Plainte déposée devant un tribunal

Conformément à la directive relative à la protection des données, toute personne ayant adressé une demande à un responsable du traitement en vertu du droit en matière de protection des données et qui n’est pas satisfaite de la réponse du res-ponsable du traitement doit être habilitée à former une réclamation devant une juri-diction nationale²⁰⁷.

Le caractère obligatoire ou non de la prise de contact préalable avec une autorité de contrôle, avant de saisir un tribunal, est laissé au législateur national. Dans la plu-part des cas, toutefois, il sera avantageux pour les personnes exerçant leur droit à la

206 Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, JO 2001 L 8.

207 Directive relative à la protection des données, art. 22.

protection des données de contacter d’abord l’autorité de contrôle, dans la mesure où le traitement de demandes d’assistance ne devrait pas être bureaucratique et devrait être gratuit. L’expertise documentée dans la décision de l’autorité de contrôle (avis, avertissement, etc.) peut aussi aider la personne concernée à faire valoir ses droits devant les tribunaux.

Dans le droit du CdE, des violations du droit à la protection des données, préten-dument intervenues au niveau national d’un État contractant à la CEDH et consti-tuant en même temps une violation de l’article 8 de la CEDH, peuvent également être invoquées devant la CouEDH après l’épuisement de toutes les voies de recours nationales disponibles. Invoquer une violation de l’article 8 de la CEDH devant la CouEDH doit également satisfaire à d’autres critères de recevabilité (articles 34 à 37 de la CEDH)²⁰⁸.

Bien que les demandes à la CouEDH puissent être directement dirigées contre des États contractants, elles peuvent aussi porter indirectement sur des actions ou omis-sions de particuliers, pour autant qu’un État contractant n’ait pas honoré ses obli-gations positives en vertu de la CEDH et n’ait pas apporté de protection suffisante contre des violations du droit à la protection des données dans le droit national.

Exemple : dans l’affaire K.U. c. Finlande²⁰⁹, le requérant, un mineur, s’est plaint qu’une publicité à connotation sexuelle avait été postée à son sujet sur un site de rencontres en ligne. L’identité de la personne ayant posté l’information n’avait pas été révélée par le fournisseur de services en raison des obligations de confidentialité imposées par le droit finlandais. Le requérant affirmait que le droit finlandais ne prévoyait pas de protection suffisante contre de telles actions d’un particulier plaçant des informations compromettantes sur autrui (le requé-rant) sur Internet. La CouEDH a retenu que les États sont non seulement tenus de s’abstenir de toute ingérence arbitraire dans la vie privée des individus, mais qu’ils peuvent également être soumis à des obligations positives impliquant

« l’adoption de mesures visant au respect de la vie privée jusque dans les rela-tions des individus entre eux ». Dans le cas du requérant, sa protection pratique et effective nécessitait que des mesures effectives soient prises pour identi-fier et poursuivre l’auteur. Or, l’État ne proposait pas une telle protection et la CouEDH a conclu à une violation de l’article 8 de la CEDH.

208 CEDH, art. 34 à 37, disponibles à l’adresse : www.echr.coe.int/Pages/home.aspx?p=caselaw/

analysis&c=#n1347458601286_pointer. 209 CouEDH, K.U. c. Finlande, n °2872/02, 2 mars 2009.

Exemple : dans l’affaire Köpke c. Allemagne²¹⁰, la requérante était soupçonnée de vol sur son lieu de travail et avait donc fait l’objet d’une surveillance vidéo secrète. La CouEDH a conclu que rien n’indiquait que les autorités nationales aient omis de trouver un juste équilibre, dans la limite de leur marge d’appré-ciation, entre le droit de la requérante au respect de sa vie privée en vertu de l’article 8, et l’intérêt de son employeur à la protection des droits à la propriété, d’une part, et l’intérêt du grand public à la bonne administration de la justice, d’autre part. Le recours a donc été déclaré irrecevable.

