1 Depuis les révélations d’Edward Snowden, les débats internationaux sur la valeur de la vie privée font rage des deux côtés de l’Atlantique. En Europe, les arrêts Schrems et Zakharov rendus par la Cour de justice de l’Union européenne (CJUE) et la Cour européenne des droits de l’Homme (Cour EDH) ont opéré une condamnation sans appel des systèmes de surveillance dits « de masse » dans les États membres [1]. Pourtant, et alors même que se renforce la valeur sociale de la protection des données personnelles, les politiques d’immigration apparaissent tout entières tournées vers un même objectif : la catégorisation et le suivi toujours plus pointilleux des étrangers, le recueil de leurs données étant placé au cœur des nouvelles politiques de sécurité. L’on en trouve une illustration récente dans le cadre de l’Union européenne où a été réactivé l’ancien projet d’une base de données unique en matière d’immigration et d’asile.

2 Se fondant sur la nécessité de « faciliter les retours » et « d’identifier facilement un demandeur d’asile ou un ressortissant de pays tiers en situation irrégulière », la Commission européenne a proposé un nouvel élargissement du système « Eurodac », qui permet la collecte des données personnelles des demandeurs d’asile afin de stocker et de recouper un nombre plus important d’informations sur les étrangers en situation irrégulière dans l’Union européenne. Dans ce contexte, marqué par la volonté de recueillir davantage de données sur les étrangers aux fins de contrôle de l’immigration, la protection des données personnelles apparaît difficile à mobiliser en droit des étrangers. D’une part, parce que les textes protecteurs des données personnelles prévoient de nombreuses exceptions, définies de manière suffisamment évasive pour laisser aux juges une marge d’appréciation très large lorsqu’il s’agit de décider quels sont les impératifs permettant de justifier une limitation des droits fondamentaux des étrangers.

3 D’autre part, si la CJUE a bien souligné que le droit à la protection des données personnelles fait en principe obstacle à un fichage de l’ensemble des éléments de la vie des étrangers, il n’interdit pas la collecte des données nécessaires aux contrôles spécifiques à la police des étrangers, y compris lorsque celles-ci ont vocation à être recueillies et recoupées. Or, dans la mesure où les lois sur l’immigration organisent une omniprésence administrative dans la vie des étrangers [2], l’ensemble de leurs données personnelles peut apparaître comme « nécessaires » aux contrôles spécifiques à la police des étrangers.

4 Le présent cahier témoigne de ce que le droit fondamental à la protection des données personnelles reste, dans un cadre marqué par une multiplication des contrôles sur les étrangers, une arme bien faible face au développement du fichage tous azimuts.◆

CE, réf., 2 nov. 2009 (n° 332887)

5 Dans cette ordonnance de référé, le ministre de l’intérieur contestait une ordonnance de référé-liberté du juge des référés du tribunal administratif de Nantes qui avait ordonné au préfet d’accorder au requérant, demandeur d’asile s’étant mutilé les doigts pour faire obstacle à la prise de ses empreintes, une autorisation provisoire de séjour et un lieu d’hébergement. Le ministre arguait notamment qu’en mutilant volontairement ses doigts, le demandeur a cherché à faire obstacle à l’application du règlement dit « Dublin II » et à empêcher le préfet de s’assurer qu’aucune demande d’asile n’était en cours d’examen sous la même identité. Le Conseil d’État a fait droit aux prétentions du ministère et s’est fondé sur le règlement « Eurodac » pour énoncer que le refus de délivrer une autorisation provisoire de séjour au requérant n’a pas porté une atteinte grave et manifestement illégale au droit d’asile. Si cette décision ne fait pas de référence explicite à la protection des données personnelles, elle démontre que les droits fondamentaux les mieux établis des étrangers ne parviennent que difficilement à faire obstacle aux politiques de fichage de leurs données personnelles.

6 « Considérant qu’aux termes de l’article 18-1 du règlement (CE) n° 2725/2000 du 11 décembre 2000 concernant la création du système Eurodac pour la comparaison des empreintes digitales aux fins de l’application efficace de la convention de Dublin, toute personne visée par le présent règlement est informée par l’État membre d’origine [...] d) dans le cas des personnes visées à l’article 4 ou à l’article 8, de l’obligation d’accepter que ses empreintes digitales soient relevées ; qu’aux termes de l’article 4 : Collecte, transmission et comparaison des empreintes digitales. 1. Chaque État membre relève sans tarder l’empreinte digitale de tous les doigts de chaque demandeur d’asile âgé de 14 ans au moins et transmet rapidement à l’unité centrale les données visées à l’article 5, paragraphe 1, points a) à f). La procédure de relevé des empreintes digitales est déterminée conformément à la pratique nationale de l’État membre concerné et dans le respect des dispositions de sauvegarde établies dans la convention européenne des droits de l’homme et dans la convention des Nations unies relative aux droits de l’enfant ;

7 Considérant que l’étranger qui demande à bénéficier de l’asile doit justifier de son identité, de manière à permettre aux autorités nationales de s’assurer notamment qu’il n’a pas formulé d’autres demandes ; qu’il résulte, en particulier, des dispositions du règlement du 11 décembre 2000 que les demandeurs d’asile âgés de plus de quatorze ans ont l’obligation d’accepter que leurs empreintes digitales soient relevées ; que, par suite, les autorités nationales ne portent pas une atteinte grave et manifestement illégale au droit d’asile en refusant de délivrer une autorisation provisoire de séjour au demandeur qui refuse de se soumettre à cette obligation ou qui, en rendant volontairement impossible l’identification de ses empreintes, les place, de manière délibérée, par son propre comportement, dans l’incapacité d’instruire sa demande ;

8 Considérant qu’il résulte de l’instruction que M. A, ressortissant érythréen, s’est présenté au guichet de la préfecture de Maine-et-Loire le 24 juillet 2009 pour solliciter son admission au séjour afin de déposer une demande d’asile ; qu’il est apparu qu’il avait fait en sorte que ses empreintes digitales ne puissent être exploitées ; qu’afin de permettre la reconstitution de ses empreintes, plusieurs convocations successives lui ont été remises pour le 24 août 2009, le 25 septembre 2009 et le 7 octobre 2009 ; qu’à aucune de ces dates il n’a toutefois été possible d’identifier ses empreintes ; qu’il a ainsi manifestement cherché à se soustraire à l’obligation fixée par le règlement (CE) 2725/2000 du 11 décembre 2000 ; qu’il résulte de ce qui a été dit ci-dessus que, contrairement à ce qu’a jugé le juge des référés du tribunal administratif de Nantes, l’autorité préfectorale n’a, dans ces conditions, pas porté une atteinte grave et manifestement illégale au droit d’asile en s’abstenant de lui délivrer, en l’état, une autorisation provisoire de séjour et en ne prenant pas, en conséquence, les mesures prévues par le code de l’action sociale et des familles en vue d’assurer sa prise en charge ; que, par suite, et dès lors qu’aucun autre moyen n’était invoqué devant le juge de première instance, le ministre de l’immigration, de l’intégration, de l’identité nationale et du développement solidaire est fondé à demander l’annulation de l’ordonnance attaquée ainsi que le rejet de la demande de l’intéressé. »

9 ANNULATION DE L’ORDONNANCE ATTAQUÉE ET REJET DE LA DEMANDE DE L’INTÉRESSÉ.

Cour EDH, Décision sur la recevabilité, 2 février 2010, Dalea c/France (req. n° 964/07)

