L'indépendance : une garantie essentielle au fonctionnement des autorités nationales de protection des données personnelles

> Publications > Actualité | Publié vendredi 26 mars 2010 à 14h00

La Cour de justice de l'Union européenne a jugé qu'il est contraire au droit communautaire de soumettre les autorités de protection des données personnelles à une tutelle de l'Etat

Par arrêt du 9 mars 2010[1], la grande chambre de la Cour de justice a condamné la République fédérale d'Allemagne, pour le manque d'indépendance des autorités de protection des données personnelles en charge du secteur non public dans les Länder[2].

Plus précisément, elle a considéré que le système de tutelle de l'Etat auquel ces autorités sont soumises, constitue une violation de l'article 28, paragraphe 1, second alinéa de la directive 95/46/CE[3], en vertu duquel les autorités de protection des données « exercent en toute indépendance les missions dont elles sont investies ».

Etait au coeur du litige entre les parties, l'exigence d'indépendance formulée par cette disposition.

La Commission européenne qui avait saisi la Cour, prônait une interprétation large de celle-ci.« Une autorité de contrôle doit », considère-t-elle, « être soustraite à toute influence, que cette dernière soit exercée par d'autres autorités ou en dehors du cadre de l'administration »[4]. Cette position était également défendue par le Contrôleur européen de la protection des données qui s'est joint à la cause[5].

La République fédérale d'Allemagne, quant à elle, estimait que l'exigence d'indépendance s'applique uniquement au rapport entre les autorités de contrôle et les entités contrôlées. Or, affirmait-elle, « la tutelle de l'État exercée dans les Länder allemands constitue non pas une telle influence extérieure, mais un mécanisme de surveillance interne à l'administration, mis en oeuvre par des autorités relevant du même appareil administratif que les autorités de contrôle et tenues, tout comme ces dernières, de remplir les objectifs de la directive 95/46 »[6].

La Cour de justice a rejeté l'argumentation de l'Allemagne et, a interprété la notion d'indépendance en ce sens que « les autorités de contrôle compétentes pour la surveillance du traitement des données à caractère personnel dans le secteur non public doivent jouir d'une indépendance qui leur permette d'exercer leurs missions sans influence extérieure. Cette indépendance exclut non seulement toute influence exercée par les organismes contrôlés, mais aussi toute injonction et toute autre influence extérieure, que cette dernière soit directe ou indirecte, qui pourraient remettre en cause l'accomplissement, par lesdites autorités, de leur tâche consistant à établir un juste équilibre entre la protection du droit à la vie privée et la libre circulation des données à caractère personnel»[7].

La Cour motive son interprétation de la manière suivante. Tout d'abord, elle se réfère au sens que la notion d'indépendance revêt habituellement, lorsqu'elle a trait à des organes publics, soit « un statut qui assure à l'organe concerné la possibilité d'agir en toute liberté, à l'abri de toute instruction et de toute pression »[8]; puis, se penchant sur le libellé de l'article 28, elle relève que « la notion d'«indépendance» est renforcée par l'adjectif «toute», ce qui implique un pouvoir décisionnel soustrait à toute influence extérieure à l'autorité de contrôle, qu'elle soit directe ou indirecte »[9].

La Cour poursuit son analyse, en rappelant les objectifs poursuivis la directive 95/46 CE, à savoir : concilier la réalisation du marché intérieur avec la protection de la vie privée.

D'un côté, la libre circulation des données personnelles entre les Etats membres est indispensable à la mise en place du marché intérieur ; de l'autre, elle est susceptible de porter atteinte à la vie privée, telle que consacrée par l'article 8 de la Convention européenne des Droits de l'Homme et les principes généraux du droit communautaire[10].

Le législateur communautaire entend rencontrer ces exigences, en harmonisant le niveau de protection des droits et libertés des personnes à l'égard du traitement de leurs données, ainsi qu'en assurant un niveau élevé de protection dans la Communauté[11].

La Cour souligne alors l'importance du rôle des autorités de contrôle dans la réalisation de ces objectifs, en déclarant qu'elles sont « les gardiennes des droits et libertés fondamentaux » et que « leur institution, dans les États membres, est considérée, ainsi que le relève le soixante-deuxième considérant de cette directive, comme un élément essentiel de la protection des personnes à l'égard du traitement des données à caractère personnel »[12].

