CJUE – Lindqvist – C-101/01

Décision

Autorité:

Cour de Justice de l'UE

Numéro:

C-101/01

Nom:

Lindqvist

Date:

6 novembre 2003

Pays:

Suède

Lien:

Cliquer ici

Contexte

Mme Lindqvist exerçait la fonction de formatrice de communicants dans la paroisse d'Alseda (Suède). Elle a suivi un cours d'informatique dans le cadre duquel elle devait notamment créer une page d'accueil sur Internet. À la fin de l'année 1998, Mme Lindqvist a créé, à son domicile et avec son ordinateur personnel, des pages Internet dans le but de permettre aux paroissiens préparant leur confirmation d'obtenir facilement les informations dont ils pouvaient avoir besoin.

À sa demande, l'administrateur du site Internet de l'Église de Suède a établi un lien entre ces pages et ledit site. Les pages visées contenaient des informations sur Mme Lindqvist et 18 de ses collègues de la paroisse, y compris leur nom complet ou parfois seulement leur prénom. Mme Lindqvist a en outre décrit les fonctions occupées par ses collègues et leurs loisirs en termes légèrement humoristiques. Dans plusieurs cas, leur situation familiale, leur numéro de téléphone et d'autres informations ont été mentionnés. Par ailleurs, elle a indiqué qu'une de ses collègues s'était blessée au pied et qu'elle était en congé de maladie partiel.

Mme Lindqvist n'avait ni informé ses collègues de l'existence de ces pages, ni recueilli leur consentement, ni déclaré sa démarche à la Datainspektion (organisme public pour la protection des données transmises par voie informatique). Elle a supprimé les pages visées dès qu'elle a appris que celles-ci n'étaient pas appréciées par certains de ses collègues. Le ministère public a engagé des poursuites à l'encontre de Mme Lindqvist pour infraction à la loi et a conclu à sa condamnation. Mme Lindqvist a reconnu les faits, mais a nié avoir commis une infraction. Condamnée par l'Eksjö tingsrätt (Suède) au paiement d'une amende, Mme Lindqvist a interjeté appel de cette décision devant la juridiction de renvoi.

Apport(s)
Traitement de données à caractère personnel - Référence, sur une page Internet, à diverses personnes identifiées par leur nom ou d’autres moyens - Inclusion Extrait(s) pertinent(s)27. Il convient donc de répondre à la première question que l'opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d'autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l'article 3, paragraphe 1, de la directive 95/46. Article(s) du RGPD Article 4 – Définitions Fait référence à Autres informations
Exception au champ d'application du droit de l'Union - Traitement de données ayant pour objet la sécurité publique, la défense, la sûreté de l’État et les activités de l’État relatives à des domaines du droit pénal - Interprétation stricte Extrait(s) pertinent(s)43. Les activités mentionnées à titre d'exemples à l'article 3, paragraphe 2, premier tiret, de la directive 95/46 (à savoir les activités prévues aux titres V et VI du traité sur l'Union européenne ainsi que les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités relatives à des domaines du droit pénal) sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques et étrangères aux domaines d'activité des particuliers. 44. Il y a donc lieu de considérer que les activités mentionnées en tant qu'exemples à l'article 3, paragraphe 2, premier tiret, de la directive 95/46 sont destinées à définir la portée de l'exception y prévue, de sorte que cette exception ne s'applique qu'aux activités qui y sont ainsi expressément mentionnées ou qui peuvent être rangées dans la même catégorie (ejusdem generis). Article(s) du RGPD Article 2 – Champ d’application matériel Fait référence à > CJUE – Österreichischer Rundfunk e.a. – C-465/00, C-138/01 et C-139/01 Autres informations
Champ d'application du RGPD - Exception domestique - Interprétation stricte - Nombre de destinataires indéterminé - Exclusion Extrait(s) pertinent(s)46. S'agissant de l'exception prévue à l'article 3, paragraphe 2, second tiret, de la directive 95/46, le douzième considérant de celle-ci, relatif à cette exception, mentionne en tant qu'exemples de traitement de données effectué par une personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques la correspondance et la tenue de répertoires d'adresses. 47. Cette exception doit donc être interprétée comme visant uniquement les activités qui s'insèrent dans le cadre de la vie privée ou familiale des particuliers, ce qui n'est manifestement pas le cas du traitement de données à caractère personnel consistant dans leur publication sur Internet de sorte que ces données sont rendues accessibles à un nombre indéfini de personnes. Article(s) du RGPD Article 2 – Champ d’application matériel Fait référence à > CJUE – Österreichischer Rundfunk e.a. – C-465/00, C-138/01 et C-139/01 Autres informations
Donnée de santé - Indication du fait qu'une personne s'est blessée au pied et est en congé maladie - Inclusion Extrait(s) pertinent(s)51. Il convient donc de répondre à la quatrième question que l'indication du fait qu'une personne s'est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l'article 8, paragraphe 1, de la directive 95/46. Article(s) du RGPD Article 9 – Traitement portant sur des catégories particulières de données à caractère personnel Fait référence à Autres informations
Inscription sur une page internet de données à caractère personnel par une personne qui se trouve dans un État membre - Potentielle consultation par des tiers se trouvant dans des pays tiers - Transfert vers un pays tiers de données - Exclusion Extrait(s) pertinent(s)70. Dans ces conditions, il y a lieu de conclure que l'article 25 de la directive 95/46 doit être interprété en ce sens que des opérations telles que celles effectuées par Mme Lindqvist ne constituent pas en elles-mêmes un «transfert vers un pays tiers de données». Il n'est donc pas nécessaire de rechercher si une personne d'un pays tiers a eu accès à la page Internet concernée ou si le serveur de ce fournisseur est physiquement situé dans un pays tiers. 71. Il convient donc de répondre à la cinquième question qu'il n'existe pas de «transfert vers un pays tiers de données» au sens de l'article 25 de la directive 95/46 lorsqu'une personne qui se trouve dans un État membre inscrit sur une page Internet, stockée auprès de son fournisseur de services d'hébergement qui est établi dans ce même État ou un autre État membre, des données à caractère personnel, les rendant ainsi accessibles à toute personne qui se connecte à Internet, y compris des personnes se trouvant dans des pays tiers. Article(s) du RGPD Article 45 – Transferts fondés sur une décision d’adéquation Fait référence à Autres informations
Transposition de la directive 95/46 - Possibilité d'étendre la portée de la législation nationale transposant les dispositions de la directive 95/46 - Admission sous conditions Extrait(s) pertinent(s)Au vu de ces considérations, il convient de répondre à la septième question que les mesures prises par les États membres pour assurer la protection des données à caractère personnel doivent être conformes tant aux dispositions de la directive 95/46 qu'à son objectif consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée. En revanche, rien ne s'oppose à ce qu'un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d'application de cette dernière, pour autant qu'aucune autre disposition du droit communautaire n'y fasse obstacle. Article(s) du RGPD Fait référence à Autres informations