Language of document : ECLI:EU:C:2012:631

ARRÊT DE LA COUR (grande chambre)

16 octobre 2012 (*)

«Manquement d’État – Directive 95/46/CE – Traitement des données à caractère personnel et libre circulation de ces données – Protection des personnes physiques – Article 28, paragraphe 1 – Autorité nationale de contrôle – Indépendance – Autorité de contrôle et chancellerie fédérale – Liens personnels et organisationnels»

Dans l’affaire C‑614/10,

ayant pour objet un recours en manquement au titre de l’article 258 TFUE, introduit le 22 décembre 2010,

Commission européenne, représentée par MM. B. Martenczuk et B.-R. Killmann, en qualité d’agents, ayant élu domicile à Luxembourg,

partie requérante,

soutenue par:

Contrôleur européen de la protection des données (CEPD), représenté par M. H. Kranenborg, Mme I. Chatelier et M. H. Hijmans, en qualité d’agents,

partie intervenante,

contre

République d’Autriche, représentée par M. G. Hesse, en qualité d’agent, ayant élu domicile à Luxembourg,

partie défenderesse,

soutenue par:

République fédérale d’Allemagne, représentée par MM. T. Henze et J. Möller, en qualité d’agents,

partie intervenante,

LA COUR (grande chambre),

composée de M. V. Skouris, président, K. Lenaerts (rapporteur), vice-président, MM. A. Tizzano, M. Ilešič, G. Arestis, Mme M. Berger, M. E. Jarašiūnas, présidents de chambre, MM. E. Juhász, A. Borg Barthet, J.-C. Bonichot, M. Safjan, D. Šváby et Mme A. Prechal, juges,

avocat général: M. J. Mazák,

greffier: M. K. Malacek, administrateur,

vu la procédure écrite et à la suite de l’audience du 25 avril 2012,

ayant entendu l’avocat général en ses conclusions à l’audience du 3 juillet 2012,

rend le présent

Arrêt

1        Par sa requête, la Commission européenne demande à la Cour de constater que, en ne prenant pas toutes les dispositions nécessaires pour que la législation en vigueur en Autriche satisfasse au critère d’indépendance concernant la Datenschutzkommission (commission de protection des données, ci-après la «DSK»), instituée en tant qu’autorité de contrôle de la protection des données à caractère personnel, la République d’Autriche a manqué aux obligations qui lui incombent en vertu de l’article 28, paragraphe 1, second alinéa, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31).

 Le cadre juridique

 Le droit de l’Union

2        L’article 28, paragraphe 1, de la directive 95/46, intitulé «Autorité de contrôle», dispose:

«Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

Ces autorités exercent en toute indépendance les missions dont elles sont investies.»

3        Le règlement (CE) no 45/2001 du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO 2001, L 8, p. 1), instaure, à son chapitre V, une autorité de contrôle indépendante, à savoir le Contrôleur européen de la protection des données (CEPD).

4        L’article 43 du règlement no 45/2001, qui régit le statut et les conditions générales d’exercice des fonctions du CEPD, dispose, à son paragraphe 3:

«Le budget du [CEPD] figure sur une ligne spécifique de la section VIII du budget général de l’Union européenne.»

 Le droit autrichien

 La loi constitutionnelle fédérale

5        L’article 20, paragraphe 2, de la loi constitutionnelle fédérale (Bundes-Verfassungsgesetz, ci-après le «BVG»), dans sa version modifiée du 1er janvier 2008, est libellé comme suit:

«La loi peut exempter de l’obligation de respecter les instructions d’organes supérieurs, les organes

[…]

2.      contrôlant le respect des lois en vigueur par l’administration et la passation des marchés publics,

3.      statuant en dernier ressort, lorsqu’ils sont organisés d’une manière collégiale, comptent au moins un juge et que leurs décisions ne peuvent faire l’objet ni d’une annulation ni d’une modification administratives,

[…]

8.      dans la mesure où le droit de l’Union européenne l’exige.

La loi constitutionnelle d’un Land peut créer d’autres organes autonomes. La loi prévoit un droit de surveillance approprié de la mission de l’organe autonome par les organes supérieurs, à tout le moins le droit de s’informer de tous les aspects de la gestion des organes autonomes, et – dans la mesure où il ne s’agit pas d’organes visés aux points 2, 3 et 8 – le droit de révoquer des organes autonomes pour motif grave.»

