Est-ce qu’une commission, mise en place par le Parlement, pour enquêter sur des questions touchant à la sécurité nationale, est soumise au contrôle du respect du RGPD par l’autorité compétente en matière de protection des données ?
Que nous enseigne l’arrêt de la Cour de justice de l’Union européenne, rendu le 16 janvier 2024 ? (affaire C-33/22 | Österreichische Datenschutzbehörde).
Rappel des faits
Quel était le contexte ?
La chambre des députés du Parlement autrichien a constitué une commission d’enquête chargée de faire la lumière sur l’existence d’une éventuelle influence politique sur l’Office fédéral autrichien pour la protection de la Constitution et la lutte contre le terrorisme (Bundesamt für Verfassungsschutz und Terrorismusbekämpfung, ci-après le « BVT »).
Un agent de la police criminelle a été entendu, en qualité de témoin, par la commission d’enquête du Parlement autrichien, au sujet de perquisitions menées, notamment, dans les locaux du BVT. Le compte-rendu de l’audition, publié sur le site Internet du Parlement autrichien, contenait les nom et prénom de l’intéressé, en dépit de sa demande d’anonymisation.
Estimant que son droit à la confidentialité des données à caractère personnel n’avait pas été respecté, l’intéressé a saisi l’autorité autrichienne de la protection des données (Datenschutzbehörde). Cette dernière a décliné sa compétence, estimant qu’en raison du principe de la séparation des pouvoirs consacré en droit autrichien, son pouvoir de contrôle se heurtait en l’espèce à l’indépendance constitutionnelle des organes du Parlement.
Insatisfait de cette réponse, le témoin a saisi les juridictions autrichiennes, qui ont interrogé la Cour de justice de l’Union européenne (CJUE) à ce sujet.
Décision de la CJUE
La Cour a considéré que le simple fait d’être exercée par une commission d’enquête parlementaire n’était pas un critère suffisant pour écarter une activité du champ d’application du Règlement général sur la protection des données (RGPD).
Elle a rappelé que, toutefois, la sécurité nationale peut justifier une limitation des droits et obligations institués par le RGPD.
Par ailleurs, lorsqu’un Etat membre a instauré une seule autorité de contrôle pour l’application du RGPD, comme cela est le cas en Autriche, celle-ci est également compétente pour contrôler le respect du RGPD par une commission d’enquête parlementaire, sans que cela ne porte atteinte au principe de séparation des pouvoirs.
Rappel des règles d’applicabilité du RGPD
Le champ d’application du droit de l’Union
La première question préjudicielle soumise à la Cour était la suivante :
Les travaux d’une commission d’enquête mise en place par un Parlement d’un État membre dans l’exercice de son droit de contrôle du pouvoir exécutif relèvent‑ils, indépendamment de l’objet de l’enquête, du champ d’application du droit de l’Union au sens de l’article 16, paragraphe du Traité sur le fonctionnement de l’Union européenne (TFUE), de sorte que le RGPD s’applique au traitement de données à caractère personnel par une commission d’enquête parlementaire d’un État membre ?
La CJUE a rappelé que l’article 2, paragraphe 2, a) du RGPD prévoit que ce règlement « ne s’applique pas au traitement de données à caractère personnel effectué dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ». Toutefois, la CJUE précise que cette disposition a pour seul objet d’exclure de son champ d’application les traitements opérés par les autorités étatiques dans le cadre d’une activité qui vise à préserver la sécurité nationale.
L’avocat général, dans ses conclusions présentées le 11 mai 2023, estimait que :
« En l’absence de toute disposition du RGPD qui viserait spécifiquement les organes parlementaires, il s’ensuit, […], que c’est non pas le statut des organes du Parlement en droit autrichien, mais la nature de leurs activités qui doit déterminer la possibilité d’appliquer ce règlement. »
Aussi, la CJUE a estimé que le seul fait qu’une activité soit assurée par l’État ou une autorité publique n’était pas suffisant pour écarter automatiquement l’application du RGPD à une telle activité.
La Cour considère que l’article 4 point 7 du RGPD confirme cette interprétation en ce qu’il ne fait pas de distinction en fonction de l’identité de l’auteur du traitement concerné.
L’exception en raison de la sécurité nationale
Par sa deuxième question, la juridiction de renvoi demandait si les activités de la commission d’enquête au principal relevaient de l’exception prévue à l’article 2, paragraphe 2, a) du RGPD, lu à la lumière du considérant 16 de ce règlement, compte tenu de l’objet particulier de ses travaux, lié aux enjeux de la sécurité nationale.
