un fichier ne doit pas nécessairement être enregistré dans une unité électronique de traitement des données. Cette notion recouvre au contraire tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés. Un ensemble physique de copies d’examen sur papier qui sont classées par ordre alphabétique ou selon d’autres critères satisfait déjà à ces conditions.
V. Conclusion
70. Nous proposons par conséquent à la Cour de statuer comme suit :
Une copie d’examen manuscrite qui peut être attribuée à un candidat et les éventuelles annotations des examinateurs qu’elle comporte constituent des données à caractère personnel au sens de l’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dans sa rédaction résultant du règlement (CE) no 1882/2003 du Parlement et du Conseil, du 29 septembre 2003, portant adaptation à la décision 1999/468/CE du Conseil des dispositions relatives aux comités assistant la Commission européenne dans l’exercice de ses compétences d’exécution prévues dans des actes soumis à la procédure visée à l’article 251 du traité CE.