 La loi de 1979 relative au statut des fonctionnaires

6        L’article 45, paragraphe 1, de la loi de 1979 relative au statut des fonctionnaires (Beamten‑Dienstrechtsgesetz 1979, ci-après le «BDG 1979») dispose:

«Le supérieur hiérarchique veille à ce que ses collaborateurs s’acquittent des tâches qui leur incombent dans le respect des lois et d’une manière efficace et économe. Il guide ses collaborateurs dans l’exercice de leurs fonctions, leur donne au besoin des instructions, remédie aux éventuelles fautes et carences, et veille au respect du temps de travail. Il favorise l’avancement de ses collaborateurs en fonction de leurs performances et les oriente vers les tâches correspondant le plus à leurs capacités.»

 La loi de 2000 sur la protection des données

7        La loi de 2000 sur la protection des données (Datenschutzgesetz 2000, ci-après le «DSG 2000») vise à transposer la directive 95/46 en droit autrichien.

8        Conformément à l’article 36, paragraphe 1, du DSG 2000, la DSK est composée de six membres qui sont désignés par le président fédéral, sur proposition du gouvernement fédéral, pour un mandat de cinq ans.

9        En vertu de l’article 36, paragraphe 2, du DSG 2000, cinq membres de la DSK sont proposés par les autorités représentant légalement des intérêts professionnels, par les Länder autrichiens et par le président de l’Oberster Gerichtshof. Selon l’article 36, paragraphe 3, du DSG 2000, le sixième membre «est proposé parmi les fonctionnaires fédéraux juristes».

10      Étant conçue comme une activité à temps partiel, la fonction de membre de la DSK est, conformément à l’article 36, paragraphe 3 bis, du DSG 2000, exercée parallèlement à d’autres activités professionnelles.

11      En vertu de l’article 37, paragraphe 1, du DSG 2000, les membres de la DSK «sont indépendants et ne sont liés par aucune instruction dans l’exercice de leur fonction». L’article 37, paragraphe 2, du DSG 2000 dispose que les agents du bureau de la DSK «ne sont soumis qu’aux instructions techniques du président ou du membre administrateur de la [DSK]».

12      L’article 38, paragraphe 1, du DSG 2000 dispose que la DSK adopte un règlement intérieur confiant la gestion des affaires courantes à l’un de ses membres, le «membre administrateur».

13      L’article 38, paragraphe 2, du DSG 2000 dispose:

«À l’appui de la gestion de la [DSK], le chancelier fédéral crée un bureau et met à sa disposition l’équipement et le personnel nécessaires. Il a le droit de s’informer à tout moment, auprès du président et du membre administrateur, de tous les aspects de la gestion de la [DSK]».

 Le règlement intérieur de la DSK

14      L’article 4, paragraphe 1, du règlement intérieur de la DSK dispose que le fonctionnaire fédéral désigné conformément à l’article 36, paragraphe 3, du DSG 2000 exerce la fonction de membre administrateur.

15      L’article 7, paragraphe 1, de ce règlement intérieur prévoit que, sans préjudice de la tutelle de service exercée par la chancellerie fédérale, les agents du bureau ne reçoivent des instructions que du président ou du membre administrateur de la DSK.

 La procédure précontentieuse

16      Le 5 juillet 2005, la Commission a adressé une lettre de mise en demeure à la République d’Autriche dans laquelle elle faisait valoir que l’organisation, en droit et en fait, de la DSK ne satisfaisait pas au critère d’indépendance exigé à l’article 28, paragraphe 1, second alinéa, de la directive 95/46.

17      Par lettre du 2 novembre 2005, la République d’Autriche a transmis à la Commission ses observations en réponse, affirmant que la DSK répondait aux exigences de ladite directive.

18      Le 8 janvier 2008, la Commission a adressé une nouvelle lettre de mise en demeure à la République d’Autriche, l’invitant à lui fournir de plus amples informations sur les conséquences pour la DSK de l’entrée en vigueur de la modification du BVG du 1er janvier 2008.

19      Dans ses observations complémentaires des 9 janvier et 7 mars 2008, la République d’Autriche a expliqué que la version modifiée de l’article 20, paragraphe 2, du BVG n’avait aucune incidence sur l’indépendance de la DSK.

20      La Commission a ensuite adressé, le 9 octobre 2009, un avis motivé à la République d’Autriche, réitérant les griefs précédemment formulés.

