Language of document : ECLI:EU:C:2006:279

ARRÊT DE LA COUR (grande chambre)

2 mai 2006 (*)

«Règlement (CE) n° 460/2004 – Agence européenne chargée de la sécurité des réseaux et de l’information – Choix de la base juridique»

Dans l’affaire C-217/04,

ayant pour objet un recours en annulation au titre de l’article 230 CE, introduit le 20 mai 2004,

Royaume-Uni de Grande-Bretagne et d’Irlande du Nord, représenté par M. M. Bethell, en qualité d’agent, assisté de Lord Goldsmith et M. N. Paines, QC, ainsi que de M. T. Ward, barrister,

partie requérante,

contre

Parlement européen, représenté par MM. K. Bradley et U. Rösslein, en qualité d’agents, ayant élu domicile à Luxembourg,

Conseil de l’Union européenne, représenté par Mme M. Veiga et M. A. Lopes Sabino, en qualité d’agents,

parties défenderesses,

soutenus par:

République de Finlande, représentée par Mmes T. Pynnä et A. Guimaraes-Purokoski, en qualité d’agents,

Commission des Communautés européennes, représentée par MM. F. Benyon et M. Shotter, en qualité d’agents, ayant élu domicile à Luxembourg,

parties intervenantes,

LA COUR (grande chambre),

composée de M. V. Skouris, président, MM. P. Jann, C. W. A. Timmermans, A. Rosas et J. Malenovský, présidents de chambre, M. R. Schintgen, Mme N. Colneric, MM. S. von Bahr, J. N. Cunha Rodrigues, Mme R. Silva de Lapuerta (rapporteur), MM. M. Ilešič, J. Klučka et U. Lõhmus, juges,

avocat général: Mme J. Kokott,

greffier: Mme K. Sztranc, administrateur,

vu la procédure écrite et à la suite de l’audience du 7 septembre 2005,

ayant entendu l’avocat général en ses conclusions à l’audience du 22 septembre 2005,

rend le présent

Arrêt

1        Par sa requête, le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord demande l’annulation du règlement (CE) n° 460/2004 du Parlement européen et du Conseil, du 10 mars 2004, instituant l’Agence européenne chargée de la sécurité des réseaux et de l’information (JO L 77, p. 1, ci-après le «règlement»).

2        Par ordonnance du président de la Cour du 25 novembre 2004, la République de Finlande et la Commission des Communautés européennes ont été admises à intervenir au soutien des conclusions du Parlement européen et du Conseil de l’Union européenne.

 Le cadre juridique

 La réglementation communautaire générale

3        Selon son article 1er, paragraphe 1, la directive 2002/21/CE du Parlement européen et du Conseil, du 7 mars 2002, relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive «cadre») (JO L 108, p. 33), vise à créer un cadre harmonisé pour la réglementation des services de communications électroniques ainsi que des ressources et services associés. Elle fixe notamment les tâches incombant aux autorités réglementaires nationales et établit une série de procédures visant à garantir l’application harmonisée du cadre réglementaire dans l’ensemble de la Communauté.

4        La législation communautaire relative aux réseaux et communications électroniques comprend également les directives suivantes (ci-après les «directives particulières»):

–        la directive 2002/19/CE du Parlement européen et du Conseil, du 7 mars 2002, relative à l’accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu’à leur interconnexion (directive «accès») (JO L 108, p. 7);

–        la directive 2002/20/CE du Parlement européen et du Conseil, du 7 mars 2002, relative à l’autorisation de réseaux et de services de communications électroniques (directive «autorisation») (JO L 108, p. 21);

–        la directive 2002/22/CE du Parlement européen et du Conseil, du 7 mars 2002, concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques (directive «service universel») (JO L 108, p. 51);

–        la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201, p. 37);

–        la directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques (JO 2000, L 13, p. 12, ci-après la «directive ‘signatures électroniques’»);

–        la directive 2000/31/CE du Parlement européen et du Conseil, du 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique») (JO L 178, p. 1).

5        Par la décision 2002/627/CE, du 29 juillet 2002 (JO L 200, p. 38), la Commission a institué le groupe des régulateurs européens dans le domaine des réseaux et services de communications.

 Le règlement

6        Le règlement a été adopté sur la base de l’article 95 CE. Son article 1er, paragraphe 1, institue une Agence européenne chargée de la sécurité des réseaux et de l’information (ci-après l’«Agence»).

7        Aux termes de l’article 1er, paragraphe 2, du règlement, la mission de l’Agence consiste à «prête[r] son assistance à la Commission et aux États membres, et [à coopérer] de ce fait avec le secteur des entreprises, en vue de les aider à satisfaire aux exigences en matière de sécurité des réseaux et de l’information, y compris celles définies dans la législation communautaire actuelle et à venir, comme par exemple dans la directive 2002/21/CE, garantissant ainsi le bon fonctionnement du marché intérieur».

8        L’article 2 du règlement, intitulé «Objectifs», est libellé comme suit:

«1.      L’Agence renforce la capacité de la Communauté, des États membres et, de ce fait, du secteur des entreprises, de prévenir les problèmes de sécurité des réseaux et de l’information, de les gérer et d’y faire face.

2.      L’Agence prête assistance et fournit des conseils à la Commission et aux États membres sur les questions liées à la sécurité des réseaux et de l’information relevant de ses compétences telles que définies par le présent règlement.

3.      S’appuyant sur les initiatives prises aux niveaux national et communautaire, l’Agence acquiert un niveau élevé de compétences spécialisées. Elle met à profit ces compétences pour encourager une vaste coopération entre les acteurs des secteurs public et privé.

4.      Lorsqu’elle y est invitée, l’Agence aide la Commission à mener les travaux techniques préparatoires en vue de la mise à jour et du développement de la législation communautaire dans le domaine de la sécurité des réseaux et de l’information.»

9        L’article 3 du règlement définit les tâches que l’Agence doit accomplir «[a]fin de garantir le respect du champ d’application et la réalisation des objectifs fixés aux articles 1er et 2». Ces tâches sont les suivantes:

«a)      collecter les informations appropriées pour analyser les risques actuels et émergents et, en particulier au niveau européen, ceux qui pourraient avoir une incidence sur la résistance aux pannes des réseaux de communications électroniques et sur leur disponibilité ainsi que sur l’authenticité, l’intégrité et la confidentialité des informations accessibles et transmises par leur intermédiaire, ainsi que fournir les résultats de l’analyse aux États membres et à la Commission;

b)      fournir des conseils au Parlement européen, à la Commission, aux organismes européens ou aux organismes nationaux compétents désignés par les États membres et, lorsqu’elle y est invitée, leur fournir une assistance entrant dans le cadre de ses objectifs;

c)      renforcer la coopération entre les différents acteurs dans le domaine de la sécurité des réseaux et de l’information, notamment en organisant périodiquement des consultations avec les entreprises et les universités ainsi que d’autres secteurs concernés et en créant des réseaux de contacts à l’usage des organismes communautaires, des organismes du secteur public désignés par les États membres, des organismes du secteur privé et des organisations des consommateurs;

d)      faciliter la coopération entre la Commission et les États membres dans l’élaboration de méthodologies communes destinées à prévenir les problèmes de sécurité des réseaux et de l’information, à les gérer et à y faire face;

e)      contribuer à la sensibilisation de tous les utilisateurs et à ce qu’ils puissent accéder en temps utile à des informations objectives et complètes sur la problématique de la sécurité des réseaux et de l’information, notamment par la promotion des échanges des meilleures pratiques actuelles, y compris les méthodes d’alerte des utilisateurs, et par la recherche de synergies entre les initiatives du secteur public et du secteur privé;

f)      assister la Commission et les États membres dans le dialogue qu’ils mènent avec les entreprises en vue de gérer les problèmes de sécurité que posent les matériels et les logiciels;

g)      suivre l’élaboration des normes pour les produits et services en matière de sécurité des réseaux et de l’information;

h)      fournir à la Commission des conseils sur la recherche en matière de sécurité des réseaux et de l’information ainsi que sur l’utilisation efficace des technologies de prévention des risques;

i)      promouvoir des activités d’évaluation des risques, encourager des solutions interopérables de gestion des risques et favoriser la réalisation d’études sur les solutions en matière de gestion des mesures de prévention au sein des organisations des secteurs public et privé;

j)      contribuer aux initiatives communautaires visant à coopérer avec les pays tiers et, le cas échéant, avec des organisations internationales pour œuvrer en faveur d’une approche globale commune à l’égard de la problématique de la sécurité des réseaux et de l’information, contribuant ainsi à l’émergence d’une culture de la sécurité des réseaux et de l’information;

k)      formuler de manière indépendante ses propres conclusions, orientations et conseils sur des questions entrant dans le cadre de son champ d’application et de ses objectifs.»

10      Les chapitres 2 et 3 du règlement concernent respectivement l’organisation et le fonctionnement de l’Agence.

 Sur le recours

Argumentation des parties

11      Au soutien de ses conclusions à fin d’annulation du règlement, le Royaume-Uni fait valoir que l’article 95 CE ne fournit pas une base juridique appropriée pour l’adoption de ce règlement. Le pouvoir conféré au législateur communautaire par l’article 95 CE serait celui d’harmoniser les législations nationales et non pas un pouvoir visant à mettre en place des organismes communautaires et à leur attribuer des missions.

12      Pour le Royaume-Uni, l’analyse à effectuer consiste à déterminer si l’instrument adopté en vertu de l’article 95 CE poursuit un objectif qui pourrait être atteint par l’adoption simultanée d’une législation identique dans chaque État membre. Si tel était le cas, le règlement harmoniserait les droits nationaux. Si, en revanche, le règlement «fait quelque chose» qui n’aurait pas pu être réalisé par l’adoption simultanée d’une législation identique au niveau des États membres, c’est-à-dire s’il légifère dans des domaines qui se trouvent au-delà de la capacité de ces derniers pris individuellement, il ne s’agirait pas d’une mesure d’harmonisation.

13      Le Royaume-Uni admet qu’une mesure d’harmonisation adoptée en application de l’article 95 CE peut contenir des dispositions qui, par elles-mêmes, ne constituent pas une harmonisation des législations nationales lorsque ces dispositions sont simplement incidentes ou correspondent à la mise en œuvre de dispositions qui, quant à elles, harmonisent les droits nationaux.

14      Ledit État membre estime qu’aucune des dispositions du règlement ne rapproche, même indirectement et de manière très limitée, les règles nationales. Il serait au contraire expressément interdit à l’Agence d’interférer avec les compétences des organismes nationaux, étant donné que celle-ci devrait se limiter à la fourniture de conseils non contraignants dans le domaine concerné.

15      Le Royaume-Uni relève que le règlement répond aux risques que la complexité de la matière fait courir au bon fonctionnement du marché intérieur non pas par l’harmonisation des règles nationales, mais par la création d’un organisme communautaire doté d’un rôle consultatif. Or, le fait qu’une mesure communautaire puisse être bénéfique au fonctionnement du marché intérieur ne signifierait pas qu’il s’agit d’une mesure d’harmonisation au sens de l’article 95 CE.

16      Le Royaume-Uni précise que la fourniture de conseils non contraignants ne saurait équivaloir à un «rapprochement de dispositions législatives, réglementaires et administratives des États membres» au sens de l’article 95 CE. En outre, la dissémination de tels conseils pourrait en pratique augmenter les disparités qui existent entre les réglementations nationales. Serait totalement spéculative la question de savoir si, en pratique, les conseils fournis par l’Agence conduiront les États membres à exercer d’une manière similaire le pouvoir discrétionnaire dont ils disposent en vertu de la directive-cadre et des directives particulières.

17      Ledit État membre souligne que les fonctions de l’Agence se limitent à développer l’expertise et à fournir des conseils à un large éventail de destinataires potentiels et que le seul lien possible qui pourrait exister entre les tâches qu’elle accomplit et l’harmonisation du droit serait celui qui résulte du fait qu’elle assiste la Commission. Or, ce rôle, qui semble être une fonction de recherche technique, aurait un lien trop éloigné avec la législation communautaire visant à l’harmonisation des règles nationales.

18      Le Royaume-Uni considère que l’existence de la directive-cadre et des directives particulières ne saurait modifier cette analyse. En effet, les activités de l’Agence s’étendraient bien au-delà du champ d’application desdites directives. En outre, la fourniture de conseils non contraignants, telle que prévue par le règlement, ne faciliterait pas la mise en œuvre de ces directives, étant donné que cette fonction serait réservée exclusivement à des organismes compétents des États membres autres que l’Agence.

19      Il relève que le rôle conféré à cette dernière serait plus étendu que celui déterminé par le champ d’application des directives particulières, car le règlement concernerait la sécurité non seulement des réseaux de communications, mais également des systèmes d’information, tels que les bases de données.

20      Le Royaume-Uni fait valoir également que la motivation du règlement est insuffisante en ce qui concerne la question de l’émergence probable d’obstacles aux échanges résultant de l’existence d’exigences nationales divergentes quant à la sécurité de l’information. Or, la simple possibilité d’une application hétérogène des exigences de sécurité des réseaux et le fait que ces exigences puissent conduire à des solutions inefficaces et à des obstacles au marché intérieur ne sauraient constituer une motivation suffisante à cet égard.

21      En outre, ledit État membre reconnaît que la création de l’Agence répond à un objectif souhaitable, à savoir l’établissement, par la Communauté, de son propre centre d’expertise dans le domaine de la sécurité des réseaux et de l’information. Il précise également qu’il n’est pas opposé au contenu des dispositions du règlement. Toutefois, il conclut de l’ensemble des arguments invoqués que ce règlement aurait dû être fondé sur l’article 308 CE.

22      Le Parlement fait valoir que l’article 95 CE ne définit pas jusqu’à quel degré l’acte communautaire envisagé doit rapprocher les ordres juridiques des États membres. Le traité CE n’exigerait pas que des mesures fondées sur cette base juridique rapprochent les dispositions de fond des réglementations nationales lorsqu’un degré moindre d’action communautaire serait plus approprié. Il suffirait en effet qu’une mesure fondée sur ladite disposition soit relative au rapprochement des dispositions nationales, même si cette mesure n’effectue pas elle-même un tel rapprochement.

23      Le Parlement relève que le règlement s’efforce de pourvoir au rapprochement de certaines dispositions que les États membres ont adoptées ou sont sur le point d’adopter, dans le domaine de la sécurité des réseaux et de l’information, en vue de faciliter une mise en œuvre efficace de la législation communautaire existante en la matière. Dans ce cadre, le recours à une base juridique différente et plus restrictive serait incohérent, étant donné que le règlement devrait être apprécié en tant que complément à un ensemble de directives concernant le marché intérieur des réseaux et des services de communications électroniques.

24      Le Parlement soutient que le législateur a jugé approprié d’adopter une approche commune des problèmes actuels et prévisibles concernant la sécurité des réseaux et de l’information, en instituant un organisme chargé de conseiller les pouvoirs publics aux niveaux communautaire et national, dans le cadre d’une concertation étroite avec le secteur privé. Les trois domaines d’activité de l’Agence, à savoir la collecte et la diffusion de l’information, les fonctions consultatives ainsi que la mission de coopération, contribueraient à l’adoption d’une approche commune des différents aspects de la sécurité des réseaux et de l’information.

25      Le Parlement souligne que, alors que, en théorie, la Communauté aurait pu adopter des règles harmonisant les dispositions des États membres concernant l’ensemble ou quelques-unes des matières dont traite le règlement, le législateur communautaire, étant donné la complexité technique du domaine en question et son évolution rapide, a élaboré le règlement pour empêcher l’apparition d’obstacles aux échanges et la perte d’efficacité qui découleraient de l’adoption non coordonnée d’applications techniques et organisationnelles par les États membres. Ledit législateur aurait cherché à y parvenir au moyen d’un «rapprochement à basse intensité», grâce auquel les États membres seraient en mesure d’adopter des actes homogènes permettant de mettre en œuvre les différents instruments communautaires relatifs aux communications électroniques, en créant un centre d’expertise chargé de fournir des orientations, des conseils et une assistance en la matière.

26      Le Parlement ajoute que le fait que les dispositions d’harmonisation de fond ont été définies dans la directive-cadre et les directives particulières ne modifie pas le caractère de mesure complémentaire du règlement, conçu pour faciliter la mise en œuvre desdites directives.

27      Selon le Parlement, les fonctions de l’Agence sont relativement modestes en ce sens qu’elles ne comportent pas le pouvoir d’adopter des «standards». En effet, la fourniture de conseils émanant d’une source d’expertise unique, faisant autorité au niveau européen, contribuerait à l’adoption de positions communes dans des situations dans lesquelles la Communauté et les acteurs nationaux risquent de recevoir des conseils techniques disparates. Les diverses formes de coopération encouragées par l’Agence faciliteraient elles aussi le rapprochement des conditions du marché et l’adoption, par les États membres, de mesures qui répondent aux problèmes de la sécurité de l’information.

28      Le Parlement fait valoir enfin que, si la Cour devait conclure que le règlement ne peut reposer sur l’article 95 CE, il peut, en tout état de cause, être fondé sur les pouvoirs implicites conférés au législateur communautaire par cette même disposition. Au regard de tels pouvoirs implicites, la création de l’Agence pourrait être considérée comme indispensable afin de garantir que les objectifs poursuivis par les directives particulières sont atteints.

29      Le Conseil soutient que le rapprochement prévu à l’article 95 CE concerne non seulement les législations nationales, mais également les dispositions réglementaires et administratives des États membres. Par ailleurs, des actes fondés sur cette base juridique pourraient comporter des dispositions qui, en elles‑mêmes, ne constituent pas des règles d’harmonisation, mais qui facilitent le rapprochement des réglementations nationales. En particulier, rien dans le libellé dudit article n’empêcherait le législateur de créer un organisme communautaire chargé d’apporter des compétences spécialisées dans un domaine qui fait déjà l’objet d’instruments d’harmonisation.

30      Le Conseil précise à cet égard que l’article 95 CE n’exclut pas la possibilité pour le législateur communautaire d’adopter des mesures qui visent à prévenir l’apparition d’obstacles futurs aux échanges résultant de l’évolution hétérogène des législations nationales. Ledit législateur serait en effet habilité à adopter des actes qui, même s’ils ne constituent pas par eux-mêmes des règles d’harmonisation, se rapportent directement au rapprochement des règles nationales, notamment afin de prévenir l’émergence de solutions inefficaces et des évolutions hétérogènes des réglementations des États membres.

31      Le Conseil relève que, en aidant la Commission à mener les travaux techniques préparatoires en vue de l’élaboration de la législation communautaire, l’Agence apportera, même au moyen de conseils non contraignants, une contribution décisive à l’harmonisation des réglementations et des pratiques nationales dans le domaine de la sécurité des réseaux et de l’information ainsi qu’à la mise à jour, au développement et à la mise en œuvre de ladite législation.

32      Selon le Conseil, l’avis d’une autorité indépendante, fournissant des conseils techniques à la demande de la Commission et des États membres, facilite la transposition dans le droit interne des États membres des directives adoptées en la matière. Le règlement n’aurait donc pas un effet accessoire ou subsidiaire en termes d’harmonisation des conditions du marché à l’intérieur de la Communauté, mais contribuerait directement au rapprochement des réglementations nationales.

33      Le Conseil soutient enfin que l’article 308 CE ne confère au législateur communautaire qu’une compétence législative résiduelle dans les domaines dans lesquels le pouvoir législatif matériel de réaliser certains objectifs n’a pas été attribué à la Communauté. En effet, dès lors qu’une base juridique spécifique existe pour l’adoption d’un acte communautaire, le recours à l’article 308 CE est exclu, ce dernier ne constituant qu’une base juridique «par défaut».

34      La République de Finlande fait valoir que les objectifs et le contenu du règlement sont étroitement liés à l’établissement et au bon fonctionnement du marché intérieur. En effet, la tâche fondamentale de l’Agence consisterait à assurer un niveau élevé et efficace de sécurité des réseaux et de l’information ainsi qu’à réduire les obstacles au fonctionnement du marché intérieur constitués par les différences existant entre les réglementations des États membres en la matière.

35      Ledit État membre considère que l’Agence facilite l’application uniforme des dispositions communautaires en matière de réseaux et de services de communications électroniques. L’Agence viserait notamment à prévenir l’apparition d’obstacles futurs au commerce, qui sont susceptibles de survenir en raison du caractère complexe et technique des réseaux électroniques ainsi que des divergences au niveau de la pratique des États membres.

36      La République de Finlande estime que, lors de la recherche de la base légale pour des dispositions établissant une entité communautaire, il conviendrait de tenir compte du degré de rapprochement de la législation communautaire relative au domaine en question. Étant donné que l’uniformisation réalisée par les dispositions communautaires relatives aux réseaux et aux services de communications électroniques est déjà bien avancée, la réglementation mise en place au niveau de la Communauté pourrait exiger, en vue d’assurer une pratique uniforme de l’application de ces dispositions, des mesures allant plus loin que celles habituellement adoptées en la matière.

37      La Commission considère que le règlement constitue, dans son but et son contenu, une mesure qui facilite directement la mise en œuvre et l’application harmonisées de certaines directives fondées sur l’article 95 CE. En effet, l’une des principales caractéristiques de la réglementation existante résiderait dans le fait qu’une grande partie de l’application détaillée de celle-ci est décentralisée et confiée aux autorités réglementaires nationales.

38      Ladite institution soutient que la création de l’Agence s’inscrit dans une notion plus large d’harmonisation, notamment en facilitant l’application harmonisée de directives communautaires par les autorités réglementaires nationales. En effet, l’objectif du règlement excéderait la simple création de l’Agence, étant donné que celle-ci devrait fournir des conseils et une assistance à la Commission ainsi qu’auxdites autorités. Dès lors, il existerait un lien entre la création de cette Agence et le cadre législatif communautaire relatif aux communications électroniques.

39      La Commission indique que la directive-cadre crée un système harmonisé pour la réglementation des services et des réseaux de communications électroniques ainsi que des ressources associées. Cette directive fixerait les tâches incombant aux autorités réglementaires nationales, établissant une série de procédures visant à garantir l’application harmonisée du mécanisme concerné dans l’ensemble de la Communauté.

40      Elle relève que, même si des paramètres relatifs à l’application décentralisée desdites directives sont clairement définis, il ne saurait être exclu que, dans l’exercice de la compétence discrétionnaire qui est attribuée aux autorités réglementaires nationales, celles-ci adoptent des positions divergentes. L’Agence aurait été instaurée pour aider ces autorités à parvenir à une compréhension technique commune des questions relatives à la sécurité des réseaux et de l’information.

41      La Commission ajoute que l’Agence fonctionne dans les limites des paramètres harmonisés du cadre législatif communautaire des communications électroniques et il importe peu que le rôle de cet organisme n’ait pas été défini lors de l’adoption de ce cadre général.

 Appréciation de la Cour

 Sur la portée de l’article 95 CE

42      En ce qui concerne l’étendue des compétences législatives prévues à l’article 95 CE, il y a lieu de rappeler que, comme la Cour l’a jugé au point 44 de son arrêt du 6 décembre 2005, Royaume-Uni/Parlement et Conseil (C-66/04, non encore publié au Recueil), cette disposition n’est utilisée en tant que base juridique que lorsqu’il ressort objectivement et effectivement de l’acte juridique que ce dernier a pour objectif d’améliorer les conditions de l’établissement et du fonctionnement du marché intérieur.

43      La Cour a également relevé au point 45 de l’arrêt Royaume-Uni/Parlement et Conseil, précité, que, par l’expression «mesures relatives au rapprochement» figurant à l’article 95 CE, les auteurs du traité ont voulu conférer au législateur communautaire, en fonction du contexte général et des circonstances spécifiques de la matière à harmoniser, une marge d’appréciation quant à la technique de rapprochement la plus appropriée afin d’aboutir au résultat souhaité, notamment dans des domaines qui se caractérisent par des particularités techniques complexes.

44      Il convient d’ajouter à cet égard que rien dans le libellé de l’article 95 CE ne permet de conclure que les mesures adoptées par le législateur communautaire sur le fondement de cette disposition doivent se limiter, quant à leurs destinataires, aux seuls États membres. Il peut en effet s’avérer nécessaire de prévoir, selon une appréciation faite par ledit législateur, l’institution d’un organisme communautaire chargé de contribuer à la réalisation d’un processus d’harmonisation dans des situations où, pour faciliter la mise en œuvre et l’application uniformes de actes fondés sur ladite disposition, l’adoption de mesures d’accompagnement et d’encadrement non contraignantes apparaît appropriée.

45      Il importe toutefois de souligner que les missions confiées à un tel organisme doivent se rattacher étroitement aux matières qui font l’objet des actes de rapprochement des dispositions législatives, réglementaires et administratives des États membres. Tel est notamment le cas lorsque l’organisme communautaire ainsi institué fournit des prestations aux autorités nationales et/ou aux opérateurs qui ont une incidence sur la mise en œuvre homogène des instruments d’harmonisation et qui sont susceptibles de faciliter leur application.

 Sur la conformité du règlement avec les exigences de l’article 95 CE

46      Dans ces conditions, il y a lieu d’examiner si les objectifs fixés à l’Agence par l’article 2 du règlement et les tâches qui lui sont conférées en vertu de l’article 3 de celui-ci correspondent aux prescriptions énoncées aux points 44 et 45 du présent arrêt.

47      À cette fin, il convient de déterminer, dans un premier temps, si lesdits objectifs et tâches se rattachent étroitement aux matières qui font l’objet des instruments qui sont décrits à l’article 1er, paragraphe 2, du règlement comme la «législation communautaire actuelle» ainsi que, dans l’affirmative et dans un second temps, si ces objectifs et tâches peuvent être considérés comme accompagnant et encadrant la mise en œuvre de cette législation.

48      En ce qui concerne la directive-cadre, visée au neuvième considérant du règlement, il ressort de son article 1er, paragraphe 1, qu’elle vise à créer un cadre harmonisé pour la réglementation des services de communications électroniques, des réseaux de communications électroniques ainsi que des ressources et services associés. Ladite directive fixe les tâches incombant aux autorités réglementaires nationales et établit une série de procédures visant à garantir l’application harmonisée du cadre réglementaire dans l’ensemble de la Communauté.

49      Le seizième considérant de la directive-cadre indique à cet égard que lesdites autorités fondent leur action sur un ensemble harmonisé d’objectifs et de principes. Ces derniers se trouvent énoncés à l’article 8 de la même directive et au nombre de ceux-ci figurent, notamment, un niveau élevé de protection des données à caractère personnel et de la vie privée ainsi que l’intégrité et la sécurité des réseaux de communications publics [voir article 8, paragraphe 4, sous c) et f), de la directive-cadre].

50      Il y a lieu de relever également que de nombreuses dispositions des directives particulières expriment les préoccupations du législateur communautaire en ce qui concerne la sécurité des réseaux et de l’information.

51      En premier lieu, ainsi qu’il ressort du sixième considérant du règlement, la directive «autorisation» mentionne, à son annexe, partie A, points 7 et 16, la protection des données à caractère personnel et de la vie privée dans le secteur des communications électroniques ainsi que la sécurité des réseaux publics face aux accès non autorisés.

52      En deuxième lieu, ainsi qu’il résulte du septième considérant du règlement, la directive «service universel» vise à assurer l’intégrité et la disponibilité des réseaux téléphoniques publics. À cet égard, l’article 23 de cette directive prévoit que les États membres prennent toutes les mesures nécessaires pour garantir ces fonctionnalités, en particulier en cas de défaillance catastrophique du réseau ou dans les cas de force majeure.

53      En troisième lieu, ainsi que le précise le huitième considérant du règlement, la directive «vie privée et communications électroniques» exige que les fournisseurs de services de communications électroniques accessibles au public prennent les mesures techniques et organisationnelles appropriées pour assurer la sécurité des services concernés ainsi que la confidentialité des communications et des données relatives au trafic y afférentes. Ces exigences se reflètent en particulier dans les articles 4 et 5 de ladite directive, dispositions qui ont respectivement pour objet la sécurité des réseaux et la confidentialité des communications.

54      En quatrième lieu, l’article 17 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31), prévoit que les États membres s’assurent que le responsable du traitement des données met en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

55      En cinquième lieu, il importe de rappeler que la directive «signatures électroniques» prévoit, à son article 3, paragraphe 4, que des organismes compétents, désignés par les États membres, déterminent les modalités relatives à la conformité des dispositifs sécurisés de création de signatures.

56      S’agissant des tâches qui sont confiées à l’Agence, il y a lieu d’une part de relever qu’elles portent sur la collecte d’informations appropriées en vue de procéder à l’analyse des risques actuels et émergents, en particulier ceux qui seraient susceptibles d’avoir une incidence sur la résistance aux pannes des réseaux de communications électroniques ainsi que sur l’authenticité, l’intégrité et la confidentialité desdites communications. L’Agence est également appelée à élaborer des «méthodologies communes» destinées à prévenir les problèmes de sécurité, à contribuer à la sensibilisation de tous les utilisateurs et à promouvoir les échanges des «meilleures pratiques actuelles» ainsi que les «méthodes d’alerte» et les activités d’évaluation et de gestion des risques.

57      L’Agence est, d’autre part, chargée de renforcer la coopération entre les différents acteurs dans le domaine de la sécurité des réseaux et de l’information, de fournir une assistance à la Commission et aux États membres dans le dialogue qu’ils mènent avec les entreprises en vue de gérer les problèmes de sécurité que posent les matériels et les logiciels ainsi que de contribuer aux initiatives communautaires visant à coopérer avec les États tiers et, le cas échéant, avec des organisations internationales pour œuvrer en faveur d’une approche globale commune à l’égard de la problématique de la sécurité des réseaux et de l’information.