L’avocat général considère, dans ses conclusions, que ce n’est pas le cas, car « au regard du champ d’application large du RGPD, l’exception couvrant les activités relatives à la sécurité nationale devrait être d’interprétation stricte. […] Seules les activités qui ont pour objet immédiat la sécurité nationale relèvent de cette exception. Tel n’est manifestement pas le cas des activités de la commission d’enquête au principal, qui a été investie d’une mission de contrôle à l’égard des organes du gouvernement fédéral.
Certes, dans la mesure où le contrôle en question porte sur le fonctionnement du BVT, dont la mission consiste à assurer l’intégrité et la continuité des institutions étatiques, l’activité de cette commission a pu contribuer indirectement à la sauvegarde de la sécurité nationale.
Une telle contribution n’altère cependant pas la nature des activités confiées à une commission d’enquête et ne saurait conduire à les soustraire aux dispositions du RGPD. Si la solution contraire devait prévaloir, on pourrait se demander si une agence de publicité, engagée par le ministère de la Défense en vue de promouvoir les métiers de l’armée, ne devrait pas y échapper au même titre. »
Dans cette affaire, la CJUE a estimé que : « Le contrôle politique effectué par la commission d’enquête BVT ne semble pas constituer, en tant que tel, une activité visant à préserver la sécurité nationale ou relevant de la même catégorie. Dès lors, sous réserve de vérification par la juridiction de renvoi, cette activité n’échappe pas au champ d’application du RGPD ».
Il est à noter que l’article 23 du RGPD prévoit que les limitations aux droits et obligations du RGPD soient fixées par la loi. Or, aucun élément de l’enquête n’indique que la divulgation des données à caractère personnel de la personne concernée ait été fondée sur une mesure législative nationale.
La compétence de l’autorité de contrôle
L’article 51, paragraphe 1 du RGPD fixe l’étendue des compétences des autorités de contrôle chargées de surveiller l’application du RGPD. Il laisse néanmoins la liberté aux Etats membres de choisir le nombre d’autorité de contrôle qu’il souhaite instituer.
La CJUE considère que « si le RGPD, conformément à son article 51, paragraphe 1, reconnaît une marge d’appréciation aux États membres quant au nombre d’autorités de contrôle à instituer, il fixe en revanche l’étendue de la compétence dont ces autorités, indépendamment de leur nombre, doivent être dotées pour surveiller l’application de ce règlement.
[…] Dans le cas où un État membre fait le choix d’instituer une seule autorité de contrôle, celle-ci est nécessairement dotée de l’intégralité des compétences que le RGPD confère aux autorités de contrôle. »
La CJUE en tire la conclusion suivante : « Dès lors qu’un État membre a choisi d’instaurer une seule autorité de contrôle, il ne saurait invoquer des dispositions de droit national, fussent-elles d’ordre constitutionnel, afin de soustraire des traitements de données à caractère personnel qui relèvent du champ d’application du RGPD à la surveillance de cette autorité ».
Cette interprétation s’inscrit notamment dans la continuité de l’Arrêt du 22 février 2022, RS (Effet des arrêts d’une cour constitutionnelle ; C‑430/21, EU:C:2022:99, point 51).
Cet arrêt est l’occasion, pour la Cour de justice de rappeler que « le fait pour un État membre d’invoquer des dispositions de droit national ne saurait porter atteinte à l’unité et à l’efficacité du droit de l’Union. En effet, les effets s’attachant au principe de primauté du droit de l’Union s’imposent à l’ensemble des organes d’un État membre, sans, notamment, que les dispositions internes, y compris d’ordre constitutionnel, puissent y faire obstacle ».
In fine, la CJUE considère que lorsqu’un État membre a fait le choix d’instituer une seule autorité de contrôle, sans toutefois lui attribuer expressément la compétence pour surveiller l’application du RGPD par une commission d’enquête – mise en place par le parlement de cet État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif-, l’article 77, paragraphe 1 et l’article 55, paragraphe 1, du RGPD confèrent à cette autorité la compétence pour connaître des réclamations relatives à des traitements de données à caractère personnel effectués par ladite commission d’enquête.
Mathias Avocats vous accompagne dans le cadre de votre mise en conformité et de la gestion de vos risques. Contactez-nous !
Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !