Language of document :

ARRÊT DE LA COUR (grande chambre)

9 mars 2010 (*)

«Manquement d’État – Directive 95/46/CE – Protection des personnes physiques à l’égard du traitement des données à caractère personnel et libre circulation de ces données – Article 28, paragraphe 1 – Autorités nationales de contrôle – Indépendance – Tutelle administrative exercée sur ces autorités»

Dans l’affaire C‑518/07,

ayant pour objet un recours en manquement au titre de l’article 226 CE, introduit le 22 novembre 2007,

Commission européenne, représentée par MM. C. Docksey, C. Ladenburger et H. Krämer, en qualité d’agents, ayant élu domicile à Luxembourg,

partie requérante,

soutenue par:

Contrôleur européen de la protection des données, représenté par MM. H. Hijmans et A. Scirocco, en qualité d’agents, ayant élu domicile à Luxembourg,

partie intervenante,

contre

République fédérale d’Allemagne, représentée par MM. M. Lumma et J. Möller, en qualité d’agents, ayant élu domicile à Luxembourg,

partie défenderesse,

LA COUR (grande chambre),

composée de M. V. Skouris, président, MM. A. Tizzano, J. N. Cunha Rodrigues, K. Lenaerts, J.-C. Bonichot et E. Levits, présidents de chambre, MM. A. Rosas, K. Schiemann (rapporteur), J.-J. Kasel, M. Safjan et D. Šváby, juges,

avocat général: M. J. Mazák,

greffier: M. R. Grass,

vu la procédure écrite,

ayant entendu l’avocat général en ses conclusions à l’audience du 12 novembre 2009,

rend le présent

Arrêt

1        Par sa requête, la Commission des Communautés européennes demande à la Cour de constater que la République fédérale d’Allemagne a manqué aux obligations qui lui incombent en vertu de l’article 28, paragraphe 1, second alinéa, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31), en soumettant à la tutelle de l’État les autorités de contrôle compétentes pour la surveillance du traitement des données à caractère personnel dans le secteur non public dans les différents Länder et en transposant ainsi de façon erronée l’exigence de «totale indépendance» des autorités chargées de garantir la protection de ces données.

 Le cadre juridique

 La réglementation communautaire

2        La directive 95/46 a été adoptée sur le fondement de l’article 100 A du traité CE (devenu, après modification, article 95 CE) et vise à harmoniser les législations nationales relatives au traitement des données à caractère personnel.

3        Les troisième, septième, huitième, dixième et soixante‑deuxième considérants de la directive 95/46 énoncent ce qui suit:

«(3)      considérant que l’établissement et le fonctionnement du marché intérieur dans lequel, conformément à l’article 7 A du traité [CE (devenu, après modification, article 14 CE)], la libre circulation des marchandises, des personnes, des services et des capitaux est assurée, nécessitent non seulement que des données à caractère personnel puissent circuler librement d’un État membre à l’autre, mais également que les droits fondamentaux des personnes soient sauvegardés;

[…]

(7)      considérant que les différences entre États membres quant au niveau de protection des droits et libertés des personnes, notamment du droit à la vie privée, à l’égard des traitements de données à caractère personnel peuvent empêcher la transmission de ces données du territoire d’un État membre à celui d’un autre État membre; que ces différences peuvent dès lors constituer un obstacle à l’exercice d’une série d’activités économiques à l’échelle communautaire, fausser la concurrence et empêcher les administrations de s’acquitter des responsabilités qui leur incombent en vertu du droit communautaire; que ces différences de niveau de protection résultent de la disparité des dispositions nationales législatives, réglementaires et administratives;

(8)      considérant que, pour éliminer les obstacles à la circulation des données à caractère personnel, le niveau de protection des droits et libertés des personnes à l’égard du traitement de ces données doit être équivalent dans tous les États membres; que cet objectif, fondamental pour le marché intérieur, ne peut pas être atteint par la seule action des États membres, compte tenu en particulier de l’ampleur des divergences qui existent actuellement entre les législations nationales applicables en la matière et de la nécessité de coordonner les législations des États membres pour que le flux transfrontalier de données à caractère personnel soit réglementé d’une manière cohérente et conforme à l’objectif du marché intérieur au sens de l’article 7 A du traité; qu’une intervention de la Communauté visant à un rapprochement des législations est donc nécessaire;

[…]

(10)      considérant que l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales [signée à Rome le 4 novembre 1950] et dans les principes généraux du droit communautaire; que, pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté;

[…]

(62)      considérant que l’institution, dans les États membres, d’autorités de contrôle exerçant en toute indépendance leurs fonctions est un élément essentiel de la protection des personnes à l’égard du traitement des données à caractère personnel».