10 Cette affaire concernait un ressortissant roumain ayant contesté son signalement par les autorités françaises dans le fichier du Système d’information Schengen (SIS) aux fins de non-admission. La Commission nationale de l’informatique et des libertés (Cnil) avait refusé de communiquer à l’intéressé les données du SIS le concernant, de les supprimer ou de les rectifier. Par la suite, le Conseil d’État avait à son tour rejeté le recours en excès de pouvoir formé contre cette décision de la Cnil, et avait indiqué en application de la jurisprudence Moon de 2002 (CE Ass., 6 novembre 2002, Moon, n° 194296) qu’il ne demanderait pas communication directe des informations mais prendrait « toutes mesures propres à lui procurer, par les voies de droit, les éléments de nature à lui permettre de former sa conviction sur les points en litige ». En l’espèce, la Cnil s’était contentée d’indiquer que le signalement du requérant résultait d’une décision de la Direction de la surveillance du territoire (DST). Après avoir accepté de contrôler la conventionnalité de l’ingérence dans le droit à la vie privée résultant du signalement au SIS, la Cour européenne a relevé que le requérant avait eu connaissance de toutes les autres données le concernant figurant dans le fichier Schengen et que le signalement se fondait sur des considérations tenant à la sûreté de l’État, à la défense et la sécurité publique. Or, la seule invocation de la sûreté de l’État permet à la Cour de valider le système français d’accès indirect aux données contenues dans le SIS, au motif que l’impossibilité pour l’intéressé d’accéder personnellement à l’intégralité des renseignements ne saurait, en soi, prouver que l’ingérence n’était pas justifiée au regard des exigences de la sécurité nationale.

11 « Pour autant que l’on puisse considérer que le requérant allègue une ingérence dans le respect de son droit à sa vie privée du simple fait de son inscription pendant une longue période dans le fichier Schengen, la Cour rappelle que toute personne qui fait l’objet d’une mesure basée sur des motifs de sécurité nationale doit bénéficier de garanties contre l’arbitraire. Elle doit notamment avoir la possibilité de faire contrôler la mesure litigieuse par un organe indépendant et impartial, habilité à se pencher sur toutes les questions de fait et de droit pertinentes, pour trancher sur la légalité de la mesure et sanctionner un éventuel abus des autorités. Devant cet organe de contrôle, la personne concernée doit bénéficier d’une procédure contradictoire afin de pouvoir présenter son point de vue et réfuter les arguments des autorités (Al-Nashif c/Bulgarie, n° 50963/99, §§ 123 et 124, 20 juin 2002 ; Kaya c/Roumanie, n° 33970/05, § 41, 12 octobre 2006 et aussi C.G. et autres c/Bulgarie, n° 1365/07, §§ 39 à 41, 24 avril 2008).

12 Dans la présente affaire, la Cour relève d’abord la particularité des circonstances de l’espèce puisque, contrairement aux affaires précitées qui concernaient des expulsions de personnes ayant résidé dans les pays concernés, il s’agissait au contraire pour le requérant d’obtenir des visas d’entrée en Allemagne et France et, par conséquent, d’avoir accès à l’espace Schengen. La Cour note l’impact qu’a eu pour le requérant son inscription au fichier Schengen, celle-ci lui ayant interdit l’accès non pas au territoire d’un seul État, mais à celui de l’ensemble des pays appliquant les dispositions de l’accord de Schengen. Toutefois, elle estime à cet égard que, s’agissant de l’entrée sur un territoire, les États jouissent d’une marge d’appréciation importante quant aux modalités visant à assurer les garanties contre l’arbitraire auxquelles une personne placée dans cette situation peut prétendre (voir, a contrario, C.G.et autres, précitée, §§ 45 et suiv.)

13 La Cour observe ensuite que le requérant a bénéficié d’un contrôle de la mesure litigieuse d’abord par la CNIL, puis par le Conseil d’État dans le cadre du recours pour excès de pouvoir. Elle relève que la haute juridiction administrative a tout d’abord demandé des précisions à la CNIL concernant les motifs de l’inscription au fichier Schengen, pour conclure que la Commission avait légalement justifié sa décision de ne pas faire procéder à la rectification et à l’effacement des informations en question et ce, après qu’un membre de cette Commission, désigné conformément aux dispositions de l’article 39 de la loi du 6 janvier 1978 (voir partie « droit interne pertinent »), ait procédé aux vérifications demandées. Elle constate que, si le requérant ne s’est jamais vu offrir la possibilité de combattre le motifprécis de cette inscription, il a eu connaissance de toutes les autres données le concernant figurant dans le fichier Schengen, et du fait que le signalement, requis par la DST, se fondait sur des considérations tenant à la sûreté de l’État, à la défense et la sécurité publique.

14 La Cour conclut que l’impossibilité pour l’intéressé d’accéder personnellement à l’intégralité des renseignements qu’il demandait ne saurait, en soi, prouver que l’ingérence n’était pas justifiée au regard des exigences de la sécurité nationale (voir, mutatis mutandis, Leander c/Suède, 26 mars 1987, § 66, série A n° 116).

