Dans un arrêt du 3 décembre 2015[1], le tribunal de l’Union Européenne (ci-après, « le Tribunal ») s’est prononcé sur l’engagement de la responsabilité non contractuelle du Parlement. En l’espèce, celui-ci avait diffusé en ligne de données à caractère personnel du requérant, transmises lors du dépôt de sa pétition. Le débat s’est ainsi focalisé sur la protection des données personnelles.

Le requérant avait présenté une pétition au Parlement Européen concernant le soutien accordé aux fonctionnaires européens malades au cours de leur carrière. La pétition avait été remise via un formulaire en ligne mis à disposition sur le site Internet du Parlement Européen.

Après avoir été déclarée recevable, la procédure d’examen de pétition a été close. Une communication a été diffusée par le Parlement sur son site, incluant le contenu de la pétition et de l’avis rendu par la Commission, qui faisait apparaître des données à caractère personnel du requérant (nom, détails sur son état de santé et le handicap de son fils).

A plusieurs reprises, le requérant a demandé le retrait de ces informations. Le Parlement a déclaré qu’il donnerait suite à sa demande, tout en précisant qu’il n’en avait pas l’obligation légale. L’effacement des données n’avait pourtant toujours pas été effectué au moment du dépôt de la requête devant le greffe du Tribunal le 21 novembre 2013.

La requête visait l’engagement de la responsabilité extracontractuelle du Parlement pour le préjudice moral subi, sur le fondement de l’article 340 alinéa 2 du Traité sur le Fonctionnement de l’Union Européenne. Le Tribunal a vérifié si les trois conditions cumulatives d’engagement de la responsabilité d’une institution européenne (qui sont les mêmes pour les Etats Membres) étaient réunies[2]. Celles-ci sont, d’après une jurisprudence constante, la violation caractérisée, c’est-à-dire manifeste et grave d’une règle conférant des droits aux particuliers, par une institution de l’Union européenne, outrepassant son pouvoir d’appréciation[3].

Le Tribunal a débouté le requérant de sa demande.

Sur l’illégalité du comportement du Parlement, le Tribunal a estimé que le premier critère d’engagement de la responsabilité extracontractuelle, qui suppose l’existence d’un comportement illicite d’une institution, n’était pas rempli. Le requérant n’est pas parvenu à démontrer l’existence d’une violation de la Convention relative aux droits des personnes handicapées[4], ni de la CEDH[5], par le Parlement européen. Il ne mettait d’ailleurs pas en cause la validité du règlement n°45/2001[6] relative à la protection des données à caractère personnel. Lors du dépôt de la pétition en ligne, le requérant est pleinement informé des conditions de publicité de la pétition par une rubrique d’aide à l’intention des pétitionnaires. Le Tribunal en a déduit que le requérant avait dès lors manifesté une « volonté libre, spécifique et informée » permettant le traitement de ses données personnelles par le Parlement et leur diffusion dans le cadre de l’examen d’une pétition par le Parlement.

En outre, s’agissant de la révélation du handicap de son fils, le requérant n’était pas fondé à exercer un recours sur la base de la violation des droits d’un tiers. Au demeurant, la Convention relative aux droits des personnes handicapées a été ratifiée par l’UE, mais il fallait encore démontrer que le texte conférait des droits aux particuliers.

Enfin, le Tribunal rappelle que l’effacement des données personnelles est un droit de la personne concernée seulement lorsque la diffusion de celles-ci était illicite, ce qui n’était pas le cas en l’espèce, contrairement au « droit à l’oubli » issu de l’affaire Google Spain de 2014[7]. Dès lors que le Parlement avait accepté d’effacer les données litigieuses, par pure courtoisie et non sous la contrainte de la loi comme il l’avait rappelé, la diffusion en était licite, il n’était pas tenu par le délai d’exécution qui vise les cas de diffusion illicite.

Sur l’existence du préjudice et du lien de causalité, le Tribunal rappelle que c’est au requérant d’apporter la preuve d’un préjudice réel et certain ainsi que le lien de causalité direct entre le préjudice et l’illégalité commise par l’institution concernée. Le préjudice n’était pas avéré en l’occurrence, alors que le requérant s’était contenté de se plaindre du stress engendré par les manœuvres dilatoires et le comportement dédaigneux du Parlement.

Cet arrêt démontre les limites de la portée du principe général du droit à la protection des données personnelles. Ce principe a été particulièrement développé par la Cour de Justice de l’Union Européenne[8]. Pour autant, entre 1500 et 3000 pétitions sont déposées par an au Parlement européen. Il apparaît dès lors difficilement gérable de modifier l’expression du consentement.

Par ailleurs, l’arrêt rappelle le caractère restrictif du recours en responsabilité extracontractuelle à l’encontre des institutions européennes, a fortiori en présence d’un préjudice moral : il est important que le lien de causalité entre le préjudice subi et la violation caractérisée d’un droit du requérant soit établie de manière précise par celui-ci, au risque de se voir refuser toute compensation.

Aurélien RACCAH/Diane DE CHARETTE

[1] Arrêt du Tribunal (sixième chambre) du 3 décembre 2015, CN contre Parlement européen, T-343/13. EU:T:2015:926.

[2] Arrêt de la Cour du 5 mars 1996, Brasserie du Pêcheur SA contre Bundesrepublik Deutschland et The Queen contre Secretary of State for Transport, ex parte: Factortame Ltd et autres, C-46/93 et C-48/93, EU:C:1996:79.

[3] Voir par exemple, arrêt de la Cour du 9 septembre 2008, MyTravelCommission, T-212/03, EU :T :2008 :315, point 35.

[4] Convention des Nations Unies sur les droits des personnes handicapées du 13 décembre 2006, entrée en vigueur le 3 mai 2008.

[5] Convention de sauvegarde des droits de l’Homme et des libertés fondamentales du 4 novembre 1950, entrée en vigueur le 3 septembre 1953.

[6] Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données.

[7] Arrêt de la Cour du 13 mai 2014, Google Spain SL, C‑131/12, EU:C:2014:317.

[8] Voir, par exemple, arrêt de la Cour du 6 octobre 2015, Maximillian Schrems contre Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650 ;