Si la CouEDH retient qu’un État contractant a violé l’un quelconque des droits proté-gés par la CEDH, l’État contractant est tenu d’exécuter la décision de la CouEDH. Les mesures d’exécution doivent d’abord mettre fin à la violation et remédier, autant que possible, à ses conséquences négatives pour le requérant. L’exécution de déci-sions peut aussi nécessiter des mesures d’ordre général empêchant des violations similaires à celles constatées par la Cour, que ce soit par la voie d’amendements législatifs, de la jurisprudence ou d’autres mesures.

Lorsque la CouEDH constate une violation de la CEDH, l’article 41 de la CEDH dis-pose qu’elle peut accorder une satisfaction juste au requérant aux dépens de l’État contractant.

Dans le droit de l’UE²¹¹, les victimes d’infractions au droit national en matière de pro-tection des données, qui transpose le droit européen en la matière, peuvent parfois saisir la CJUE de leur affaire. Il existe deux scénarios possibles sur la façon dont la réclamation d’une personne concernée tirée d’une infraction à son droit à la protec-tion des données peut aboutir à une procédure devant la CJUE.

Dans le premier scénario, la personne concernée doit être la victime directe d’un acte administratif ou réglementaire de l’UE qui enfreint son droit à la protection des données. Selon l’article 263, paragraphe 4, du TFUE :

« Toute personne physique ou morale peut former (...) un recours contre les actes dont elle est le destinataire ou qui la concernent directement et individuellement, ainsi que contre les actes réglementaires qui la concernent directement et qui ne comportent pas de mesures d’exécution. »

210 CouEDH, Köpke c. Allemagne (déc.), n° 420/07, 5 octobre 2010.

211 UE (2007), Traité de Lisbonne modifiant le traité sur l’Union européenne et le traité instituant la Communauté européenne, signé à Lisbonne, 13 décembre 2007, JO 2007 C 306. Voir également les versions consolidées du Traité sur l’Union européenne, JO 2012 C 326, et du TFUE, JO 2012 C 326.

Par conséquent, les victimes du traitement illicite de leurs données par un organe communautaire peuvent saisir directement le Tribunal de la CJUE, organe compétent pour statuer sur des affaires relevant du règlement relatif à la protection des don-nées des institutions communautaires. Une personne peut également saisir direc-tement la CJUE si sa situation juridique est direcdirec-tement affectée par une disposition légale communautaire.

Le second scénario concerne la compétence de la CJUE (Cour de justice) pour rendre des décisions préjudicielles conformément à l’article 267 du TFUE.

Les personnes concernées peuvent, dans le cadre de procédures nationales, deman-der à la juridiction nationale d’interroger la Cour de justice sur l’interprétation des traités de l’UE et sur l’interprétation et la validité d’actes des institutions, organes, offices ou agences communautaires. Les explications apportées sont appelées des

« décisions préjudicielles ». Il ne s’agit pas d’une voie de recours directe pour le plai-gnant, mais cela permet aux juridictions nationales de garantir qu’elles interprètent correctement le droit européen.

Si une partie à la procédure devant les juridictions nationales demande le renvoi d’une question devant la CJUE, seules les juridictions nationales agissant en dernier recours, dont les décisions sont finales, sont tenues de s’y conformer.

Exemple : dans l’affaire Kärntner Landesregierung et autres²¹², la Cour consti-tutionnelle autrichienne a soumis des questions à la CJUE concernant la validité des articles 3 à 9 de la Directive 2006/24/CE (directive relative à la conservation des données, invalidée le 8 avril 2014) au regard des articles 7, 9 et 11 de la Charte, ainsi que la question de savoir si certaines dispositions de la loi fédérale autrichienne sur les télécommunications, transposant la directive relative à la conservation des données, étaient ou non compatibles avec certains aspects de la directive relative à la protection des données et du règlement relatif à la protection des données.