15 Il s’ensuit que cette partie de la requête est manifestement mal fondée et doit également être rejetée conformément à l’article 35 §§ 3 et 4 de la Convention. »

16 CONSTAT D’IRRECEVABILITÉ À L’UNANIMITÉ

CJCE, 16 décembre 2008, Huber (aff. C-524/06)

17 Cette affaire concernait l’existence, en Allemagne, d’un registre centralisé rassemblant certaines données personnelles relatives aux étrangers séjournant sur le territoire allemand depuis plus de trois mois. Figuraient dans cette base de données les informations concernant l’entrée et le séjour en Allemagne, mais également les informations relatives à l’éventuelle implication de la personne dans des délits particulièrement graves. Surtout, et cet aspect de l’affaire est important, une base de données comparable n’existait pas pour les ressortissants allemands. La CJCE va juger qu’il est possible pour un État d’établir ce type de fichier si celui-ci contient uniquement les données nécessaires à l’application de la réglementation sur le droit de séjour par les autorités en charge, et permet une application plus efficace de cette réglementation en ce qui concerne le droit de séjour des citoyens de l’Union non ressortissants de cet État membre. En l’espèce, le registre en cause est contraire aux conventions en ce qu’il permet de regrouper des informations non nécessaires aux contrôles de police de l’immigration car, rappelle la Cour, le droit de l’Union s’oppose à l’instauration par un État membre d’un système de traitement de données à caractère personnel, spécifique aux citoyens de l’Union non ressortissants de cet État membre dans l’objectif de lutter contre la criminalité.

18 « Sur le traitement des données à caractère personnel en vue de l’application de la réglementation sur le droit de séjour et à des fins statistiques

19 Notion de nécessité

20 47. L’article 1er de la directive 95/46 impose aux États membres d’assurer la protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel.

21 48. Conformément aux dispositions du chapitre II de la directive 95/46, intitulé "Conditions générales de licéité des traitements de données à caractère personnel", sous réserve des dérogations admises au titre de l’article 13 de cette directive, tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes relatifs à la qualité des données énoncés à l’article 6 de ladite directive et, d’autre part, répondre à l’un des principes relatifs à la légitimation des traitements de données énumérés à l’article 7 de cette même directive (voir, en ce sens, arrêt du 20 mai 2003, Österreichischer Rundfunk e.a., C-465/00, C-138/01 et C-139/01, Rec. p. I-4989, point 65).

22 49. En particulier, le point e) dudit article 7 prévoit que le traitement de données à caractère personnel est licite s’"il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées.

23 [...]

24 53. Il ressort de la décision de renvoi que l’AZR est un registre centralisé contenant certaines données à caractère personnel relatives aux citoyens de l’Union non-ressortissants allemands et consultable par différentes entités publiques et privées.

25 54. S’agissant de l’utilisation d’un registre tel que l’AZR aux fins de l’application de la réglementation sur le droit de séjour, il importe de rappeler que, en l’état actuel du droit communautaire, le droit de séjour d’un citoyen de l’Union sur le territoire d’un État membre dont il n’est pas ressortissant n’est pas inconditionnel, mais peut être assorti des limitations et des conditions prévues par le traité ainsi que par les dispositions prises pour son application (voir, en ce sens, arrêt du 10 juillet 2008, Jipa, C-33/07, non encore publié au Recueil, point 21 et jurisprudence citée).

26 55. Ainsi, l’article 4 de la directive 68/360, lu en combinaison avec l’article 1^er de cette dernière, de même que l’article 6 de la directive 73/148, lu en combinaison avec l’article 1^er de cette dernière, soumettaient le droit d’un ressortissant d’un État membre de séjourner plus de trois mois sur le territoire d’un autre État membre à l’appartenance à l’une des catégories consacrées par ces directives et la constatation de ce droit à certaines formalités, liées à la présentation ou à la communication, par le demandeur, d’une carte de séjour ainsi que de divers documents et informations.

