CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. JÁN MAZÁK

présentées le 12 novembre 2009 (1)

Affaire C‑518/07

Commission des Communautés européennes

contre

République fédérale d’Allemagne

«Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Soumission des autorités de contrôle nationales à la surveillance de l’État – Exercice des missions en toute indépendance»

1.        Par son recours (2), la Commission des Communautés européennes demande à la Cour de constater que, en soumettant les autorités chargées de surveiller l’application des dispositions transposant la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (3) (ci-après les «autorités de contrôle en matière de protection des données à caractère personnel»), en vertu du droit des Länder, à la tutelle exercée par l’État pour ce qui est du contrôle des organismes non publics, la République fédérale d’Allemagne a manqué à l’obligation de garantir la totale indépendance de ces autorités qui lui incombe en vertu de l’article 28, paragraphe 1, deuxième alinéa, de la directive 95/46.

2.        L’objet de la directive 95/46 est que les États membres, tout en permettant la libre circulation des données à caractère personnel, assurent la protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement desdites données. En d’autres termes, la directive 95/46 vise à établir un équilibre entre, d’une part, la libre circulation des données à caractère personnel, qui constitue un des éléments essentiels du fonctionnement du marché intérieur, et, d’autre part, la protection des libertés et des droits fondamentaux des personnes physiques.

3.        Les autorités nationales en charge du contrôle du respect des dispositions nationales prises pour l’application de la directive 95/46 contribuent également à la réalisation de l’objectif susmentionné. Il ressort du soixante-deuxième considérant de la directive 95/46 que l’institution, dans les États membres, d’autorités de contrôle exerçant en toute indépendance leurs fonctions est un élément essentiel de la protection des personnes à l’égard du traitement des données à caractère personnel. Pour cette raison, l’article 28, paragraphe 1, de la directive 95/46 dispose:

«Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

Ces autorités exercent en toute indépendance les missions dont elles sont investies.» (4)

4.        Le présent recours a pour origine une divergence entre la Commission, soutenue par le Contrôleur européen de la protection des données, et la République fédérale d’Allemagne au sujet de l’interprétation de l’expression «en toute indépendance» qui figure à l’article 28, paragraphe 1, de la directive 95/46 et se rapporte à l’exercice des missions des autorités de contrôle en matière de protection des données à caractère personnel.

5.        La requête de la Commission est basée sur deux hypothèses. Selon la première hypothèse, l’article 28, paragraphe 1, de la directive 95/46 obligerait les États membres à ce que leurs autorités de contrôle en matière de protection des données à caractère personnel soient «totalement indépendantes». Dans sa réplique, la Commission a précisé qu’il s’agirait non pas d’une indépendance institutionnelle et organisationnelle, mais d’une indépendance fonctionnelle totale, ce qui signifierait que, dans l’exécution de leurs tâches, les autorités de contrôle en matière de protection des données à caractère personnel devraient être exemptes de toute influence extérieure.

6.        Selon la seconde hypothèse, la tutelle exercée par l’État membre sur ses autorités de contrôle en matière de protection des données à caractère personnel pour le secteur non public, dont l’existence n’a pas été contestée par la République fédérale d’Allemagne, celle-ci ayant, de plus, apporté des précisions sur les affirmations de la Commission concernant les différentes formes de cette tutelle (5), serait de nature à porter atteinte à l’indépendance totale, au sens présenté par la Commission, desdites autorités de contrôle.

7.        La défense de la République fédérale d’Allemagne repose sur une lecture différente de l’expression «en toute indépendance» s’attachant à l’exercice des missions des autorités de contrôle en matière de protection des données à caractère personnel. Elle considère que cette expression se rapporte à une indépendance fonctionnelle de ces autorités, ce qui signifie l’indépendance institutionnelle de celles-ci en matière d’organisation uniquement par rapport aux organismes contrôlés. Dans sa duplique, elle a ajouté que la tutelle exercée par l’État ne présente aucune influence extérieure, dès lors que les autorités de tutelle ne sont pas des services externes mais des organes de contrôle internes à l’administration.

8.        Bien qu’il soit possible de deviner une collision de deux conceptions d’exercice du pouvoir exécutif au sein de l’État (6) sur le fond du présent recours, nous tenterons de proposer une solution partant, premièrement, de l’éclaircissement du contenu de l’expression «l’exercice des missions en toute indépendance» et, en second, de l’appréciation de savoir si les autorités de contrôle en matière de protection des données à caractère personnel relevant d’une telle tutelle exercée par l’État, telle que décrite par la Commission, peuvent effectivement exercer leurs missions en toute indépendance.

 Exercice des missions en toute indépendance au sens de l’article 28, paragraphe 1, de la directive 95/46

9.        Il est possible de constater, sur la base d’un examen de la réglementation communautaire et de la jurisprudence de la Cour, que l’utilisation du terme «indépendance» est fréquente, non seulement par rapport aux autorités publiques, mais également à l’égard de certains groupes de personnes qui ont besoin d’indépendance au regard des missions que celles-ci effectuent dans le système ou sous-système social.

10.      À titre d’exemple, nous pouvons citer l’article 19, paragraphe 4, du règlement (CE) n˚ 765/2008 du Parlement européen et du Conseil, du 9 juillet 2008, fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n˚ 339/93 du Conseil (7), qui exige que les autorités de surveillance du marché exercent leurs tâches en toute indépendance, ou l’article 16, paragraphe 1, du règlement (CE) n˚ 168/2007 du Conseil, du 15 février 2007, portant création d’une Agence des droits fondamentaux de l’Union européenne (8), qui exige que cette agence s’acquitte de ses tâches en toute indépendance, ou encore l’article 3, paragraphe 2, de la directive 2002/21/CE du Parlement européen et du Conseil, du 7 mars 2002, relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive «cadre») (9), qui exige que les États membres garantissent l’indépendance des autorités réglementaires nationales.

11.      Le terme «indépendance» apparaît aussi dans le registre «soft law». Citons ainsi l’article 8, paragraphe 1, du code européen de bonne conduite approuvé par le Parlement européen le 6 septembre 2001 (10) selon lequel le fonctionnaire est impartial et indépendant.

12.      De même, la Cour a déjà eu l’occasion d’examiner l’indépendance par rapport à la Banque centrale européenne (11), ou par rapport aux membres du Parlement européen (12), ou encore par rapport aux avocats (13).

13.      Malgré l’utilisation fréquente du terme «indépendance», la détermination du contenu de ce terme n’est pas aisée. Étant donné que l’indépendance est traditionnellement liée au pouvoir judiciaire, certains indices existent en relation avec l’indépendance juridictionnelle. Le Contrôleur européen de la protection des données a également proposé, dans son mémoire en intervention, de déduire les critères pour apprécier si un organe peut être considéré comme indépendant de la jurisprudence de la Cour concernant l’indépendance des juridictions (14).

14.      À notre avis, ces critères ne sont pas utilisables dans la présente espèce. En effet, la Cour en les définissant a délimité des juridictions par rapport aux autres formes de pouvoirs de l’État. Dans le cas présent, nous nous occupons des autorités de contrôle et personne ne conteste que lesdites autorités sont des structures administratives et que, à ce titre, elles fassent partie de la sphère du pouvoir exécutif. Il s’ensuit que l’exigence de l’exercice de leurs missions en toute indépendance ne doit être délimitée que dans le cadre du pouvoir exécutif, et non par rapport aux autres formes de pouvoirs de l’État.

15.      À cet égard, il y a lieu de noter que l’article 28, paragraphe 1, de la directive 95/46 n’impose pas aux États membres de constituer des autorités qui seraient séparées du système administratif hiérarchiquement organisé. Il convient toutefois d’ajouter que rien ne les en empêche. Étant donné que l’article 28, paragraphe 1, de la directive 95/46 demande aux États membres de garantir l’exercice des missions des autorités de contrôle en toute indépendance, et non de garantir l’indépendance de telles autorités, il leur laisse une marge d’appréciation pour décider de la manière dont ils satisfont à cette demande.

16.      Il convient aussi de ne pas perdre de vue que le terme «indépendance» est un terme relatif, dès lors qu’il convient de préciser à l’égard de qui ou de quoi et à quel niveau cette indépendance doit exister.

17.      Certes, on pourrait, à première vue, penser que cette relativité disparaît du fait de l’adjonction de la locution «en toute» au terme «indépendance». Nous estimons toutefois qu’une telle conclusion est erronée. Si l’on admettait sa justesse, cela signifierait que l’article 28, paragraphe 1, de la directive 95/46, en prévoyant l’exercice des missions des autorités de contrôle en matière de protection des données à caractère personnel en toute indépendance, exige une indépendance dans toutes ses dimensions envisageables, c’est-à-dire une indépendance institutionnelle, organisationnelle, budgétaire, financière, fonctionnelle, décisionnelle ou personnelle.

18.      Nous sommes d’avis qu’une telle lecture de l’article 28, paragraphe 1, de la directive 95/46 ne saurait être retenue et que, par conséquent, malgré la locution «en toute indépendance», l’indépendance requise reste relative et à déterminer.

19.      Au cours de la procédure de cette détermination, qui, parallèlement, présente une procédure de la recherche du contenu de l’exigence de l’«exercice des missions en toute indépendance», il convient de se baser, à notre avis, sur l’objet pour lequel les autorités de contrôle en matière de protection des données à caractère personnel ont été créées.

20.      À cet égard, il convient de relever que cet objet est en étroite relation avec l’objet principal de la directive 95/46 elle-même. En conséquence, lesdites autorités de contrôle constituent l’un des moyens permettant la réalisation des objectifs poursuivis par la directive 95/46 et il en découle que l’indépendance dans le cadre de l’exercice des missions de ces autorités de contrôle doit être de nature à leur permettre de contribuer à établir l’équilibre entre, d’une part, la libre circulation des données à caractère personnel et, d’autre part, la protection des libertés ainsi que des droits fondamentaux des personnes physiques, notamment de leur vie privée.

21.      Le niveau d’indépendance dont les autorités de contrôle en matière de protection des données à caractère personnel doivent bénéficier pour pouvoir exercer efficacement leurs missions dépend de l’objet de l’existence de ces autorités de contrôle entendu dans ce sens.

22.      En ce qui concerne la question de savoir à l’égard de qui l’indépendance doit être assurée pour que les autorités de contrôle en matière de protection des données à caractère personnel puissent exercer efficacement les missions qui leur ont été imparties, nous ne partageons pas la thèse de la République fédérale d’Allemagne selon laquelle il ne s’agirait que d’une indépendance par rapport aux organismes contrôlés.

23.      Nous estimons que les autorités de contrôle en matière de protection des données à caractère personnel doivent également être indépendantes à l’égard d’autres organes du pouvoir exécutif dont elles font partie intégrante, et ce à un niveau qui garantit l’exercice efficace de leurs missions.

24.      Il paraît difficile et, dans les circonstances de l’espèce, peu utile de définir tous les éléments qui sont nécessaires pour que l’exercice des missions des autorités publiques en toute indépendance soit garanti. Afin de décider sur le recours de la Commission, mieux vaut retenir une méthode négative.

25.      Se pose alors la question de savoir si l’existence de la tutelle exercée par l’État est compatible avec le niveau requis d’indépendance en vue de l’exercice des missions des autorités de contrôle en matière de protection des données à caractère personnel.

 Compatibilité de la tutelle exercée par l’État avec l’exigence de l’exercice en toute indépendance des missions des autorités de contrôle en matière de protection des données à caractère personnel

26.      Tant la Commission que la République fédérale d’Allemagne admettent que le libellé de l’article 28, paragraphe 1, deuxième alinéa, de la directive 95/46 est le résultat d’un compromis. Les deux parties font néanmoins valoir que ce libellé corrobore leur argumentation concernant l’étendue de l’exercice des missions des autorités de contrôle en matière de protection des données à caractère personnel en toute indépendance.

27.      En ce qui concerne l’argument de la République fédérale d’Allemagne, à savoir que, lors des discussions ayant précédé l’adoption de la directive 95/46 (15), le représentant de la requérante aurait confirmé la lecture de l’article 28, paragraphe 1, de la directive 95/46 effectuée par la République fédérale d’Allemagne, il suffit d’attirer l’attention sur l’arrêt du 14 janvier 1987, Allemagne/Commission (16), dans lequel la Cour a jugé qu’on ne saurait interpréter une disposition du droit communautaire à la lumière de négociations entre un État membre et l’une des institutions communautaires. Cela vaut à plus forte raison encore si l’on considère que l’échange entre l’un des États membres et le représentant d’une institution communautaire qui a rédigé une proposition d’acte communautaire ne peut servir de base à l’interprétation d’une disposition de droit communautaire.

28.      En l’espèce, il s’agit d’un organe qui n’est pas indépendant d’un point de vue institutionnel et qui s’insère en conséquence dans un certain système, en l’occurrence celui du pouvoir exécutif. Dans un tel cas, une tension entre, d’une part, l’indépendance de l’organe et, d’autre part, la responsabilité de celui-ci, apparaît réellement. Selon nous, la tutelle pourrait présenter l’une des solutions face à cette situation.

29.      L’indépendance ne peut pas se confondre avec une absence de la possibilité d’être contrôlé. À notre avis, la tutelle exercée par l’État constitue l’un des moyens de contrôle.

30.      Pour répondre à la question de savoir si la tutelle exercée par l’État est compatible avec l’exigence de l’exercice des missions des autorités de contrôle en matière de protection des données à caractère personnel en toute indépendance, il est important de prendre en considération le but poursuivi par une telle tutelle. Il ressort de la présentation de la tutelle donnée par la Commission que ladite tutelle tend à vérifier si le contrôle exercé par les autorités de contrôle est rationnel, légal et proportionnel. Sous cet angle, il nous semble que la tutelle exercée par l’État contribue au fonctionnement du système de surveillance de l’application des dispositions adoptées en application de la directive 95/46. En effet, s’il apparaissait que les autorités de contrôle n’agissent pas d’une manière rationnelle, légale et proportionnée, la protection des droits des personnes physiques et par conséquent la réalisation de l’objectif poursuivi par la directive 95/46 seraient menacées.

31.      Il y a lieu de relever qu’aucun élément de nature à affecter la réalisation de l’objectif poursuivi par la tutelle ne ressort du dossier. De plus, rien n’indique que la tutelle serait exercée d’une manière susceptible d’affecter l’exercice des missions des autorités de contrôle en toute indépendance. La Commission ne saurait se contenter d’affirmations à cet égard. Il lui appartient d’établir de tels effets de la tutelle.

32.      La Commission n’a pas prouvé les conséquences négatives de la tutelle pour l’exercice en toute indépendance des missions des autorités de contrôle. Selon elle, l’existence de la tutelle exercée par l’État suffirait à conclure que les autorités de contrôle en matière de protection des données à caractère personnel n’exercent pas leurs missions en toute indépendance. Il en découle que la Commission seulement suppose que la tutelle provoque la perturbation de l’exercice en toute indépendance des missions dévolues aux autorités de contrôle.

33.      Selon la jurisprudence de la Cour, dans le cadre d’une procédure en manquement introduite en vertu de l’article 226 CE, il incombe à la Commission d’établir l’existence du manquement allégué, sans qu’elle puisse se fonder sur une présomption quelconque (17).

34.      Nous estimons que la Commission n’a pas satisfait à la charge de la preuve qui lui incombe. Elle n’a prouvé ni l’échec du système de tutelle ni l’existence d’une pratique constante des autorités de tutelle qui consisterait en un abus de leurs compétences impliquant une perturbation de l’exercice en toute indépendance des missions dévolues aux autorités de contrôle en matière de protection des données à caractère personnel.

35.      Par conséquent, le simple fait que des autorités de contrôle telles que celles en cause en l’espèce relèvent de la tutelle exercée par l’État ne saurait fonder la conclusion que lesdites autorités de contrôle n’exercent pas leurs missions en toute indépendance conformément à l’article 28, paragraphe 1, de la directive 95/46.

36.      La Commission n’a pas établi que la tutelle exercée sur les autorités de contrôle en matière de protection des données à caractère personnel empêche ces autorités de contrôle d’exercer leurs missions en toute indépendance. Par conséquent, il convient de rejeter son recours.

 Sur les dépens

37.      En vertu de l’article 69, paragraphe 2, premier alinéa, du règlement de procédure, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens. La République fédérale d’Allemagne ayant conclu à la condamnation de la Commission et celle-ci ayant succombé en ses moyens, nous considérons qu’il y a lieu de la condamner aux dépens.

 Conclusion

38.      Eu égard aux éléments qui précèdent, nous proposons à la Cour de statuer comme suit:

1)         Le recours est rejeté.

2)         La Commission des Communautés européennes est condamnée aux dépens.

3)         Le Contrôleur européen de la protection des données supporte ses propres dépens.

1 – Langue originale: le français.

2 – S’agissant de la phase précontentieuse de la procédure, il suffit de constater qu’elle s’est déroulée conformément à l’article 226 CE et qu’aucun argument mettant en doute la légalité de cette phase de la procédure n’a été soulevé devant la Cour.

3 – JO L 281, p. 31.

4 –      D’autres actes du droit communautaire prévoient également l’existence de telles autorités. Il s’agit, par exemple, de l’article 41 du règlement (CE) n  767/2008 du Parlement européen et du Conseil, du 9 juillet 2008, concernant le système d’information sur les visas (VIS) et l’échange de données entre les États membres sur les visas de court séjour (règlement VIS) (JO L 218, p. 60), ou encore de l’article 9 de la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54).

5 – En effet, la Commission a expliqué que, dans les Länder de Brême et de Hambourg, seule la tutelle de service est prévue explicitement. Or, la République fédérale d’Allemagne a précisé que les autorités nationales de contrôle en matière de protection des données à caractère personnel pour le secteur non public dans tous les Länder allemands, c’est-à-dire même dans les Länder de Brême et de Hambourg, relèvent non seulement de la tutelle de service, mais également de la tutelle de la légalité.

6 – Il s’agit, d’une part, de la conception dite «classique» ou «traditionnelle» basée sur l’exercice du pouvoir exécutif par l’administration hiérarchisée et, d’autre part, de la conception basée sur la décentralisation de l’administration aboutissant à la création d’autorités administratives indépendantes.

7 – JO L 218, p. 30.

8 – JO L 53, p. 1.

9 – JO L 108, p. 33.

10 – Le code européen de bonne conduite est disponible sur le site http://www.ombudsman.europa.eu/resources/code.faces.

11 – Voir arrêt du 10 juillet 2003, Commission/BCE (C-11/00, Rec. p. I-7147).

12 – Voir arrêt du 30 mars 2004, Rothley e.a./Parlement (C-167/02, Rec. p. I-3149).

13 – Voir arrêt du 26 juin 2007, Ordre des barreaux francophones et germanophone e.a. (C-305/05, Rec. p. I-5305).

14 – Il s’agit des arrêts du 17 septembre 1997, Dorsch Consult (C-54/96, Rec. p. I-4961, point 35), ainsi que du 31 mai 2005, Syfait e.a. (C-53/03, Rec. p. I-4609, point 31).

15 – Plus précisément, il s’agit des discussions préalables pour la réunion du groupe «Questions économiques (protection des données)» du mois de septembre 1994.

16 – 278/84, Rec. p. 1, point 18.

17– Voir arrêt du 11 janvier 2007, Commission/Irlande (C-183/05, Rec. p. I-137, point 39 et jurisprudence citée).