Arrêt de la CJUE OC v Commission euro­péenne Case C‑479/​22 P

Une cher­cheuse univer­si­taire grecque obtient via son univer­sité une subven­tion d’un orga­nisme euro­péen pour la réali­sa­tion d’un projet de recherche. À la fin du projet, l’uni­ver­sité en ques­tion (dont le direc­teur est le père de la cher­cheuse), réclame le paie­ment de la subven­tion, soit plus d’un million d’eu­ros. Après un audit finan­cier, l’Office euro­péen de lutte anti­fraude (OLAF) inter­vient et arrive à la conclu­sion qu’une fraude a été commise par la cher­cheuse, son père et d’autres membres du person­nel de l’université.

Dans la foulée, l’OLAF publie sur son site web un commu­ni­qué de presse. Celui-ci ne contient pas le nom des inté­res­sés, mais mentionne notam­ment : « une scien­ti­fique grecque », « une subven­tion d’un montant d’environ 1,1 million d’euros accor­dée par l’[ERCEA] à une univer­sité grecque » ou encore le « finan­ce­ment d’un projet de recherche mené sous la respon­sa­bi­lité d’une jeune scien­ti­fique promet­teuse, dont le père travaillait dans l’université en ques­tion ».

La cher­cheuse ouvre une action auprès du Tribunal de l’UE (TUE) et réclame un montant de EUR 1,1 million. Elle estime que la commu­ni­ca­tion de sa natio­na­lité, de son genre, de son âge, du fait que son père travaillait dans l’université d’accueil du projet et du montant approxi­ma­tif de la subven­tion allouée au projet consti­tue une diffu­sion de « données à carac­tère person­nel » qui a permis au public de l’identifier. D’ailleurs, un jour­na­liste alle­mand a effec­ti­ve­ment réussi à l’iden­ti­fier sur la base des infor­ma­tions disponibles.

Par arrêt du 4 mai 2022 (arrêt ECLI:EU:T:2022:273), le TUE a jugé que le commu­ni­qué de presse ne contient pas de données à carac­tère person­nel et déboute donc la cher­cheuse. Selon le TUE les infor­ma­tions diffu­sées « ne permettent raison­na­ble­ment pas d’identifier la requé­rante sur la base d’une simple lecture objec­tive de ce commu­ni­qué et ne permettent pas non plus, à l’aide de moyens “raison­na­ble­ment suscep­tibles d’être utili­sés” par un de ses lecteurs, au sens du consi­dé­rant 16 de ce règle­ment [=consi­dé­rant 26 du RGPD], de l’identifier par un recou­pe­ment des iden­ti­fiants sur le site Internet de l’ERCEA » (arrêt ECLI:EU:T:2022:273, consid. 68). Pour le Tribunal, le fait qu’un jour­na­liste d’in­ves­ti­ga­tion spécia­lisé et une jour­na­liste locale aient réussi à iden­ti­fier la cher­cheuse ne change rien à l’ana­lyse, au motif notam­ment qu’il ne s’agit pas de « lecteurs moyens » et que ces derniers « n’ont pas été en mesure d’identifier la requé­rante à partir des seuls iden­ti­fiants présents dans le commu­ni­qué de presse no 13/​2020 et que, en tout état de cause, il leur a été néces­saire, d’une manière ou d’une autre, d’utiliser des éléments d’identification externes et complé­men­taires audit commu­ni­qué » (même arrêt, consid. 87).

La cher­cheuse recourt contre cette déci­sion auprès de la Cour de justice de l’UE.

Cadre légal

Puisque l’af­faire concerne un trai­te­ment de données à carac­tère person­nel (allé­gué) par un organe de l’UE, c’est le règle­ment (UE) 2018/​1725 qui s’ap­plique et non le RGPD. La CJUE confirme toute­fois que les dispo­si­tions topiques des deux règle­ments sont iden­tiques et doivent donc être inter­pré­tées de la même manière (arrêt présenté, consid. 43). Les déter­mi­na­tions de cet arrêt peuvent donc être trans­po­sées au RGPD.

Identifiabilité

La CJUE rappelle tout d’abord que le concept de données à carac­tère person­nel doit être inter­prété de manière large. Citant l’ar­rêt Breyer (C‑582/​14, EU:C:2016:779, point 46), la CJUE rappelle égale­ment que le fait que des infor­ma­tions supplé­men­taires sont néces­saires pour iden­ti­fier la personne concer­née n’est pas de nature à exclure que les données en cause doivent être quali­fiées de données à carac­tère person­nel, pour autant que la possi­bi­lité de combi­ner les données en cause avec des infor­ma­tions supplé­men­taires consti­tue « un moyen suscep­tible d’être raison­na­ble­ment mis en œuvre » (arrêt présenté, consid. 49–50). Par contre, le fait qu’un jour­na­liste ait réussi à iden­ti­fier la personne concer­née n’est pas en soi suffi­sant pour rete­nir que le commu­ni­qué de presse contient des données person­nelles. Il faut dans tous les cas faire l’ana­lyse de l’iden­ti­fia­bi­lité à l’aune des prin­cipes juris­pru­den­tiels déve­lop­pés par la CJUE. En d’autres termes, le critère de l’iden­ti­fia­bi­lité s’ana­lyse de manière abstraite, sur la base des critères établis par la juris­pru­dence, et non pas concrète (sur la base de ce que certains ont réussi à faire).

