Dans un arrêt du 20 décembre 2017, la Cour de Justice de l’Union Européenne (ci-après « CJUE ») a estimé que « les réponses écrites fournies par un candidat lors d’un examen professionnel et les éventuelles annotations de l’examinateur relatives à ces réponses constituent des données à caractère personnel », et que, de ce fait, le candidat bénéfice d’un droit d’accès à la copie d’examen sur laquelle figure ses réponses et les éventuelles annotations de l’examinateur.
Cette décision vient éclairer et préciser la définition des « données à caractère personnel » ainsi que l’étendue du droit d’accès. Nous nous intéresserons ici uniquement aux dispositions de l’arrêt se rapportant à la définition des données à caractère personnel.
Dans cette affaire, un ressortissant Irlandais avait échoué à un examen de comptabilité organisé par l’ordre Irlandais des experts-comptables. À la suite de cet échec, le candidat avait d’abord exercé un recours visant à contester le résultat de l’examen. À la suite du rejet de ce recours, il a présenté une demande d’accès visant l’ensemble des données à caractère personnel le concernant, détenues par l’ordre des experts-comptables. L’ordre des experts-comptables a communiqué au candidat un certain nombre de documents, mais a refusé de lui transmettre sa copie d’examen, au motif que celle-ci ne contenait pas de données à caractère personnel. L’affaire a finalement été portée devant la Cour suprême d’Irlande, qui a décidé de sursoir à statuer et a demandé à la CJUE, à titre de question préjudicielle, si les réponses écrites fournies par un candidat lors d’un examen professionnel et les éventuelles annotations de l’examinateur s’y rapportant constituent des données à caractère personnel.
Qu’est- ce donc qu’une donnée à caractère personnel ?
Les textes :
La directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données définit les données à caractère personnel comme « toute information concernant une personne physique identifiée ou identifiable ( personne concernée ); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique , psychique, économique , culturelle ou sociale » (article 2 a).
La directive précise que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne » (Considérant 26);
La directive indique toutefois que « les principes de la protection ne s’appliquent pas aux données rendues anonymes d’une manière telle que la personne concernée n’est plus identifiable » (Considérant 46);
Autrement dit les traitements de données rendues anonymes ne sont pas gouvernés par le droit des données à caractère personnel
L’application de ces textes par la CJUE :
D’abord, la Cour rappelle qu’un candidat à un examen est une personne physique qui peut être identifiée soit directement à partir de son nom, soit indirectement à partir d’un numéro d’identification, le nom ou le numéro étant apposés sur la copie d’examen ou le feuillet de couverture de la copie ; peu importe à cet égard que l’examinateur puisse ou non identifier le candidat au moment de la correction et de la notation de la copie d’examen.
Ceci est logique. Le fait que l’examinateur ne puisse pas connaitre le nom du candidat au moment de la correction ou de la notation de la copie parce que ledit nom est caché, n’enlève rien au fait qu’il est finalement toujours possible de rattacher la copie d’examen au candidat, lequel demeure donc bien une personne physique identifiable au sens de la directive 95/46.
Ensuite, la Cour s’attache à examiner si les réponses écrites du candidat et les éventuelles annotations de l’examinateur sur lesdites réponses constituent des informations concernant ce candidat. La Cour relève que la directive définit les données à caractère personnel comme « toute information concernant une personne physique identifiée ou identifiable », que cette définition a un sens très large, lequel n’est pas limité aux seules informations sensibles ou d’ordre privé, mais recouvre absolument tous types d’informations, objectives ou subjectives, y compris sous forme d’avis ou appréciations, dès lors que ces informations se rapportent à une personne physique identifiée ou identifiable.
La Cour conclut que les réponses écrites fournies par un candidat lors d’un examen constituent bien des informations se rapportant audit candidat, pour trois raisons :

  • Le contenu des réponses apportées par le candidat révèle son niveau de connaissance et de compétence et, le cas échéant, le processus de réflexion, son jugement, son esprit critique et, parfois même, des informations calligraphiques.
  • La collecte desdites réponses a pour finalité d’évaluer les capacités professionnelles du candidat et son aptitude à exercer le métier en cause.
  • L’utilisation de ces informations se traduit, notamment, par le succès ou l’échec du candidat et son aptitude à exercer le métier en cause.

La Cour estime donc que la finalité de la collecte et du traitement des données est un critère pouvant être pris en compte pour apprécier si les données constituent ou non des données à caractère personnel.
Cette décision fait écho à la volonté du législateur européen de définir largement la notion de données à caractère personnel.
La solution dégagée par cet arrêt survivra sans nul doute à l’entrée en vigueur du Règlement Général sur la Protection des Données Personnelles (RGPD) du 27 avril 2016, qui entrera en vigueur le 25 mai 2018, et abrogera à cette date, la directive 95/46/CE précitée.
En effet, le RGPD n’apporte pas de changement majeur à la notion de données à caractère personnel. Celle-ci restant définie comme « Toute information se rapportant à une personne physique identifiée ou identifiable, dénommée la « personne concernée » ;  est réputée être une « personne physique identifiable », une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou social »  (RGPD, art. 4.1).

Philippe Touitou
Avocat Associé, Legipass
Lien permanent vers cet article : Village de la Justice du 10 avril 2018