58      Par conséquent, les tâches qui sont confiées à l’Agence, en vertu de l’article 3 du règlement, se rattachent étroitement aux objectifs poursuivis par la directive-cadre et les directives particulières dans le domaine de la sécurité des réseaux et de l’information.

59      Dans ces conditions, ainsi qu’il a été dit au point 47 du présent arrêt, il y a lieu de déterminer si les tâches de l’Agence peuvent être considérées comme accompagnant et encadrant la mise en œuvre de la législation communautaire en la matière, c’est-à-dire si l’institution de l’Agence ainsi que les objectifs et tâches qui sont assignés à cette dernière par le règlement peuvent être analysés comme des «mesures relatives au rapprochement» au sens de l’article 95 CE.

60      Compte tenu des caractéristiques de la matière concernée, il importe de relever que le règlement ne constitue pas une mesure isolée, mais qu’il s’insère dans un contexte normatif circonscrit par la directive-cadre ainsi que les directives particulières et visant à la réalisation du marché intérieur dans le domaine des communications électroniques.

61      Il résulte également de l’ensemble des éléments du dossier que le législateur communautaire s’est trouvé devant une matière mettant en œuvre des technologies qui sont non seulement complexes, mais également en rapide mutation. Il en a conclu qu’il était prévisible que la transposition et l’application de la directive-cadre et des directives particulières donnent lieu à des divergences entre les États membres.

62      Dans ces circonstances, le législateur communautaire a considéré que l’établissement d’un organisme communautaire tel que l’Agence était un moyen approprié de prévenir l’apparition de disparités susceptibles de créer des obstacles au bon fonctionnement du marché intérieur en la matière.

63      En effet, il convient de rappeler qu’il ressort des troisième et dixième considérants du règlement que, en raison de la complexité technique des réseaux et des systèmes d’information, de la diversité des produits et des services qui sont interconnectés ainsi que de la multitude d’acteurs privés et publics dont la responsabilité propre est engagée, le législateur communautaire a considéré que le bon fonctionnement du marché intérieur risque d’être compromis par une application hétérogène des prescriptions techniques énoncées dans la directive-cadre et les directives particulières.

64      Dans ce contexte, le législateur communautaire a pu estimer que l’avis d’une autorité indépendante fournissant des conseils techniques à la demande de la Commission et des États membres peut faciliter la transposition desdites directives dans le droit interne des États membres et la mise en œuvre de celles-ci au niveau national.

65      Enfin, il y a lieu de rappeler que, conformément à l’article 27 du règlement, l’Agence est instituée à partir du 14 mars 2004 pour une période de cinq ans et que, aux termes de l’article 25, paragraphes 1 et 2, de ce même règlement, la Commission est tenue de procéder au plus tard le 17 mars 2007 à une évaluation visant à apprécier l’impact de l’Agence au regard des objectifs et tâches qui lui sont assignés ainsi que de ses méthodes de travail.

66      Il résulte dès lors d’une lecture conjointe de ces deux dispositions que le législateur communautaire a considéré qu’il était approprié d’effectuer, avant de prendre une décision sur le sort de l’Agence, une évaluation de l’efficacité de l’action de cette Agence ainsi que de la contribution effective qu’elle apporte à la mise en œuvre de la directive-cadre et des directives particulières.

67      Dans ces conditions et eu égard à l’ensemble des éléments du dossier, il y a lieu de conclure que c’est à bon droit que le règlement est fondé sur l’article 95 CE et, partant, de rejeter le recours.

 Sur les dépens

68      Aux termes de l’article 69, paragraphe 2, du règlement de procédure, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens. Le Parlement et le Conseil ayant conclu à la condamnation du Royaume-Uni et celui-ci ayant succombé en ses moyens, il y a lieu de le condamner aux dépens. Conformément au paragraphe 4 du même article, la République de Finlande et la Commission supportent leurs propres dépens.

Par ces motifs, la Cour (grande chambre) déclare et arrête:

1)      Le recours est rejeté.

2)      Le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord est condamné aux dépens.

3)      La République de Finlande et la Commission des Communautés européennes supportent leurs propres dépens.

Signatures


* Langue de procédure: l’anglais.