Divulgation de données recueillies lors d'une enquête : l'Agence Europol et l'État membre partenaire sont solidairement responsables
14.04.2024
Gestion d'entreprise
Dans une décision du 5 mars 2024, la CJUE annule un arrêt du Tribunal de l'UE rejetant la demande d'un citoyen slovaque tendant à l'obtention d'une réparation pour des préjudices qu'il a subi du fait de la divulgation par Europol de données à caractère personnel. Dans cette chronique, Jessica Eynard revient sur la portée de la décision.
Dans cette affaire, Europol avait accepté de collaborer avec les autorités slovaques dans le cadre d’une enquête et avait procédé à l’extraction de données stockées sur deux téléphones portables et un support de stockage USB ayant appartenu au requérant. Des informations intimes contenues dans ces téléphones ont par la suite été reprises dans la presse slovaque. Le requérant, estimant que la divulgation des données portait atteinte à son honneur et à sa réputation professionnelle, au droit au respect de sa vie privée et familiale ainsi qu’au droit au respect de ses communications, a agi en justice. Après un rejet de sa demande par le Tribunal de l’Union européenne, il s’est tourné vers la CJUE. Il faisait valoir deux préjudices moraux en particulier : d’une part, celui qu’il aurait subi du fait de la divulgation au public de données provenant des téléphones portables et, d’autre part, celui qu’il aurait subi du fait de l’inscription par Europol sur la liste des mafieux. Seule la solution retenue pour le premier préjudice sera évoquée dans ces lignes. C’est sur ce point que le raisonnement de la Cour est notable. Elle devait s’interroger sur la nature et les conditions d’application du régime de responsabilité instauré par l’article 50, § 1 du règlement du 11 mai 2016, relatif à Europol.
L’article 50, § 1, dispose que « toute personne physique ayant subi un dommage du fait d’une opération de traitement de données illicite a le droit d’obtenir réparation du préjudice subi, soit d’Europol conformément à l’article 340 [TFUE], soit de l’État membre où le fait dommageable s’est produit, conformément à son droit national ». Ce texte doit être lu à la lumière du considérant 57 qui, sans avoir valeur contraignante, « possède une valeur interprétative importante » (point 59). Aux termes de ce considérant, « [i]l peut être malaisé pour la personne physique concernée de déterminer si le dommage subi du fait d’un traitement illicite de données est la conséquence de l’action d’Europol ou d’un État membre [et il] convient, par conséquent, qu’Europol et l’État membre dans lequel le fait dommageable s’est produit soient solidairement responsables ». La Cour en déduit logiquement que le régime instauré à l’article 50, § 1 du règlement 2016/794 est « un régime de responsabilité solidaire d’Europol et de l’État membre dans lequel s’est produit le dommage né d’un traitement de données illicite survenu dans le cadre d’une coopération entre eux » (point 71). Une fois la personne indemnisée, il revient au conseil d’administration d’Europol de déterminer dans un second temps « la “responsabilité ultime” incombant à l’entité à laquelle le comportement illégal à l’origine du préjudice est imputable, voire la part de responsabilité incombant à chacune des entités en cas de concours de comportements illégaux » (point 70).
La Cour commence par indiquer que la personne souhaitant obtenir réparation au titre de l’article 50, § 1 du règlement 2016/794, doit apporter une triple preuve : celle de l’existence d’un traitement de données illicite, celle d’un dommage et celle d’un lien de causalité entre les deux. Elle précise ensuite ces points et tranche le litige au fond.
Concernant l’existence d’un traitement illicite, elle implique la preuve d’une violation caractérisée d’une règle de l’Union européenne. En l’espèce, la CJUE observe que des conversations intimes entre le requérant et son amie ont été extraites des téléphones portables analysés et ont fait l’objet d’une divulgation à des personnes non autorisées à en prendre connaissance, avant d’être publiées dans la presse slovaque. Elle en déduit une violation, qu’elle qualifie de caractérisée eu égard notamment au fait que le traitement des données réalisé par Europol et l’État membre impliqué est fait « en dehors de toute intervention des personnes concernées, le plus souvent à leur insu » (point 129) et, dans le cas de l’affaire en cause, sur la base de données intimes ne présentant « aucun lien avec les faits pour lesquels le requérant était poursuivi pénalement » (point 130). Europol était donc tenue d’assurer une protection renforcée desdites données. Sa responsabilité est engagée, peu important qu’elle ait ou non disposé de ces données sous une forme décryptée et intelligible (point 132).
Concernant le dommage, il est ici moral. Le caractère intime des données publiées dans la presse à la suite de leur divulgation suffit pour considérer que le traitement de données illicite a violé le droit du requérant au respect de sa vie privée et familiale ainsi que de ses communications, et a porté atteinte à son honneur et à sa réputation (point 136).
Le véritable débat s’est ici focalisé sur la nécessité ou non pour le requérant d’identifier à qui le dommage était imputable. De façon pertinente au regard de l’esprit et de la lettre du texte, la CJUE décide qu’il ne saurait être exigé de la personne qui subit un préjudice « qu’elle établisse à qui, d’Europol ou de l’État membre concerné, ce dommage est imputable ou qu’elle assigne en justice ces deux entités aux fins d’obtenir la réparation intégrale de son dommage » (point 76). Le requérant n’est ainsi pas tenu « d’identifier laquelle des entités impliquées dans cette coopération a adopté le comportement constitutif [du] traitement illicite » (point 81). L’application du régime de solidarité conduit logiquement la CJUE à condamner Europol à indemniser le requérant, à hauteur de 2 000 €.