Affaire C-755/21 P

Marián Kočner

contre

Agence de l’Union européenne pour la coopération des services répressifs (Europol)

Arrêt de la Cour (grande chambre) du 5 mars 2024

« Pourvoi — Coopération des services répressifs — Règlement (UE) 2016/794 — Article 49, paragraphe 3, et article 50 — Protection des données à caractère personnel — Traitement de données illicite — Procédure pénale engagée en Slovaquie contre le requérant — Expertise réalisée par l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) aux fins de l’instruction — Extraction de données de téléphones portables et d’un support de stockage USB appartenant au requérant — Divulgation de ces données — Préjudice moral — Recours en indemnité — Nature de la responsabilité extracontractuelle »

1. Responsabilité non contractuelle – Conditions – Règlement 2016/794 – Responsabilité du fait d’un traitement de données à caractère personnel illicite – Nature de ladite responsabilité – Responsabilité solidaire d’Europol et de l’État membre concerné – Critères – Preuve de l’imputabilité du traitement illicite à Europol ou à l’État membre concerné – Absence

   (Règlement du Parlement européen et du Conseil 2016/794, considérants 56, 57 et art. 49, § 3, et 50, § 1)

   (voir points 54-56, 58, 61-63, 67-71, 73-76, 79-81)

2. Responsabilité non contractuelle – Conditions – Illégalité – Préjudice – Lien de causalité – Conditions cumulatives

   (Art. 340, 2e al., TFUE)

   (voir point 117)

3. Responsabilité non contractuelle – Conditions – Illégalité – Notion – Violation d’une règle de droit de l’Union ayant pour objet de conférer des droits aux particuliers – Violation suffisamment caractérisée – Conditions cumulatives

   (Art. 340, 2e al., TFUE)

   (voir point 118)

4. Responsabilité non contractuelle – Conditions – Illégalité – Violation d’une règle de droit de l’Union ayant pour objet de conférer des droits aux particuliers – Notion – Coopération entre Europol et les autorités compétentes des États membres à des fins de poursuites pénales – Divulgation de données à caractère personnel à des personnes non autorisées – Inclusion

   (Art. 340, 2e al., TFUE ; règlement du Parlement européen et du Conseil 2016/794, art. 50, § 1)

   (voir points 119-121, 123)

5. Responsabilité non contractuelle – Conditions – Illégalité – Violation suffisamment caractérisée du droit de l’Union – Critères d’appréciation – Obligation de protection des particuliers contre le traitement illicite des données à caractère personnel – Marge d’appréciation des entités impliquées dans une coopération au titre du règlement 2016/794 – Absence

   (Art. 340, 2e al., TFUE ; règlement du Parlement européen et du Conseil 2016/794, art. 50, § 1)

   (voir points 126-129)

6. Responsabilité non contractuelle – Préjudice – Préjudice indemnisable – Préjudice moral causé par la publication des conversations intimes du requérant – Inclusion

   (Art. 340, 2e al., TFUE ; règlement du Parlement européen et du Conseil 2016/794, art. 50, § 1)

   (voir points 135, 136)

Résumé

Saisie d’un pourvoi formé par M. Kočner, le requérant, contre l’arrêt du Tribunal dans l’affaire Kočner/Europol ( 1 ), la grande chambre de la Cour accueille partiellement ce pourvoi en précisant la nature de la responsabilité extracontractuelle de l’Agence de l’Union européenne pour la coopération des services répressifs (ci-après « Europol »), au titre de l’article 50 du règlement 2016/794 ( 2 ), interprété à l’aune de son considérant 57.

Dans le cadre d’une enquête menée par les autorités slovaques à la suite de l’assassinat en Slovaquie, en 2018, d’un journaliste et de sa fiancée, Europol a apporté son soutien à ces autorités à la demande de la Národná kriminálna agentúra (Agence nationale de lutte contre la criminalité, Slovaquie, ci-après la « NAKA »). Elle a procédé, en particulier, à l’extraction des données stockées sur deux téléphones portables qui auraient appartenu au requérant. Le 23 octobre 2018, elle a remis à la NAKA un disque dur contenant les données cryptées extraites ainsi que le mot de passe protégeant ces données. Par ailleurs, elle a transmis, le 13 janvier 2019, un rapport à la NAKA (ci-après le « rapport d’Europol ») qui mentionnait, entre autres, que le nom du requérant est directement lié aux « listes dites mafieuses ».