4        Intitulé «Objet de la directive», l’article 1er de la directive 95/46 est rédigé dans les termes suivants:

«1.      Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel.

2.      Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1.»

5        L’article 28 de la directive 95/46, intitulé «Autorité de contrôle», dispose:

«1.      Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

Ces autorités exercent en toute indépendance les missions dont elles sont investies.

2.      Chaque État membre prévoit que les autorités de contrôle sont consultées lors de l’élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l’égard du traitement de données à caractère personnel.

3.      Chaque autorité de contrôle dispose notamment:

–        de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle,

–        de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en œuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de ces avis ou celui d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d’autres institutions politiques,

–        du pouvoir d’ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l’autorité judiciaire.

Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel.

4.      Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d’une demande de vérification de la licéité d’un traitement lorsque les dispositions nationales prises en vertu de l’article 13 de la présente directive sont d’application. La personne est à tout le moins informée de ce qu’une vérification a eu lieu.

5.      Chaque autorité de contrôle établit à intervalles réguliers un rapport sur son activité. Ce rapport est publié.

6.      Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.

7.      Les États membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après cessation de leurs activités, à l’obligation du secret professionnel à l’égard des informations confidentielles auxquelles ils ont accès.»

6        Le règlement (CE) n° 45/2001 du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO 2001, L 8, p. 1), a été adopté sur le fondement de l’article 286 CE. L’article 44, paragraphes 1 et 2, de ce règlement énonce:

«1.      Le [C]ontrôleur européen de la protection des données [(ci-après le ‘CEPD’)] exerce ses fonctions en toute indépendance.

2.      Dans l’accomplissement de sa mission, le [CEPD] ne sollicite ni n’accepte d’instructions de quiconque.»

 La réglementation nationale

7        Le droit allemand opère une distinction en ce qui concerne la protection des personnes physiques à l’égard du traitement des données à caractère personnel selon que ce traitement est effectué par des organismes publics ou non.

8        Les autorités chargées du contrôle du respect des dispositions en la matière, d’une part, par les organismes publics et, d’autre part, par les organismes non publics et les entreprises de droit public prenant part à la concurrence sur le marché (öffentlich-rechtliche Wettbewerbsunternehmen) (ci-après, ensemble, le «secteur non public») sont en effet différentes.

9        Le traitement des données à caractère personnel réalisé par les organismes publics est surveillé, au niveau fédéral, par le Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (délégué fédéral pour la protection des données et la liberté de l’information) et, au niveau des Länder, par les Landesdatenschutzbeauftragte (délégués pour la protection des données des Länder). Tous ces délégués sont uniquement responsables devant leur parlement respectif et ne sont normalement soumis à aucune tutelle, instruction ou autre influence de la part des organismes publics qui sont placés sous leur contrôle.

10      En revanche, la structure des autorités chargées de surveiller le traitement desdites données par le secteur non public varie d’un Land à l’autre. Toutefois, les lois des Länder ont pour caractéristique commune de soumettre expressément ces autorités de contrôle à une tutelle exercée par l’État.

 La procédure précontentieuse et la procédure devant la Cour

11      Estimant qu’il est incompatible avec l’article 28, paragraphe 1, second alinéa, de la directive 95/46 de soumettre l’autorité chargée de veiller au respect des dispositions sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel par le secteur non public à une tutelle de l’État, ainsi que c’est le cas dans tous les Länder allemands, la Commission a, le 5 juillet 2005, adressé une lettre de mise en demeure à la République fédérale d’Allemagne. Cette dernière a répondu par une lettre datée du 12 septembre 2005 en affirmant que le système allemand de contrôle en la matière répond aux exigences de ladite directive. La Commission a ensuite adressé, le 12 décembre 2006, un avis motivé à la République fédérale d’Allemagne, réitérant le grief précédemment formulé. Dans sa réponse du 14 février 2007, celle‑ci a réaffirmé son point de vue initial.

12      C’est dans ces conditions que la Commission a décidé d’introduire le présent recours.

13      Par ordonnance du président de la Cour du 14 octobre 2008, le CEPD a été admis à intervenir dans la présente affaire au soutien des conclusions de la Commission.

 Sur le recours

 Argumentation des parties

14      Le présent litige porte sur deux conceptions contraires que la Commission, soutenue par le CEPD, et la République fédérale d’Allemagne ont des termes «en toute indépendance» figurant à l’article 28, paragraphe 1, second alinéa, de la directive 95/46 et de l’exercice des missions des autorités de contrôle en matière de protection des personnes physiques à l’égard du traitement des données à caractère personnel.

15      Selon la Commission et le CEPD, qui se fondent sur une interprétation large des termes «en toute indépendance», l’exigence d’exercice des missions des autorités de contrôle «en toute indépendance» doit être interprétée en ce sens qu’une autorité de contrôle doit être soustraite à toute influence, que cette dernière soit exercée par d’autres autorités ou en dehors du cadre de l’administration. La tutelle de l’État à laquelle les autorités de contrôle du respect de la réglementation en matière de protection des personnes physiques à l’égard du traitement des données à caractère personnel dans le secteur non public sont subordonnées en Allemagne représenterait dès lors une méconnaissance de ladite exigence.

16      La République fédérale d’Allemagne préconise, quant à elle, une interprétation plus étroite des termes «en toute indépendance» et soutient que l’article 28, paragraphe 1, second alinéa, de la directive 95/46 exige une indépendance fonctionnelle des autorités de contrôle, en ce sens que ces autorités doivent être indépendantes du secteur non public soumis à leur contrôle et qu’elles ne doivent pas être exposées à des influences extérieures. Or, selon elle, la tutelle de l’État exercée dans les Länder allemands constitue non pas une telle influence extérieure, mais un mécanisme de surveillance interne à l’administration, mis en œuvre par des autorités relevant du même appareil administratif que les autorités de contrôle et tenues, tout comme ces dernières, de remplir les objectifs de la directive 95/46.

 Appréciation de la Cour

 Sur la portée de l’exigence d’indépendance des autorités de contrôle

17      L’appréciation du bien-fondé du présent recours dépend de la portée de l’exigence d’indépendance contenue dans l’article 28, paragraphe 1, second alinéa, de la directive 95/46 et, partant, de l’interprétation de cette disposition. Dans ce contexte, il convient de tenir compte du libellé même de ladite disposition ainsi que des objectifs et de l’économie de la directive 95/46.

18      S’agissant, en premier lieu, du libellé de l’article 28, paragraphe 1, second alinéa, de la directive 95/46, dès lors que les termes «en toute indépendance» ne sont pas définis par cette dernière, il convient de tenir compte de leur sens habituel. En matière d’organe public, le terme «indépendance» désigne normalement un statut qui assure à l’organe concerné la possibilité d’agir en toute liberté, à l’abri de toute instruction et de toute pression.

19      Contrairement à la position soutenue par la République fédérale d’Allemagne, rien n’indique que l’exigence d’indépendance concerne exclusivement la relation entre les autorités de contrôle et les organismes soumis à leur contrôle. Au contraire, la notion d’«indépendance» est renforcée par l’adjectif «toute», ce qui implique un pouvoir décisionnel soustrait à toute influence extérieure à l’autorité de contrôle, qu’elle soit directe ou indirecte.

20      Concernant, en deuxième lieu, les objectifs de la directive 95/46, il ressort notamment des troisième, septième et huitième considérants de celle-ci que, par l’harmonisation des règles nationales protégeant les personnes physiques à l’égard du traitement de données à caractère personnel, cette directive vise principalement à assurer la libre circulation de telles données entre États membres (voir, en ce sens, arrêt du 20 mai 2003, Österreichischer Rundfunk e.a., C‑465/00, C‑138/01 et C‑139/01, Rec. p. I‑4989, points 39 et 70), qui est nécessaire à l’établissement et au fonctionnement du marché intérieur, au sens de l’article 14, paragraphe 2, CE.

21      Or, la libre circulation de données à caractère personnel est susceptible de porter atteinte au droit à la vie privée tel que reconnu notamment à l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (voir, en ce sens, Cour eur. D. H., arrêts Amann c. Suisse du 16 février 2000, Recueil des arrêts et décisions 2000-II, § 69 et 80, et Rotaru c. Roumanie du 4 mai 2000, Recueil des arrêts et décisions 2000-V, § 43 et 46) ainsi que par les principes généraux du droit communautaire.

22      Pour cette raison, et ainsi qu’il ressort notamment du dixième considérant et de l’article 1er de la directive 95/46, celle-ci vise également à ne pas affaiblir la protection qu’assurent les règles nationales existantes, mais au contraire à garantir, dans la Communauté, un niveau élevé de protection des libertés et des droits fondamentaux à l’égard du traitement de données à caractère personnel (voir, en ce sens, arrêts Österreichischer Rundfunk e.a., précité, point 70, ainsi que du 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia, C‑73/07, Rec. p. I‑9831, point 52).

23      Les autorités de contrôle prévues à l’article 28 de la directive 95/46 sont donc les gardiennes desdits droits et libertés fondamentaux, et leur institution, dans les États membres, est considérée, ainsi que le relève le soixante-deuxième considérant de cette directive, comme un élément essentiel de la protection des personnes à l’égard du traitement des données à caractère personnel.

24      Pour garantir cette protection, les autorités de contrôle doivent assurer un juste équilibre entre, d’une part, le respect du droit fondamental à la vie privée et, d’autre part, les intérêts qui commandent une libre circulation des données à caractère personnel. Par ailleurs, en vertu de l’article 28, paragraphe 6, de la directive 95/46, les différentes autorités nationales sont appelées à coopérer entre elles et même, le cas échéant, à exercer leurs pouvoirs à la demande d’une autorité d’un autre État membre.

25      La garantie d’indépendance des autorités nationales de contrôle vise à assurer l’efficacité et la fiabilité du contrôle du respect des dispositions en matière de protection des personnes physiques à l’égard du traitement des données à caractère personnel et doit être interprétée à la lumière de cet objectif. Elle a été établie non afin de conférer un statut particulier à ces autorités elles-mêmes ainsi qu’à leurs agents, mais en vue de renforcer la protection des personnes et des organismes qui sont concernés par leurs décisions. Il s’ensuit que, lors de l’exercice de leurs missions, les autorités de contrôle doivent agir de manière objective et impartiale. À cet effet, elles doivent être à l’abri de toute influence extérieure, y compris celle, directe ou indirecte, de l’État ou des Länder, et pas seulement de l’influence des organismes contrôlés.

26      Concernant, en troisième lieu, l’économie de la directive 95/46, cette directive doit être comprise comme le pendant de l’article 286 CE et du règlement n° 45/2001. Ces derniers concernent le traitement des données à caractère personnel par les institutions et organes communautaires ainsi que la libre circulation de ces données. Ladite directive poursuit elle aussi ces objectifs, mais en ce qui concerne le traitement de telles données dans les États membres.

27      De même que des organes de contrôle existent au niveau national, un organe de contrôle chargé de surveiller l’application des règles en matière de protection des personnes physiques à l’égard du traitement des données à caractère personnel est également prévu au niveau communautaire, à savoir le CEPD. Conformément à l’article 44, paragraphe 1, du règlement n° 45/2001, cet organe exerce ses fonctions en toute indépendance. Le paragraphe 2 dudit article explicite cette notion d’indépendance en ajoutant que, dans l’accomplissement de sa mission, le CEPD ne sollicite ni n’accepte d’instructions de quiconque.

28      Compte tenu du fait que l’article 44 du règlement n° 45/2001 et l’article 28 de la directive 95/46 sont fondés sur le même concept général, il convient d’interpréter ces deux dispositions de manière homogène, de sorte que non seulement l’indépendance du CEPD, mais aussi celle des autorités nationales, impliquent l’absence de toute instruction relative à l’exercice de leurs missions.

29      En se fondant sur le libellé même de l’article 28, paragraphe 1, second alinéa, de la directive 95/46 ainsi que sur les objectifs et l’économie de cette directive, il est possible d’aboutir à une interprétation claire dudit article 28, paragraphe 1, second aliéna. Il n’est, par conséquent, pas nécessaire de prendre en compte la genèse de ladite directive ou de se prononcer sur les exposés, contradictoires à cet égard, présentés par la Commission et la République fédérale d’Allemagne.