En l’oc­cur­rence, la CJUE retient que les données conte­nues dans le commu­ni­qué, prises ensemble, comportent des infor­ma­tions de nature à permettre l’identification de la personne visée par ce commu­ni­qué de presse (arrêt présenté, consid. 60). La Cour insiste ensuite sur le contexte spéci­fique de la commu­ni­ca­tion, soit la publi­ca­tion sur inter­net d’un cas de fraude pouvant inté­res­ser les jour­na­listes, pour rete­nir que l’effort pour obte­nir les infor­ma­tions supplé­men­taires néces­saires à l’iden­ti­fi­ca­tion n’était « aucu­ne­ment déme­suré » (arrêt présenté, consid. 63). Dans ces circons­tances, l’OLAF devait comp­ter sur le fait que des lecteurs puissent cher­cher à iden­ti­fier les personnes concer­nées sur la base d’in­for­ma­tions supplé­men­taires. Ainsi, contrai­re­ment à ce qui avait été retenu par le TUE, la CJUE juge que les données conte­nues dans le commu­ni­qué de presse doivent donc être quali­fiées de données à carac­tère personnel.

Analyse

Alors, données à carac­tère person­nel ou non ? Une fois encore, la réponse à cette ques­tion dépend à notre avis du contexte dans lequel les données sont traitées.

Tout d’abord, du point de vue de l’au­teur du commu­ni­qué de presse (l’OLAF), les données sont toujours des données à carac­tère person­nel. C’est logique, puis­qu’il connait le nom et l’iden­tité des protagonistes.

Pour déter­mi­ner si des données à carac­tère person­nel sont commu­ni­quées à des tiers, il faut toute­fois analy­ser le point de vue des desti­na­taires éven­tuels. Il est donc néces­saire de déter­mi­ner si, dans l’en­vi­ron­ne­ment dans lequel les données sont échan­gées (data envi­ron­ment), une iden­ti­fi­ca­tion est possible sur la base de la volonté et des moyens raison­na­ble­ment suscep­tibles d’être mis en œuvre par les desti­na­taires concer­nés (selon le point de vue de ces derniers). Ce point nous semble confir­mer la solu­tion à laquelle le TUE est arrivé dans l’af­faire CRU/​CEOD (T‑557/​20 du 26 avril 2023 (CRU /​ CEPD), commenté in swiss​pri​vacy​.law/​2​32/)

La CJUE rejette l’ar­gu­ment du TUE selon lequel l’ana­lyse de l’iden­ti­fia­bi­lité doit être limi­tée aux « lecteurs moyens » des commu­ni­qués de presse. La CJUE ne précise toute­fois pas expli­ci­te­ment quel cercle de desti­na­taires il faut prendre en compte, ce qui aurait pour­tant consti­tué un point inté­res­sant. Nous rele­vons toute­fois qu’elle s’ap­puie au consi­dé­rant 63 sur le contexte spéci­fique de l’af­faire, soit la publi­ca­tion en libre accès sur Internet de données rela­tives à une situa­tion suscep­tible d’in­té­res­ser l’opi­nion publique. Nous gageons donc que la solu­tion aurait été diffé­rente si les données avaient été parta­gées dans un contexte plus limité, p. ex. dans un réseau privé. Selon notre inter­pré­ta­tion, il faut donc toujours dans un premier temps déter­mi­ner le cercle des acteurs concer­nés (l’en­vi­ron­ne­ment des données), avant d’ana­ly­ser le critère de l’identifiabilité.

Hasard du calen­drier (ou pas), la CJUE a rendu le même jour une autre déci­sion trai­tant du concept de données à carac­tère person­nel : dans l’af­faire IAB Europe (C‑604/​22, commenté in swiss​pri​vacy​.law/​3​03/), elle a jugé qu’une chaîne compo­sée d’une combi­nai­son de lettres et de carac­tères conte­nant les préfé­rences d’un utili­sa­teur d’Internet (« TC String ») devait être quali­fiée de donnée à carac­tère person­nel. La CJUE a retenu qu’il était indif­fé­rent que l’IAB Europe ne dispo­sait pas direc­te­ment de l’en­semble des infor­ma­tions néces­saires pour iden­ti­fier les indi­vi­dus, puisque les autres membres du frame­work disposent de ces infor­ma­tions (p. ex. l’adresse IP) et peuvent être amenés à les commu­ni­quer à l’IAB Europe. Ainsi, le TC string consti­tue une donnée à carac­tère person­nel dans la mesure où il peut être asso­cié par des moyens raison­nables à un iden­ti­fiant, même si cela néces­site l’as­sis­tance d’un tiers.

Les arrêts de la CJUE analy­sés ci-dessus nous paraissent compa­tibles avec la juris­pru­dence suisse, notam­ment l’ar­rêt Logistep. Dans cet arrêt, le Tribunal fédé­ral a jugé que le critère de l’iden­ti­fia­bi­lité doit s’ana­ly­ser du point de vue de chaque déten­teur de l’in­for­ma­tion ; toute­fois, en cas de commu­ni­ca­tion à des tiers, il est suffi­sant que le réci­pien­daire puisse iden­ti­fier la personne concer­née, même s’il doit pour cela effec­tuer des démarches supplé­men­taires (ATF 136 II 508, c. 3.4). Ces consi­dé­ra­tions doivent être vali­dées, malgré les critiques émises à l’époque par une partie de la doctrine. Elles nous semblent s’ali­gner sur les consi­dé­ra­tions de la CJUE dans les arrêts présen­tés ci-avant, et conformes à l’ap­proche « nuan­cée » de l’iden­ti­fia­bi­lité qu’il convient à notre avis de suivre (sur ce sujet, cf. Alexandre Jotterand, Personal Data or Anonymous Data : where to draw the lines (and why)?, in : Jusletter 15 August 2022).