21      L’argumentation développée par la République d’Autriche dans sa lettre du 9 décembre 2009 en réponse à l’avis motivé n’ayant pas emporté la conviction de la Commission, celle-ci a introduit le présent recours.

22      Par ordonnance du président de la Cour du 18 mai 2011, la République fédérale d’Allemagne a été admise à intervenir au soutien des conclusions de la République d’Autriche.

23      Par ordonnance du président de la Cour du 7 juillet 2011, le CEPD a été admis à intervenir au soutien des conclusions de la Commission.

24      Par lettre du 25 novembre 2011, la République d’Autriche a demandé, sur le fondement de l’article 44, paragraphe 3, deuxième alinéa, du règlement de procédure de la Cour que l’affaire soit tranchée en grande chambre.

 Sur le recours

 Argumentation des parties

25      La Commission et le CEPD font valoir que la République d’Autriche a transposé de façon erronée l’article 28, paragraphe 1, second alinéa, de la directive 95/46 en ce que la réglementation nationale en vigueur ne permet pas à la DSK d’exercer ses missions «en toute indépendance» au sens de ladite disposition. Ils se réfèrent à cet effet, premièrement, au fait que, selon la réglementation en vigueur, le membre administrateur de la DSK doit toujours être un fonctionnaire de la chancellerie fédérale. Toutes les affaires courantes de la DSK seraient ainsi de facto gérées par un fonctionnaire fédéral, qui resterait lié par les instructions de son employeur et soumis à la tutelle de service prévue à l’article 45, paragraphe 1, du BDG 1979. L’article 37, paragraphe 1, du DSG 2000 ne prévoirait qu’une simple autonomie fonctionnelle de l’autorité de contrôle.

26      Deuxièmement, la Commission et le CEPD relèvent que le bureau de la DSK est structurellement intégré aux services de la chancellerie fédérale. Du fait de cette intégration, la DSK ne serait indépendante ni sur le plan organique ni sur le plan matériel. En effet, tous les agents du bureau de la DSK seraient, ainsi qu’il ressortirait de l’article 38, paragraphe 2, du DSG 2000 et de l’article 7, paragraphe 1, du règlement intérieur, placés sous l’autorité de la chancellerie fédérale et seraient ainsi soumis à la tutelle de service de celle-ci.

27      Troisièmement, la Commission et le CEPD se réfèrent au droit à l’information du chancelier fédéral résultant de l’article 20, paragraphe 2, du BVG et de l’article 38, paragraphe 2, du DSG 2000.

28      La République d’Autriche et la République fédérale d’Allemagne concluent au rejet du recours.

29      Ils soulignent que la DSK est une «autorité collégiale ayant des fonctions juridictionnelles» au sens du BVG. Un tel organisme constituerait une juridiction indépendante au sens de l’article 267 TFUE ainsi que de l’article 6, paragraphe 1, de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950, qui satisferait ainsi également à la condition d’indépendance de l’article 28, paragraphe 1, second alinéa, de la directive 95/46.

30      Selon la République d’Autriche, l’article 28, paragraphe 1, second alinéa, de la directive 95/46 se réfère à une indépendance fonctionnelle. La DSK disposerait d’une telle indépendance, dès lors que, conformément à l’article 37, paragraphe 1, du DSG 2000, ses membres sont indépendants et ne sont liés par aucune instruction dans l’exercice de leur fonction.

31      Aucune des caractéristiques mises en avant par la Commission ne serait susceptible de mettre en cause l’indépendance de la DSK au sens de l’article 28, paragraphe 1, second alinéa, de la directive 95/46.

32      Premièrement, le membre administrateur ne serait pas nécessairement un fonctionnaire de la chancellerie fédérale. Il serait, conformément à l’article 4, paragraphe 1, du règlement intérieur et à l’article 36, paragraphe 3, du DSG 2000, proposé parmi les fonctionnaires fédéraux juristes. Par ailleurs, la DSK pourrait elle‑même décider de nommer librement son membre administrateur en modifiant de manière autonome son règlement intérieur. Le fait que le membre administrateur, à l’instar de tout autre fonctionnaire, dépendrait, pour son avancement, de la décision de son supérieur hiérarchique et, en dernier ressort, d’un ministre, n’affecterait pas son indépendance.