Le 1er avril 2019, les autorités pénales slovaques auraient fait usage de ces informations dans le cadre d’une procédure pénale engagée contre le requérant. En 2019 et en 2020, divers articles de presse ainsi que des sites Internet auraient fait état d’un volume très important d’informations relatives au requérant, issues notamment des téléphones portables en cause. En particulier, un site Internet et la presse slovaque auraient publié des transcriptions des communications intimes échangées entre le requérant et une amie au moyen d’un service de messagerie cryptée, et contenues dans ces téléphones.

Après avoir introduit une réclamation auprès d’Europol, le requérant a formé devant le Tribunal un recours en indemnisation fondé sur les articles 268 et 340 TFUE ainsi que sur l’article 50, paragraphe 1, du règlement Europol, qui établit un régime de responsabilité en raison du traitement incorrect de données à caractère personnel ( 3 ). Ce recours visait à obtenir réparation des préjudices moraux que le requérant estimait avoir subis en raison des agissements d’Europol. À la suite du rejet dudit recours par le Tribunal, le requérant a formé un pourvoi contre l’arrêt attaqué. Ce pourvoi était dirigé contre le rejet, d’une part, du premier chef de conclusions, qui visait la réparation du préjudice moral que le requérant aurait subi du fait de la divulgation au public de données à caractère personnel provenant des téléphones portables en cause, et, d’autre part, du second chef de conclusions, qui visait la réparation du préjudice moral qu’il aurait subi du fait de l’inscription de son nom sur les « listes des mafieux ».

Appréciation de la Cour

Dans un premier temps, la Cour examine les moyens soulevés contre l’arrêt attaqué.

S’agissant du préjudice moral pris de la divulgation au public de données à caractère personnel provenant des téléphones portables en cause, elle précise la nature du régime de responsabilité établi par l’article 50, paragraphe 1, du règlement Europol.

En premier lieu, la Cour relève qu’il ressort de l’analyse des termes de cette disposition et de l’objectif poursuivi par ce règlement que ce dernier, lu à la lumière de son préambule ( 4 ), crée, conformément à la volonté du législateur de l’Union de favoriser la personne physique lésée, un régime de responsabilité solidaire d’Europol et de l’État membre concerné. Cette interprétation est corroborée par le contexte dans lequel s’inscrit ladite disposition. En effet, l’article 50 du règlement Europol vise à instaurer un régime particulier de responsabilité extracontractuelle en ce qui concerne les opérations de traitement de données illicite, qui déroge au régime général de responsabilité prévu à l’article 49 de ce même règlement.

La Cour en conclut que l’article 50 du règlement Europol instaure un régime de responsabilité solidaire d’Europol et de l’État membre dans lequel s’est produit le dommage né d’un traitement de données illicite.

En second lieu, s’agissant des conditions d’engagement de la responsabilité au titre de l’article 50 du règlement Europol, la Cour rappelle que, conformément au régime de la responsabilité extracontractuelle de l’Union énoncée dans l’article 340 TFUE, auquel fait référence ledit article 50, cette responsabilité suppose la réunion d’un ensemble de conditions.

À cet égard, elle observe que, dans le contexte spécifique du règlement Europol, il ressort des termes de son article 50, paragraphe 1, que la personne physique qui entend faire valoir son droit à réparation doit uniquement établir qu’un traitement de données illicite est survenu dans le cadre d’une coopération ayant impliqué Europol et un État membre au titre de ce règlement.

