Dans le cadre d’une procédure pénale en appel, où l’inculpé (madame Lindqvist) était « accusée d’avoir enfreint la législation suédoise relative à la protection des données à caractère personnel¹ en publiant sur son site internet des données (…) concernant un certain nombre de personnes qui travaillent, comme elle, à titre bénévole dans une paroisse de l’Eglise protestante de Suède », les juges ont décidé de surseoir à statuer en posant à la Cour de Justice des Communautés Européennes² sept questions préjudicielles relatives à l’interprétation de la directive du 24 octobre 1995³.
En l’espèce, madame Lindqvist, formatrice de communiants dans la paroisse d’Aselda (Suède), avait créé chez elle et sur son ordinateur personnel des pages web contenant des informations sur elle-même et 18 de ses collègues de la paroisse dans le but d’informer au mieux les paroissiens préparant leur confirmation.
Sans avoir obtenu préalablement leur consentement et avoir déclaré ce traitement de données personnelles à l’autorité de contrôle suédoise⁴ ; madame Lindqvist a mentionné leur nom complet ou seulement leur prénom, leur fonction, « leurs loisirs en termes légèrement humoristiques », parfois leur situation familiale et leur numéro de téléphone, ainsi que d’autres informations plus « sensibles » dont notamment le congé de maladie partiel de l’une de ses collègues suite à une blessure au pied.
 La Cour de Justice devait dans un premier temps déterminer « si l’opération consistant à faire référence, sur une page internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens (…) » constituait ou non un traitement de données à caractère personnel, automatisé en tout ou partie, au sens de l’article 3 §1 de la directive ?
Madame Lindqvist a estimé quant à elle que la simple mention de ces données sur une page web ne pouvait être considéré comme un traitement, à l’inverse de données enregistrées dans des meta tags.
La Cour de Justice en a jugé autrement.
Elle a en effet rappelé que l’article 2 b) de ladite directive énumère comme moyens de traitement, notamment, « la communication par transmission » et la « diffusion ou toute autre forme de mise à disposition de données ».
Dès lors, « l’opération consistant à faire figurer, sur une page internet, des données à caractère personnel est à considérer comme un tel traitement ».
Et il s’agit bien d’un traitement « automatisé en tout ou en partie⁵ » dans la mesure où la mise en ligne et la visualisation de pages web nécessitent des opérations de chargement sur un serveur.
 Dans un second temps, Madame Lindqvist soutenait « qu’une personne privée qui, usant de sa liberté d’expression, crée des pages internet dans le cadre d’une activité à but non lucratif ou de ses loisirs n’exerce pas une activité économique et échappe donc à l’application du droit communautaire », en vertu des exceptions prévues à l’article 3 §2 de la directive⁶.
Pour autant, le gouvernement suédois a rappelé que la loi de transposition a clairement indiqué que « le traitement de données à caractère personnel par une personne physique consistant à transmettre ces données à un nombre indéterminé de destinataires, par exemple, au moyen d’internet, ne pouvait être qualifié d’ « activité exclusivement personnelle ou domestique » au sens (…) de la directive » (exception de l’article 3 §2 second tiret).
En ce sens, la Cour a précisé que cette exception doit être interprétée « comme visant uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers », ce qui n’est manifestement pas le cas de données personnelles publiées sur internet et par conséquent rendues accessibles à un nombre indéfini de personnes.
En outre, la Commission soutient, par référence à la base juridique et à l’objectif de la directive, que celle-ci « vise à réglementer la libre circulation de données à caractère personnel comme l’exercice non seulement d’une activité économique, mais également d’une activité sociale dans le cadre de l’intégration et du fonctionnement du marché intérieur ».
De sorte « qu’exclure d’une manière générale du champ d’application de la directive 95/46 les pages internet qui ne contiennent aucun élément commercial ou de prestation de services pourrait entraîner de graves problèmes de délimitation ».
La Cour a quant à elle précisé, conformément à sa jurisprudence antérieure⁷, que l’article 100 A du traité, base juridique de la directive du 24 octobre 1995, « ne présuppose pas l’existence d’un lien effectif avec la libre circulation entre Etats membres dans chacune des situations visées ».
Dans ces conditions, l’exception du premier tiret de l’article 3 §2 prévue pour les « activités qui ne relèvent pas du champ d’application du droit communautaire » ne doit pas conduire à « vérifier, au cas par cas, si l’activité spécifique en cause affecte directement la libre circulation entre Etats membres ».