33      Deuxièmement, quant à l’intégration du bureau de la DSK aux services de la chancellerie fédérale, la République d’Autriche fait valoir que tout organe de l’administration fédérale relève, du point de vue du droit budgétaire, d’un département ministériel. Il appartiendrait, en effet, au gouvernement, en collaboration avec le Parlement, de faire en sorte que les différents organes d’exécution disposent de moyens matériels et personnels suffisants. Par ailleurs, le bureau s’occuperait exclusivement de la gestion des programmes d’action de la DSK. Les agents du bureau se conformeraient aux instructions du président et du membre administrateur de la DSK. Le fait que les agents du bureau seraient juridiquement rattachés à la chancellerie fédérale, tant du point de vue hiérarchique que du point de vue de leur rémunération, n’affecterait pas leur indépendance. La tutelle de service, au sens d’un contrôle disciplinaire, représenterait une garantie du bon fonctionnement de la DSK.

34      Troisièmement, s’agissant du «droit à l’information» du chancelier fédéral, la République d’Autriche rappelle que ce droit vise à garantir un certain rattachement démocratique des organes autonomes au Parlement. Il ne permettrait d’exercer aucune influence sur la gestion de la DSK. Par ailleurs, un droit à l’information ne serait pas non plus contraire aux exigences d’indépendance s’appliquant à un tribunal.

35      Dans son mémoire en intervention, la République fédérale d’Allemagne ajoute qu’une tutelle de service restreinte est conforme aux prescriptions de l’article 28, paragraphe 1, second alinéa, de la directive 95/46. La tutelle de service restreinte garantirait seulement que la personne sur laquelle la tutelle est exercée agit de manière conforme à ses obligations. Elle ne porterait en revanche pas atteinte à son indépendance matérielle et personnelle, et ne permettrait pas, en particulier, de l’influencer sur le fond. La jurisprudence constitutionnelle allemande reconnaîtrait la compatibilité d’une tutelle de service restreinte à l’égard des juges avec le principe de l’indépendance de ces derniers.

 Appréciation de la Cour

36      L’article 28, paragraphe 1, second alinéa, de la directive 95/46 impose aux États membres d’instituer une ou plusieurs autorités de contrôle de la protection des données à caractère personnel qui exercent en toute indépendance les missions dont elles sont investies. L’exigence de contrôle par une autorité indépendante du respect des règles de l’Union relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel résulte également du droit primaire de l’Union, notamment de l’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union européenne et de l’article 16, paragraphe 2, TFUE.

37      L’institution, dans les États membres, d’autorités de contrôle indépendantes constitue ainsi un élément essentiel du respect de la protection des personnes à l’égard du traitement des données à caractère personnel (arrêt du 9 mars 2010, Commission/Allemagne, C‑518/07, Rec. p. I‑1885, point 23).

38      Afin d’apprécier le bien-fondé du présent recours, il y a lieu d’examiner si, comme le soutient la Commission, la réglementation en vigueur en Autriche ne permet pas à la DSK d’exercer ses missions «en toute indépendance» au sens de l’article 28, paragraphe 1, second alinéa, de la directive 95/46.

39      À cet égard, il convient de rejeter d’emblée l’argumentation de la République d’Autriche et de la République fédérale d’Allemagne selon laquelle la DSK bénéficierait du degré d’indépendance requis par l’article 28, paragraphe 1, second alinéa, de la directive 95/46 dès lors qu’elle satisferait à la condition d’indépendance inhérente à l’article 267 TFUE pour pouvoir être qualifiée de juridiction d’un État membre.

40      Il ressort, en effet, de l’arrêt Commission/Allemagne, précité, que l’expression «en toute indépendance» figurant à l’article 28, paragraphe 1, second alinéa, de la directive 95/46 doit recevoir une interprétation autonome et, partant, indépendante de l’article 267 TFUE, basée sur le libellé même de cette disposition de la directive 95/46 ainsi que sur les objectifs et l’économie de cette dernière (voir arrêt Commission/Allemagne, précité, points 17 et 29).

41      La Cour a déjà jugé dans son arrêt Commission/Allemagne, précité (point 30), que les termes «en toute indépendance» de l’article 28, paragraphe 1, second alinéa, de la directive 95/46 devaient être interprétés en ce sens que les autorités de contrôle de la protection des données à caractère personnel doivent jouir d’une indépendance qui leur permette d’exercer leurs missions sans influence extérieure. La Cour a précisé dans ce même arrêt que lesdites autorités doivent être à l’abri de toute influence extérieure, qu’elle soit directe ou indirecte, qui serait susceptible d’orienter leurs décisions (voir, en ce sens, arrêt Commission/Allemagne, précité, points 19, 25, 30 et 50).

42      La circonstance que la DSK bénéficie d’une indépendance fonctionnelle en ce que, conformément à l’article 37, paragraphe 1, du DSG 2000, ses membres «sont indépendants et ne sont liés par aucune instruction dans l’exercice de leur fonction» est certes une condition nécessaire pour que cette autorité puisse satisfaire au critère d’indépendance au sens de l’article 28, paragraphe 1, second alinéa, de la directive 95/46. Toutefois, contrairement à ce que soutient la République d’Autriche, une telle indépendance fonctionnelle ne suffit pas, à elle seule, à préserver ladite autorité de contrôle de toute influence extérieure.

43      En effet, l’indépendance requise au titre de l’article 28, paragraphe 1, second alinéa, de la directive 95/46 vise à exclure non seulement l’influence directe, sous forme d’instructions, mais également, et ainsi qu’il a été rappelé au point 41 du présent arrêt, toute forme d’influence indirecte susceptible d’orienter les décisions de l’autorité de contrôle.

44      Or, les différents éléments de la réglementation autrichienne visés par les trois griefs contenus dans la requête de la Commission s’opposent à ce que la DSK puisse être considérée comme exerçant ses missions à l’abri de toute influence indirecte.

45      S’agissant, d’abord, du premier grief se rapportant à la position du membre administrateur au sein de la DSK, il ressort d’une lecture combinée des articles 36, paragraphe 3, et 38, paragraphe 1, du DSG 2000 ainsi que de l’article 4, paragraphe 1, du règlement intérieur de la DSK, que ledit membre est un fonctionnaire fédéral.

46      Il doit être relevé ensuite que, en vertu de l’article 38, paragraphe 1, du DSG 2000, ce fonctionnaire fédéral gère les affaires courantes de celle-ci.

47      Certes, ainsi que le fait observer la République d’Autriche, le membre administrateur de la DSK n’est, en vertu du cadre réglementaire en vigueur, pas nécessairement un fonctionnaire de la chancellerie fédérale, même s’il n’est pas contesté que ledit poste a toujours été occupé par un tel fonctionnaire.

48      Toutefois, indépendamment de l’autorité fédérale à laquelle le membre administrateur de la DSK appartient, il est constant qu’il existe un lien de service entre ce dernier et ladite autorité fédérale, qui permet au supérieur hiérarchique dudit membre administrateur de contrôler les activités de ce dernier.

49      Il convient de rappeler, à cet égard, que l’article 45, paragraphe 1, du BDG 1979 accorde au supérieur hiérarchique un pouvoir de contrôle étendu sur les fonctionnaires qui relèvent de son département. En effet, cette disposition permet non seulement au supérieur hiérarchique de veiller à ce que ses collaborateurs s’acquittent des tâches qui leur incombent dans le respect des lois et d’une manière efficace et économe, mais il les guide aussi dans l’exercice de leurs fonctions, remédie aux éventuelles fautes et carences, veille au respect du temps de travail, favorise leur avancement en fonction de leurs performances et les oriente vers les tâches correspondant le plus à leurs capacités.

50      Or, eu égard à la position qu’occupe le membre administrateur au sein de la DSK, l’article 28, paragraphe 1, second alinéa, de la directive 95/46 s’oppose à la tutelle de service à laquelle ledit membre est soumis en vertu de l’article 45, paragraphe 1, du BDG 1979. En effet, même si l’article 37, paragraphe 1, du DSG 2000 vise à empêcher le supérieur hiérarchique du membre administrateur de donner des instructions à ce dernier, il n’en reste pas moins que l’article 45, paragraphe 1, du BDG 1979 octroie au supérieur hiérarchique un pouvoir de contrôle susceptible d’entraver l’indépendance de la DSK dans l’exercice de ses missions.

51      Il suffit de mentionner, à cet égard, qu’il n’est pas exclu que l’évaluation par le supérieur hiérarchique du membre administrateur de la DSK en vue de favoriser l’avancement dudit fonctionnaire puisse conduire à une forme d’«obéissance anticipée» dans le chef de ce dernier (voir, en ce sens, arrêt Commission/Allemagne, précité, point 36).

52      Par ailleurs, en raison des liens du membre administrateur de la DSK avec l’organe politique, qui est soumis au contrôle de la DSK, cette dernière ne se trouve pas au-dessus de tout soupçon de partialité. Or, eu égard au rôle de gardiennes du droit à la vie privée qu’assument les autorités de contrôle, l’article 28, paragraphe 1, second alinéa, de la directive 95/46 exige que leurs décisions, et donc elles-mêmes, soient au-dessus de tout soupçon de partialité (voir arrêt Commission/Allemagne, précité, point 36).

53      La République d’Autriche rétorque, toutefois, que c’est en vertu de l’article 4, paragraphe 1, du règlement intérieur de la DSK que le fonctionnaire fédéral désigné conformément à l’article 36, paragraphe 3, du DSG 2000 exerce la fonction de membre administrateur. Dès lors que la présence au sein de la DSK d’un fonctionnaire de la chancellerie fédérale en tant que membre administrateur reposerait sur une décision autonome de cette autorité, l’indépendance de ladite autorité de contrôle n’en serait pas affectée.

54      Une telle argumentation doit être rejetée.

55      Ainsi qu’il ressort des points 48 à 52 du présent arrêt, le lien de service existant entre le membre administrateur de la DSK et l’autorité fédérale dont il relève affecte l’indépendance de la DSK et, en l’espèce, le mode de désignation dudit membre ne remet pas en cause ce constat. Or, il appartient à la République d’Autriche d’adopter les dispositions juridiques nécessaires pour garantir à ladite autorité de contrôle qu’elle puisse exercer ses missions «en toute indépendance» au sens de l’article 28, paragraphe 1, second alinéa, de la directive 95/46.

56      Ensuite, quant au deuxième grief soulevé par la Commission, il doit être rappelé que, conformément à l’article 38, paragraphe 2, du DSG 2000, la chancellerie fédérale met à la disposition du bureau de la DSK l’équipement et le personnel nécessaires. Il n’est pas contesté que le bureau de la DSK soit composé de fonctionnaires de la chancellerie fédérale.

57      Ainsi que le soutient la Commission, l’intégration du bureau de la DSK aux services de la chancellerie fédérale ne permet pas non plus de considérer que ladite autorité de contrôle puisse exercer ses missions à l’abri de toute influence de la chancellerie fédérale.

58      Certes, comme le souligne la République d’Autriche, la DSK ne doit pas disposer d’une ligne budgétaire autonome, à l’instar de celle prévue à l’article 43, paragraphe 3, du règlement no 45/2001 pour le CEPD, pour pouvoir satisfaire au critère d’indépendance énoncé à l’article 28, paragraphe 1, second alinéa, de la directive 95/46. Les États membres ne sont, en effet, pas obligés de reprendre dans leur législation nationale des dispositions analogues à celles du chapitre V du règlement no 45/2001 afin de garantir une totale indépendance à leur(s) autorité(s) de contrôle et peuvent ainsi prévoir que, du point de vue du droit budgétaire, l’autorité de contrôle dépend d’un département ministériel déterminé. Cependant, l’attribution des moyens humains et matériels nécessaires à une telle autorité ne doit pas l’empêcher d’exercer ses missions «en toute indépendance» au sens de l’article 28, paragraphe 1, second alinéa, de la directive 95/46.

59      Or, le cadre réglementaire en vigueur en Autriche ne satisfait pas à cette dernière condition. En effet, le personnel mis à la disposition du bureau de la DSK est composé de fonctionnaires de la chancellerie fédérale sur lesquels cette dernière exerce la tutelle de service prévue à l’article 45, paragraphe 1, du BDG 1979. Or, ainsi qu’il ressort des points 49 à 52 du présent arrêt, une telle tutelle de l’État n’est pas compatible avec l’exigence d’indépendance prévue à l’article 28, paragraphe 1, second alinéa, de la directive 95/46 à laquelle doivent satisfaire les autorités de contrôle de la protection des données à caractère personnel.

60      L’argument de la République d’Autriche selon lequel l’organisation du bureau ne peut affecter l’indépendance de la DSK en ce que le bureau n’exécuterait que les décisions de la DSK, doit être rejeté.

61      En effet, eu égard à la charge de travail qui incombe à une autorité de contrôle de la protection des données à caractère personnel, d’une part, et au fait que les membres de la DSK exercent leur fonction, conformément à l’article 36, paragraphe 3 bis, du DSG 2000, parallèlement à d’autres activités professionnelles, d’autre part, il doit être considéré que les membres d’une telle autorité reposent pour l’exercice de leur fonction largement sur l’assistance du personnel mis à leur disposition. Le fait que le bureau est composé de fonctionnaires de la chancellerie fédérale, elle-même soumise au contrôle de la DSK, comporte le risque d’une influence sur les décisions de cette dernière. En tout état de cause, une telle imbrication organisationnelle entre la DSK et la chancellerie fédérale empêche que la DSK soit au-dessus de tout soupçon de partialité et est donc incompatible avec l’exigence d’«indépendance» au sens de l’article 28, paragraphe 1, second alinéa, de la directive 95/46.

62      S’agissant du troisième grief soulevé par la Commission, il doit être constaté que, conformément aux articles 20, paragraphe 2, du BVG et 38, paragraphe 2, du DSG 2000, le chancelier fédéral a le droit de s’informer à tout moment, auprès du président et du membre administrateur de la DSK, de tous les aspects de la gestion de ladite autorité de contrôle.

63      Un tel droit à l’information est également de nature à soumettre la DSK à une influence indirecte de la part du chancelier fédéral qui est incompatible avec le critère d’indépendance visé à l’article 28, paragraphe 1, second alinéa, de la directive 95/46. Il suffit de relever à cet égard, d’une part, que le droit à l’information est très vaste en ce qu’il porte sur «tous les aspects de la gestion de la [DSK]» et, d’autre part, qu’il est inconditionnel.

64      Dans ces conditions, le droit à l’information énoncé à l’article 20, paragraphe 2, du BVG et à l’article 38, paragraphe 2, du DSG 2000 s’oppose à ce que la DSK puisse être considérée comme pouvant opérer, en toute circonstance, au‑dessus de tout soupçon de partialité.

65      Enfin, s’agissant de l’argument de la République fédérale d’Allemagne reproduit au point 35 du présent arrêt, il suffit de rappeler que le membre administrateur de la DSK est un fonctionnaire fédéral assujetti à une tutelle de service telle qu’elle n’exclut pas que le supérieur hiérarchique dudit membre exerce une influence indirecte sur les décisions de ladite autorité de contrôle (voir points 48 à 52 du présent arrêt).

66      Eu égard à l’ensemble des considérations qui précèdent, il convient de constater que, en ne prenant pas toutes les dispositions nécessaires pour que la législation en vigueur en Autriche satisfasse au critère d’indépendance concernant la DSK, plus précisément, en instituant un cadre réglementaire en vertu duquel

–        le membre administrateur de la DSK est un fonctionnaire fédéral assujetti à une tutelle de service,

–        le bureau de la DSK est intégré aux services de la chancellerie fédérale, et

–        le chancelier fédéral dispose d’un droit inconditionnel à l’information sur tous les aspects de la gestion de la DSK,

la République d’Autriche a manqué aux obligations qui lui incombent en vertu de l’article 28, paragraphe 1, second alinéa, de la directive 95/46.

 Sur les dépens

67      Aux termes de l’article 69, paragraphe 2, du règlement de procédure, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens. La Commission ayant conclu à la condamnation de la République d’Autriche et celle-ci ayant succombé en ses moyens, il y a lieu de la condamner aux dépens.

68      Conformément à l’article 69, paragraphe 4, premier et troisième alinéas, du même règlement, la République fédérale d’Allemagne et le CEPD, qui sont intervenus au litige, supporteront leurs propres dépens.

Par ces motifs, la Cour (grande chambre) déclare et arrête:

1)      En ne prenant pas toutes les dispositions nécessaires pour que la législation en vigueur en Autriche satisfasse au critère d’indépendance concernant la Datenschutzkommission (commission de protection des données), plus précisément, en instituant un cadre réglementaire en vertu duquel

–        le membre administrateur de la Datenschutzkommission est un fonctionnaire fédéral assujetti à une tutelle de service,

–        le bureau de la Datenschutzkommission est intégré aux services de la chancellerie fédérale, et

–        le chancelier fédéral dispose d’un droit inconditionnel à l’information sur tous les aspects de la gestion de la Datenschutzkommission,

la République d’Autriche a manqué aux obligations qui lui incombent en vertu de l’article 28, paragraphe 1, second alinéa, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

2)      La République d’Autriche est condamnée à supporter les dépens de la Commission européenne.

3)      La République fédérale d’Allemagne et le Contrôleur européen de la protection des données supportent leurs propres dépens.

Signatures

* Langue de procédure: l’allemand.