27 56. En outre, en vertu des articles 10 de la directive 68/360 et 8 de la directive 73/148, les États membres pouvaient, pour des raisons d’ordre public, de sécurité publique ou de santé publique, déroger aux dispositions desdites directives et limiter le droit d’entrée et de séjour d’un ressortissant d’un autre État membre sur leur territoire.

28 57. La directive 2004/38, dont le délai de transposition a expiré le 30 avril 2006 et qui n’était donc pas d’application au moment des faits de l’espèce, a abrogé les deux directives susmentionnées, mais reprend globalement, en son article 7, des conditions équivalentes à celles établies par ces dernières en ce qui concerne le droit de séjour des ressortissants d’autres États membres ainsi que, en son article 27, paragraphe 1, les restrictions y afférentes. Elle prévoit, en outre, à son article 8, paragraphe 1, que l’État membre d’accueil peut imposer à tout citoyen de l’Union ressortissant d’un autre État membre qui souhaite séjourner sur son territoire pour une durée supérieure à trois mois l’obligation de se faire enregistrer auprès des autorités compétentes. À cet égard, l’État membre d’accueil peut, en vertu du paragraphe 3 dudit article 8, exiger la présentation de divers documents et informations permettant à ces autorités de constater que les conditions ouvrant un droit au séjour sont remplies.

29 58. Il y a dès lors lieu de considérer qu’il est nécessaire, pour un État membre, de disposer des informations et des documents pertinents aux fins de vérifier, dans le cadre défini par la réglementation communautaire applicable, l’existence d’un droit de séjour sur son territoire dans le chef d’un ressortissant d’un autre État membre ainsi que l’absence de raisons justifiant une restriction à ce droit. Partant, l’utilisation d’un registre tel que l’AZR dans un but de soutien des autorités en charge de l’application de la réglementation sur le droit de séjour est, en principe, légitime et, vu sa nature, compatible avec l’interdiction de discrimination exercée en raison de la nationalité contenue à l’article 12, paragraphe 1, CE.

30 59. Il convient toutefois de relever qu’un tel registre ne peut contenir d’autres informations que celles qui sont nécessaires à cette fin. À cet égard, en l’état actuel du droit communautaire, le traitement des données à caractère personnel résultant des documents mentionnés aux articles 8, paragraphe 3, et 27, paragraphe 1, de la directive 2004/38 doit être considéré comme nécessaire, au sens de l’article 7, sous e), de la directive 95/46, à l’application de la réglementation sur le droit de séjour.

31 60 Par ailleurs, il convient de souligner que, si la collecte des données requises pour l’application de la réglementation sur le droit de séjour s’avérerait dépourvue d’efficacité à défaut de conservation de celles-ci, dans la mesure où un changement dans la situation personnelle du bénéficiaire d’un droit de séjour peut avoir des conséquences sur son statut au regard de ce droit, il appartient à l’autorité responsable d’un registre tel que l’AZR de veiller à ce que les données conservées soient, le cas échéant, actualisées, de sorte que, d’une part, elles correspondent à la situation effective des personnes concernées et, d’autre part, que les données superflues soient radiées dudit registre.

32 61. S’agissant des modalités d’utilisation d’un tel registre aux fins de l’application de la réglementation sur le droit de séjour, seul l’octroi d’un accès à des autorités ayant compétence en ce domaine peut être considéré comme nécessaire au sens de l’article 7, sous e), de la directive 95/46.

33 62. Enfin, en ce qui concerne la nécessité de disposer d’un registre centralisé tel que l’AZR pour les besoins des autorités en charge de l’application de la réglementation sur le droit de séjour, il y a lieu de considérer que, même à supposer que des registres décentralisés tels que les registres communaux de la population contiennent toutes les données pertinentes pour permettre auxdites autorités d’exercer leur mission, une centralisation de ces données peut s’avérer nécessaire au sens de l’article 7, sous e), de la directive 95/46 si elle contribue à une application plus efficace de cette réglementation en ce qui concerne le droit de séjour des citoyens de l’Union souhaitant séjourner sur le territoire d’un État membre dont ils ne sont pas ressortissants.

34 [...]