Cette interprétation littérale est corroborée par l’objectif poursuivi par l’article 50 du règlement Europol, qui consiste, aux termes du préambule de ce règlement, à répondre aux difficultés auxquelles peut être exposée la personne physique concernée pour déterminer si le dommage subi du fait d’un traitement de données illicite survenu dans le cadre d’une telle coopération est la conséquence d’une action d’Europol ou de l’État membre concerné. Or, sous peine de vider cet article 50, lu à la lumière du préambule du règlement Europol, de son effet utile, il ne saurait être exigé de cette personne qu’elle établisse à qui, d’Europol ou de l’État membre concerné, ce dommage est imputable ou qu’elle assigne en justice ces deux entités aux fins d’obtenir la réparation intégrale de son dommage.

La Cour relève encore que le législateur de l’Union a prévu, pour la réparation des dommages causés par un traitement de données illicite dans le cadre d’une coopération relevant du règlement Europol, un mécanisme de responsabilité en deux étapes, précisément pour tenir compte de ces difficultés probatoires. Ce mécanisme, d’une part, dispense, au stade de la première étape, la personne physique concernée de la charge d’établir l’identité de l’entité dont le comportement est à l’origine du dommage allégué et, d’autre part, prévoit, dans une seconde étape, que, après désintéressement de cette personne, la « responsabilité ultime » de ce dommage doit, le cas échéant, être définitivement tranchée dans le cadre d’une procédure n’impliquant plus qu’Europol et l’État membre concerné devant le conseil d’administration d’Europol.

La Cour en déduit que le règlement Europol n’impose pas à la personne physique concernée la charge d’identifier laquelle des entités impliquées dans une coopération entre Europol et un État membre a adopté le comportement constitutif d’un traitement de données illicite. Ainsi, pour engager la responsabilité solidaire d’Europol ou de l’État membre concerné, il suffit que cette personne démontre qu’un traitement de données illicite, qui lui a causé un préjudice, a été effectué.

Toutefois, la Cour note qu’il reste loisible à l’entité défenderesse d’établir par toutes voies de droit qu’il est exclu que le dommage allégué soit en relation avec un prétendu traitement de données illicite survenu dans le cadre d’une telle coopération, par exemple en raison de l’antériorité de ce dommage par rapport au traitement visé.

La Cour en conclut que le Tribunal a commis une erreur de droit en ce qu’il a considéré, à tort, que l’article 50, paragraphe 1, du règlement Europol, lu à la lumière de son préambule, ne dispensait pas la personne physique concernée d’établir à laquelle des deux entités impliquées le traitement de données illicite est imputable. Par conséquent, elle annule l’arrêt attaqué en tant que le Tribunal a rejeté le premier chef de conclusions.

S’agissant du préjudice moral concerné par le second chef de conclusions et pris de l’inscription du nom du requérant sur les « listes des mafieux », la Cour relève qu’il ressort de l’arrêt attaqué que le rapport d’Europol est postérieur et, de ce seul fait, étranger au fait dommageable allégué par le requérant dans le cadre de ce second chef de conclusions. Or, le requérant n’a pas démontré que les constats sur lesquels l’arrêt attaqué repose à cet égard seraient entachés d’une dénaturation des éléments de preuve ou d’une erreur de droit. La Cour considère qu’il est par conséquent exclu que le préjudice dont se prévaut le requérant dans son second chef de conclusions puisse être lié à un éventuel traitement de données illicite intervenu dans le cadre de la coopération entre Europol et les autorités slovaques.

La Cour juge dès lors que, nonobstant l’erreur commise par le Tribunal en écartant le principe même d’une responsabilité solidaire d’Europol dans le contexte du règlement Europol, l’exigence selon laquelle le requérant doit prouver l’existence d’un traitement de données illicite qui lui a causé un préjudice fait, en l’occurrence, défaut, de sorte que la responsabilité d’Europol ne saurait, en tout état de cause, être engagée au titre de ce second chef de conclusions. Elle en conclut que le moyen de pourvoi visant le rejet de ce chef de conclusions doit être rejeté comme étant inopérant.

Dans un second temps, eu égard à l’annulation partielle de l’arrêt attaqué, la Cour, constatant que l’affaire est en état d’être jugée, décide de statuer définitivement sur le litige dont était saisi le Tribunal et, à ce titre, examine si les conditions d’engagement de la responsabilité non contractuelle de l’Union au titre de l’article 50 du règlement Europol sont remplies en l’espèce.

En ce qui concerne l’exigence d’une violation d’une règle du droit de l’Union ayant pour objet de conférer des droits à des particuliers, la Cour relève que le règlement Europol impose à cette agence de l’Union et aux autorités compétentes des États membres, appelées à coopérer à des fins de poursuites pénales, une obligation de protection des particuliers contre le traitement illicite des données à caractère personnel les concernant ( 5 ).

La Cour déduit de la lecture combinée d’une série de dispositions du règlement Europol que toute divulgation de données à caractère personnel, faisant l’objet d’un traitement dans le cadre d’une coopération entre Europol et les autorités nationales compétentes, à des personnes non autorisées à en prendre connaissance constitue la violation d’une règle du droit de l’Union ayant pour objet de conférer des droits à des particuliers. Tel est le cas en l’occurrence de la divulgation non autorisée des données à caractère personnel relevant de conversations à caractère intime du requérant.

Quant à l’exigence d’une violation suffisamment caractérisée d’une règle du droit de l’Union, la Cour rappelle que le critère décisif à cet égard est celui d’une violation manifeste et grave des limites du pouvoir d’appréciation que comporte la règle violée. En outre, l’appréciation à effectuer requiert de prendre en considération le domaine, les conditions et le contexte dans lesquels l’obligation en cause pèse sur l’autorité concernée. Il convient également de tenir compte, notamment, du degré de clarté et de précision de la règle violée ainsi que de l’étendue de la marge d’appréciation que cette règle laisse à l’autorité concernée, de la complexité de la situation à régler et des difficultés d’application ou d’interprétation des textes.

En l’occurrence, la Cour conclut à l’existence d’une telle violation suffisamment caractérisée. En effet, d’une part, les dispositions du règlement Europol ne laissent aux entités impliquées dans une coopération entre Europol et un État membre au titre de ce règlement aucune marge d’appréciation quant à la nécessité de protéger les personnes concernées contre des traitements illicites de données personnelles les concernant. D’autre part, cette obligation s’inscrit dans le contexte sensible d’une coopération à des fins de poursuites pénales, dans lequel de telles données sont traitées en dehors de toute intervention des personnes concernées, le plus souvent à leur insu, et donc sans que celles-ci puissent intervenir d’une quelconque façon afin de prévenir un éventuel traitement illicite de leurs données.

En ce qui concerne les conditions relatives à la réalité du dommage et au lien causal, la Cour rappelle que la responsabilité extracontractuelle de l’Union ne saurait être engagée que si la partie requérante a effectivement subi un préjudice réel et certain et que le préjudice découle de façon suffisamment directe de la violation alléguée d’une règle du droit de l’Union. En l’occurrence, elle juge que la divulgation à des personnes non autorisées de données relatives à des conversations intimes entre le requérant et son amie a violé le droit de ce dernier au respect de sa vie privée et familiale ainsi que de ses communications et que cette divulgation a porté atteinte à son honneur et à sa réputation, ce qui lui a causé un dommage moral.

Dans ces conditions, la Cour conclut à l’annulation partielle de l’arrêt attaqué et condamne Europol à verser 2000 euros au requérant au titre de la réparation du préjudice moral subi.

( 1 ) Arrêt du 29 septembre 2021, Kočner/Europol (T-528/20, EU:T:2021:631, ci-après l’« arrêt attaqué »).

( 2 ) Règlement (UE) 2016/794 du Parlement européen et du Conseil, du 11 mai 2016, relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO 2016, L 135, p. 53, ci-après le « règlement Europol »).

( 3 ) Article 50, paragraphe 1, du règlement Europol.

( 4 ) Considérant 57 du préambule.

( 5 ) Lecture combinée de l’article 2, sous h), i) et k), de l’article 28, paragraphe 1, sous a) et f), de l’article 38, paragraphe 4, et de l’article 50, paragraphe 1, du règlement Europol.