M. Seitlinger, l’un des requérants devant la Cour constitutionnelle, a indiqué uti-liser le téléphone, l’iInternet et le courriel pour un usage à la fois professionnel et personnel. Par conséquent, les informations qu’il envoyait et recevait pas-saient sur les réseaux de télécommunications publics. La loi autrichienne sur

212 CJEU, affaires jointes C 293/12 et C 594/12, Digital Rights Ireland et Seitlinger et autres, 8 avril 2014.

les télécommunications de 2003 imposait à son fournisseur de service de col-lecter et d’enregistrer des données sur son utilisation du réseau. M. Seitlinger avait réalisé que cette collecte et cette sauvegarde de ses données à caractère personnel n’étaient absolument pas nécessaires aux fins techniques de trans-mettre les informations d’un point A à un point B sur le réseau. En outre, la col-lecte et la sauvegarde de ces données n’étaient absolument pas nécessaires à des fins de facturation. M. Seitlinger n’avait certainement pas consenti à une telle utilisation de ses données à caractère personnel. La seule raison pour la collecte et la sauvegarde de toutes ces données supplémentaires était la loi autrichienne sur les télécommunications de 2003.

M. Seitlinger a donc engagé une action devant la Cour constitutionnelle autri-chienne, soutenant que les obligations réglementaires imposées à son fournis-seur de services étaient contraires aux droits fondamentaux que lui conférait l’article 8 de la Charte.

La CJUE statue uniquement sur les éléments constitutifs de la demande de décision préjudicielle qui lui est adressée. La juridiction nationale reste compétente pour sta-tuer sur l’affaire initiale.

En principe, la Cour de justice doit répondre aux questions qui lui sont posées. Elle ne peut pas refuser de rendre une décision préjudicielle au motif que cette réponse ne serait ni pertinente, ni opportune par rapport à l’affaire initiale. Elle peut toutefois refuser si la question ne relève pas de son domaine de compétence.

Enfin, si un droit à la protection des données garanti par l’article 16 du TFUE, est violé par une institution ou un organe communautaire dans le cadre du traitement de données à caractère personnel, la personne concernée peut soumettre l’affaire au Tribunal de la CJUE (article 32, paragraphes 1 et 4, du règlement relatif à la protection des données des institutions communautaires). Il en va de même pour les décisions du CEPD concernant de telles infractions (article 32, paragraphe 3, du règlement relatif à la protection des données des institutions communautaires).

Tandis que le Tribunal de la CJUE est compétent pour statuer sur les questions concernant le règlement relatif à la protection des données des institutions commu-nautaires, si une personne, agissant en qualité de membre du personnel d’une insti-tution ou d’un organe communautaire, cherche à obtenir réparation, cette personne doit cependant s’adresser au tribunal de la fonction publique de l’UE.

Exemple : l’affaire Commission européenne c. The Bavarian Lager Co. Ltd²¹³ illustre les voies de recours existantes contre des activités ou décisions d’institu-tions ou organes communautaires en matière de protection des données.

Bavarian Lager a demandé à la Commission européenne l’accès au procès-ver-bal complet d’une réunion organisée par la Commission, qui aurait été consa-crée à des questions juridiques pertinentes pour la société. La Commission a refusé la demande d’accès de la société au motif d’intérêts prépondérants l’emportant sur la protection des données²¹⁴. Bavarian Lager a formé un recours contre cette décision devant la CJUE, en application de l’article 32 du règlement relatif à la protection des données des institutions communautaires ; plus pré-cisément, le recours a été formé devant le tribunal de première instance (pré-décesseur du Tribunal). Dans sa décision dans l’affaire T-194/04, Bavarian Lager c. Commission, le tribunal de première instance a annulé la décision de la Com-mission rejetant la demande d’accès. La ComCom-mission européenne a fait appel de cette décision devant la Cour de justice de la CJUE. La Cour de justice (en grande chambre) a annulé l’arrêt du tribunal de première instance et confirmé le rejet de la demande d’accès de la Commission européenne.