35 66. Il résulte de l’ensemble des considérations qui précèdent qu’un système de traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre concerné tel que celui mis en place par l’AZRG et ayant pour objectifle soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour ne répond à l’exigence de nécessité prévue à l’article 7, sous e), de la directive 95/46, interprété à la lumière de l’interdiction de toute discrimination exercée en raison de la nationalité, que :

36

• s’il contient uniquement les données nécessaires à l’application par lesdites autorités de cette réglementation, et
• si son caractère centralisé permet une application plus efficace de cette réglementation en ce qui concerne le droit de séjour des citoyens de l’Union non-ressortissants de cet État membre.

37 67. Il appartient à la juridiction de renvoi de vérifier ces éléments en l’espèce au principal.

38 68. En tout état de cause, ne sauraient être considérés comme nécessaires au sens de l’article 7, sous e), de la directive 95/46 la conservation et le traitement de données à caractère personnel nominatives dans le cadre d’un registre tel que l’AZR à des fins statistiques. »

CJUE, 1^er octobre 2015, Bara e.a. (aff. C-201/14)

39 Le litige en cause concernait des assujettis roumains au régime d’assurance maladie, qui s’étaient vu contraints au paiement d’arriérés de contributions sociales. Le montant de ces arriérés avait été calculé par les organismes sociaux sur la foi de données relatives à leurs revenus déclarés transmises par l’administration fiscale. Refusant de procéder au paiement exigé, les requérants faisaient notamment valoir que leurs données avaient été transmises et utilisées sur la base d’un simple protocole interne et non d’une loi, mais aussi à des fins autres que celles pour lesquelles elles avaient été initialement communiquées à l’administration fiscale, le tout sans leur consentement et sans leur information préalable. La cour juge ici que « les articles 10, 11 et 13 de la directive 95/46 doivent être interprétés en ce sens qu’ils s’opposent à des mesures nationales [...] qui permettent à une administration publique d’un État membre de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’aient été informées de cette transmission et de ce traitement ». Comme le note Sylvia Preuss-Laussinotte [1], si l’article 13 de la directive 95/46/CE prévoit des exceptions aux droits des personnes (sûreté de l’État, défense, sécurité publique notamment), la question du séjour des étrangers lié par exemple au fichier AGDREF (application de gestion des dossiers des ressortissants étrangers en France), avec accès direct des personnes à leurs informations, ne devrait pas entrer dans ce cadre.

40 « Sur le fond

41 [...]

42 32. S’agissant, en premier lieu, de l’article 10 de ladite directive, celui-ci prévoit que le responsable du traitement doit fournir à la personne auprès de laquelle il collecte des données la concernant les informations énumérées à cet article, sous a) à c), saufsi cette personne en est déjà informée. Ces informations concernent l’identité du responsable du traitement de ces données, les finalités de ce traitement ainsi que toute information supplémentaire nécessaire pour assurer un traitement loyal des données. Parmi les informations supplémentaires nécessaires pour assurer un traitement loyal des données, l’article 10, sous c), de la même directive mentionne expressément "les destinataires ou les catégories de destinataires des données" ainsi que "l’existence d’un droit d’accès aux données [...] concernant [ladite personne] et de rectification de ces données".

43 33. Ainsi que l’a relevé M. l’avocat général au point 74 de ses conclusions, cette exigence d’information des personnes concernées par le traitement de leurs données personnelles est d’autant plus importante qu’elle est une condition nécessaire à l’exercice par ces personnes de leur droit d’accès et de rectification des données traitées, défini à l’article 12 de la directive 95/46 et de leur droit d’opposition au traitement desdites données, visé à l’article 14 de cette directive.

44 34. Il s’ensuit que l’exigence de traitement loyal des données personnelles prévue à l’article 6 de la directive 95/46 oblige une administration publique à informer les personnes concernées de la transmission de ces données à une autre administration publique en vue de leur traitement par cette dernière en sa qualité de destinataire desdites données.

45 35. Il ressort des explications de la juridiction de renvoi que les requérants au principal n’ont pas été informés par l’ANAF de la transmission à la CNAS des données personnelles les concernant.

46 36. Le gouvernement roumain fait cependant valoir que l’ANAF est tenue, notamment en vertu de l’article 315 de la loi n° 95/2006, de transmettre aux caisses régionales d’assurance maladie les informations nécessaires à la détermination par la CNAS de la qualité d’assuré des personnes tirant des revenus d’activités indépendantes.

47 37. Certes, l’article 315 de la loi n° 95/2006 prévoit expressément que "les données nécessaires à l’établissement de la qualité d’assuré sont transmises gratuitement aux caisses d’assurance maladie par les autorités, les institutions publiques et d’autres institutions, sur la base d’un protocole". Toutefois, il ressort des explications fournies par la juridiction de renvoi que les données nécessaires à l’établissement de la qualité d’assuré, au sens de ladite disposition, n’incluent pas celles relatives aux revenus, la loi reconnaissant également la qualité d’assuré aux personnes sans revenus imposables.

48 38. Dans de telles conditions, l’article 315 de la loi n° 95/2006 ne saurait constituer, au sens de l’article 10 de la directive 95/46, une information préalable permettant de dispenser le responsable du traitement de son obligation d’informer les personnes auprès desquelles il collecte les données relatives à leurs revenus des destinataires de ces données. Dès lors, il ne saurait être considéré que la transmission en cause a été effectuée dans le respect des dispositions de l’article 10 de la directive 95/46.

49 39. Il convient d’examiner si cette absence d’information des personnes concernées est susceptible de relever de l’article 13 de ladite directive. Il ressort en effet du paragraphe 1, sous e) et f), de cet article 13 que les États membres peuvent limiter la portée des obligations et des droits prévus à l’article 10 de la même directive lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder "un intérêt économique ou financier important d’un État membre [...] y compris dans les domaines monétaire, budgétaire et fiscal" ainsi qu’"une mission de contrôle, d’inspection ou de réglementation relevant, même à titre occasionnel, de l’exercice de l’autorité publique, dans les cas visés aux points c), d) et e)". Toutefois, ledit article 13 exige expressément que de telles limitations soient prises au moyen de mesures législatives.

50 40. Or, outre la circonstance, relevée par la juridiction de renvoi, selon laquelle les données relatives aux revenus ne font pas partie des données personnelles nécessaires à l’établissement de la qualité d’assuré, il y a lieu de souligner que l’article 315 de la loi n° 95/2006 ne fait qu’envisager, en son principe, la transmission de ces dernières données personnelles détenues par des autorités, des institutions publiques et d’autres institutions. Il ressort également de la décision de renvoi que la définition des informations transmissibles ainsi que les modalités de mise en œuvre de la transmission de ces informations ont été élaborées au moyen non pas d’une mesure législative, mais du protocole de 2007 conclu entre l’ANAF et la CNAS, lequel n’aurait pas fait l’objet d’une publication officielle.

51 41. Dans de telles circonstances, il ne saurait être considéré que les conditions posées à l’article 13 de la directive 95/46 pour qu’un État membre puisse déroger aux droits et aux obligations qui découlent de l’article 10 de cette directive sont réunies.

52 42. S’agissant, en second lieu, de l’article 11 de ladite directive, celui-ci prévoit, à son paragraphe 1, que le responsable du traitement de données qui n’ont pas été collectées auprès de la personne concernée doit fournir à cette dernière les informations énumérées sous a) à c). Ces informations concernent l’identité du responsable du traitement, les finalités du traitement ainsi que toutes les informations supplémentaires nécessaires pour assurer un traitement loyal des données. Parmi ces informations supplémentaires, l’article 11, paragraphe 1, sous c), de la même directive mentionne expressément "les catégories de données concernées" ainsi que "l’existence d’un droit d’accès aux données la concernant et de rectification de ces données".

53 43. Il s’ensuit que, conformément à l’article 11, paragraphe 1, sous b) et c), de la directive 95/46, dans les circonstances de l’affaire au principal, le traitement par la CNAS des données transmises par l’ANAF impliquait que les personnes concernées par ces données fussent informées des finalités de ce traitement ainsi que des catégories de données concernées.

54 […]

55 Au vu des constatations qui précèdent, il y a lieu de répondre à la question posée que les articles 10, 11 et 13 de la directive 95/46 doivent être interprétés en ce sens qu’ils s’opposent à des mesures nationales, telles que celles en cause au principal, qui permettent à une administration publique d’un État membre de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’aient été informées de cette transmission ou de ce traitement. »