Comment l'indépendance de la Commission de la protection de la vie privée est-elle assurée en droit belge?

Le principe d'indépendance trouve application à travers plusieurs dispositions de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel[13].

Ainsi, l'article 24, § 4, de cette loi donne compétence à la Chambre des représentants pour relever les membres de la Commission de la protection de la vie privée de leurs charges, « en cas de manquement à leurs devoirs ou d'atteinte à la dignité de leur fonction ».

Les membres de la Commission, peut-on lire ensuite, doivent « offrir toutes les garanties leur permettant d'exercer leur mission avec indépendance et être parfaitement compétents dans le domaine de la protection des données ».

En outre, conformément au paragraphe 6 de cette disposition, « le président et les membres ne reçoivent d'instructions de personne. Ils ne peuvent être relevés de leur charge en raison des opinions qu'ils émettent ou des actes qu'ils accomplissent pour remplir leurs fonctions ».

« Il est interdit aux membres de la Commission », poursuit le paragraphe suivant, « d'être présents lors de la délibération sur les objets pour lesquels ils ont un intérêt personnel ou pour lesquels leurs parents ou alliés jusqu'au quatrième degré ont un intérêt personnel ».

S'agissant particulièrement du Président de la Commission, l'article 26 de la loi du prévoit encore que « pendant la durée de son mandat, il ne peut exercer aucune autre activité professionnelle. La Chambre qui l'a nommé peut accorder des dérogations à cette incompatibilité a condition qu'elle n'empêche pas l'intéressé d'accomplir convenablement sa mission ».

« Avant leur entrée en fonction », prescrit de surcroît l'article 27 de la loi 8 décembre 1992, « le président, le vice-président, les autres membres effectifs et les membres suppléants prêtent entre les mains du président de la Chambre des représentants le serment suivant : "Je jure de remplir en toute conscience et impartialité les devoirs de ma charge" ».

Notes

[1] C.J.U.E, 9 mars 2010, Commission et Contrôleur européen de la protection des données c./ République fédérale d'Allemagne (affaire C-518/07);

[2] A la différence de la Belgique où la Commission de la protection de la vie privée se présente comme autorité de contrôle unique, le législateur allemand a opté pour un système plus complexe.

En effet, comme le relève la Cour, « le traitement des données à caractère personnel réalisé par les organismes publics est surveillé, au niveau fédéral, par le Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (délégué fédéral pour la protection des données et la liberté de l'information) et, au niveau des Länder, par les Landesdatenschutzbeauftragte (délégués pour la protection des données des Länder). Tous ces délégués sont uniquement responsables devant leur parlement respectif et ne sont normalement soumis à aucune tutelle, instruction ou autre influence de la part des organismes publics qui sont placés sous leur contrôle.

En revanche, la structure des autorités chargées de surveiller le traitement desdites données par le secteur non public varie d'un Land à l'autre. Toutefois, les lois des Länder ont pour caractéristique commune de soumettre expressément ces autorités de contrôle à une tutelle exercée par l'État » (§§9 et 10 de l'arrêt).

[3] Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

[4] Cette saisine était fondée sur l'article 226 du Traité instituant la Communauté européenne (devenu l'article 258 du Traité sur le fonctionnement de l'Union européenne), suivant lequel : « si la Commission estime qu'un État membre a manqué à une des obligations qui lui incombent en vertu du présent traité, elle émet un avis motivé à ce sujet, après avoir mis cet État en mesure de présenter ses observations. Si l'État en cause ne se conforme pas à cet avis dans le délai déterminé par la Commission, celle-ci peut saisir la Cour de justice ».

[5] Arrêt commenté, §15 ;

[6] Ibid., §16

[7] Ibid., §30 ;

[8] Ibid., §18 ;

[9] Ibid., §19 ;

[10] Directive 95/46 CE, considérant 10 ; voir arrêt, §§ 20 et 21 ;

[11] Directive 95/56 CE, considérants 8 et 10 ;

[12] Arrêt, §23 ;

[13] Cette loi a été modifiée par la loi du 11 décembre 1998 transposant la directive 95/46 CE en droit belge, ainsi que par la loi du 26 février 2003.

Me contacter

Rue des Pères blancs, 4
1040 Bruxelles

Tel: +32 2 880 77 11
Fax: +32 2 880 77 12

c.goblet@lexconsult.pro

icone vcard Vcard á télécharger