La Cour en déduit que seules les activités du type « sûreté de l’Etat » (mentionnée à titre d’exemple au premier tiret de cet article) peuvent bénéficier de cette exception.
En conséquence, Madame Lindqvist ne peut bénéficier de cette exception, car ses activités bénévoles ou religieuses ne sont bien évidements pas assimilables aux activités de « sécurité publique », de « défense » et de « sûreté de l’Etat »… Et il n’y a pas lieu de chercher si ces activités sont susceptibles d’affecter la libre circulation des biens et services entre Etats membres.
« Une interprétation contraire risquerait de rendre les limites du domaine d’application de ladite directive particulièrement incertaines et aléatoires (…) ».
 La Cour confirme ensuite, sans surprise, que les informations divulguées par Madame Lindqvist sur la blessure au pied de l’une de ses collègues constitue une donnée à caractère personnel relative à la santé au sens de l’article 8 §1 de la directive.
La Cour précise en ce sens que la notion de données relatives à la santé doit être d’interprétation large afin de comprendre les informations concernant « tous les aspects, tant physiques que psychiques, de la santé d’une personne ».
En France, une délibération de la CNIL du 4 février 1997 portant adoption d’une recommandation sur le traitement des données de santé à caractère personnel, avait rappelé que « la connaissance de l’état de santé d’une personne constitue une information qui relève de l’intimité de sa vie privée et qui est protégée par le secret médical ; en conséquence, le traitement de cette information nécessite, conformément à l’article 6 de la convention n° 108 du conseil de l’Europe (…), l’adoption de garanties appropriées »
De sorte que ces données « (…) ne peuvent être utilisées que dans l’intérêt direct du patient et, dans les conditions déterminées par la loi, pour les besoins de la santé publique et que, dès lors leur exploitation à des fins commerciales doit être proscrite. En conséquence, ces données ne peuvent être traitées que dans le respect des droits des personnes et des règles déontologiques en vigueur. ».
Ainsi, « hors les cas prévus par la loi, les professionnels de santé ne peuvent transmettre à des tiers, les données de santé à caractère personnel relatives à leurs patients, sans qu’au préalable ces données aient été rendues anonymes (…) » ; et « même rendues anonymes à l’égard des patients, [elles] ne peuvent être utilisées à des fins de promotion ou de prospection commerciale, dès lors qu’elles sont associées à l’identification du professionnel de santé ».
En 2001, la CNIL a procédé à une évaluation relative à la collecte et au traitement de ces données par les sites de santé français⁸ .
La Commission a estimé, dans l’hypothèse où de tels sites envisagent de céder à des tiers et à des fins commerciales des données du type adresse électronique, à l’exclusion de toutes données relatives à l’état de santé réel ou présumé des internautes, que ces derniers doivent être en mesure de s’y opposer en ligne par le biais d’une case à cocher présente sur le formulaire de collecte.
A défaut d’une telle mention, les données sont supposées être destinées à un usage exclusivement interne.
Le responsable d’un tel traitement de données doit également dans sa déclaration préalable décrire les mesures de confidentialité et de sécurité qu’il compte mettre œuvre :
Рmoyens de chiffrement des donn̩es stock̩es,
– dispositifs de journalisation des connexions (pour assurer l’intégrité et la confidentialité des données),
– clauses relatives à la sécurité et à l’accès des données dans le contrat d’hébergement.
Enfin, le développement de ces sites de santé a conduit la CNIL à préconiser une intervention législative pour poser le principe d’interdiction de toute commercialisation de données de santé directement ou indirectement nominatives.

 Est-ce que la mise en ligne de données personnelles sur internet constitue un transfert de données personnelles vers un pays tiers⁹?
La Cour a été interrogée sur cette question délicate qui, en cas de réponse positive, implique l’existence d’un niveau de protection adéquat dans le(s) pays récepteur(s). A défaut, les pays membres ont l’obligation de prendre les mesures nécessaires en vue d’empêcher tout nouveau transfert vers le(s) pays tiers en cause¹⁰ !
La Commission européenne et le gouvernement suédois, en l’absence de définition donnée par la directive, ont eu une approche très extensive de la notion de transfert.
Ils ont considéré que « l’insertion, à l’aide d’un ordinateur, de données à caractère personnel sur une page internet, (…) constitue un transfert de données vers un pays tiers (…) » même « si aucun ressortissant d’un pays tiers ne prenait effectivement connaissance desdites données ou si le serveur où celles-ci sont stockées se trouvait, d’un point de vue purement physique, dans un pays tiers ».
Telle n’a pas été la thèse soutenue par le gouvernement néerlandais qui a considéré que cette notion devait s’entendre « comme visant un acte tendant délibérément à transférer des données à caractère personnel du territoire d’un Etat membre vers un pays tiers » quelque soit « les différentes formes sous lesquelles des données sont rendues accessibles à des tiers ».
Or la mise en ligne de données sur des pages web ne révèle pas en soi une volonté non équivoque de les transférer vers un pays tiers !
Dans le même sens, le gouvernement du Royaume-Uni a précisé que l’article 25 de la directive ne vise que « les transferts de données vers des pays tiers et non leur accessibilité à partir d’un pays tiers. La notion de « transfert » impliquerait [donc] la transmission d’une donnée par une personne située dans un lieu précis à une tierce personne située dans un autre lieu ».
La Cour de Justice, après avoir rappelé que :
– la mise en ligne de page web nécessite la transmission des données qui la constituent à un hébergeur, qui les enregistrent sur des serveurs « souvent situés, dans un ou plusieurs pays autres » que celui de son domicile professionnel, « sans que la clientèle de celui-ci en ait ou puisse raisonnablement en prendre connaissance » ;
– « les pages internet de madame Madame Lindqvist ne comportait pas les mécanismes techniques qui aurait permis l’envoi automatique de ces informations à des personnes qui n’avaient pas délibérément cherché à accéder à ces pages » ;
– les données ainsi transmises « n’ont pas été transférées directement » entre le responsable du traitement (Madame Lindqvist) et un internaute situé dans un pays tiers « mais au travers de l’infrastructure informatique du fournisseur de services d’hébergement où la page est stockées ».
a estimé qu’admettre l’existence d’un « transfert vers un pays tiers de données chaque fois que des données à caractère personnel sont chargées sur une page internet », reviendrait à ériger le régime spécial de l’article 25 en un régime de droit commun pour toutes les opérations liées à internet !
« En effet, dès que la Commission constaterait, en application de l’article 25, paragraphe 4, de la directive 95/46, qu’un seul pays tiers n’assure pas un niveau de protection adéquat, les Etats membres seraient obligés d’empêcher toute mise sur internet de données à caractère personnel ».
Dans ces conditions la Cour a fort justement conclu que la mise en ligne de données à caractère personnel, sans mécanisme d’envoi automatique vers des personnes identifiables, ne constitue pas en elles-mêmes un «transfert vers un pays tiers de données » au sens de l’article 25 de ladite directive.
« Il n’est donc pas nécessaire de rechercher si une personne d’un pays tiers a eu accès à la page internet concernée ou si le serveur de ce fournisseur est physiquement situé dans un pays tiers ».
Reste en suspend le rôle des hébergeurs et surtout la qualification juridique de leurs opérations, qui pourraient être de nature juridique différente suivant que leurs serveurs sont au sein de l’Union européenne ou dans un pays tiers ?
Néanmoins ces derniers, n’étant pas responsables du traitement, mais de simples intermédiaires techniques dans le cadre de ces opérations de mise en ligne, ne devraient pas être soumise au champ d’application de la directive.

¹Personuppggiftslag, SFS 1998, n° 204 (loi suédoise sur les données à caractère personnel transposant la directive 95/46).
²par ordonnance du 23 février 2001 (en application de l’article 234 CE). Arrêt de la CJCE, 6 novembre 2003, C 101/01
³Directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
⁴Datainspektion.
⁵Article 3 §1 de la directive.
⁶Article 3.
Champ d’application
1. La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. La présente directive ne s’applique pas au traitement de données à caractère personnel:
– mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,
– effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.
⁷CJCE, Österreichischer Rundfunk e.a., 20 mai 2003, C-465/00, C-138/01, C-139/01).
⁸Délibération n° 01-011 du 8 mars 2001 portant adoption d’une recommandation sur les sites de santé destinés au public.
⁹au sens de l’article 25 de la directive du 24 octobre 1995.
¹⁰Article 25 §4 de la directive.