30      Compte tenu de tout ce qui précède, il y a lieu d’interpréter l’article 28, paragraphe 1, second alinéa, de la directive 95/46 en ce sens que les autorités de contrôle compétentes pour la surveillance du traitement des données à caractère personnel dans le secteur non public doivent jouir d’une indépendance qui leur permette d’exercer leurs missions sans influence extérieure. Cette indépendance exclut non seulement toute influence exercée par les organismes contrôlés, mais aussi toute injonction et toute autre influence extérieure, que cette dernière soit directe ou indirecte, qui pourraient remettre en cause l’accomplissement, par lesdites autorités, de leur tâche consistant à établir un juste équilibre entre la protection du droit à la vie privée et la libre circulation des données à caractère personnel.

 Sur la tutelle de l’État

31      Il convient ensuite d’examiner si la tutelle de l’État à laquelle les autorités de contrôle du traitement des données à caractère personnel réalisé par le secteur non public sont soumises en Allemagne est compatible avec l’exigence d’indépendance telle qu’ainsi précisée.

32      À cet égard, il y a lieu de constater que la tutelle de l’État, de quelque nature qu’elle soit, permet en principe au gouvernement du Land concerné ou à un organe de l’administration soumise à ce gouvernement d’influer directement ou indirectement sur les décisions des autorités de contrôle ou, le cas échéant, d’annuler et de remplacer ces décisions.

33      Certes, il convient d’admettre a priori, comme le fait valoir la République fédérale d’Allemagne, que la tutelle de l’État ne vise qu’à garantir une action des autorités de contrôle qui soit conforme aux dispositions nationales et communautaires applicables, et qu’elle n’a donc pas pour objectif de contraindre lesdites autorités à éventuellement poursuivre des objectifs politiques contraires à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et aux droits fondamentaux.

34      Toutefois, il ne saurait être exclu que les autorités de tutelle, qui font partie de l’administration générale et sont donc soumises au gouvernement de leur Land respectif, ne soient pas en mesure d’agir de manière objective lorsqu’elles interprètent et appliquent les dispositions relatives au traitement des données à caractère personnel.

35      En effet, comme le relève le CEPD dans ses observations, le gouvernement du Land concerné peut avoir intérêt à ne pas observer les dispositions relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel lorsqu’il est question du traitement de telles données par le secteur non public. Ce gouvernement peut lui-même être une partie intéressée à ce traitement, s’il y participe ou pourrait y participer, par exemple dans le cas d’un partenariat public-privé ou dans le cadre de marchés publics avec le secteur privé. Ce gouvernement peut également avoir un intérêt spécifique s’il lui est nécessaire, voire simplement utile, d’accéder à des bases de données pour accomplir certaines de ses missions, notamment à des fins fiscales ou répressives. Ce même gouvernement peut par ailleurs également avoir tendance à privilégier des intérêts économiques dans l’application desdites dispositions par certaines sociétés importantes, d’un point de vue économique, pour le Land ou la région.

36      En outre, il convient de souligner que le seul risque que les autorités de tutelle puissent exercer une influence politique sur les décisions des autorités de contrôle suffit pour entraver l’exercice indépendant des missions de celles-ci. D’une part, comme l’a relevé la Commission, il pourrait y avoir une «obéissance anticipée» de ces autorités eu égard à la pratique décisionnelle de l’autorité de tutelle. D’autre part, le rôle de gardiennes du droit à la vie privée qu’assument lesdites autorités exige que leurs décisions, et donc elles-mêmes, soient au-dessus de tout soupçon de partialité.

37      Eu égard aux considérations qui précèdent, il y a lieu de constater que la tutelle de l’État exercée sur les autorités allemandes de contrôle compétentes pour la surveillance du traitement des données à caractère personnel dans le secteur non public n’est pas compatible avec l’exigence d’indépendance telle que décrite au point 30 du présent arrêt.

 Sur les principes du droit communautaire invoqués par la République fédérale d’Allemagne

38      La République fédérale d’Allemagne a fait valoir qu’il serait contraire à différents principes du droit communautaire d’interpréter l’exigence d’indépendance inscrite à l’article 28, paragraphe 1, second alinéa, de la directive 95/46 de telle manière qu’elle contraindrait cet État membre à abandonner son système éprouvé et efficace de tutelle sur les autorités de contrôle en ce qui concerne le traitement des données à caractère personnel dans le domaine non public.

39      En premier lieu, selon ledit État membre, le principe de démocratie, en particulier, s’opposerait à une interprétation large de ladite exigence d’indépendance.

40      Ce principe, qui serait consacré non seulement dans la constitution allemande, mais aussi à l’article 6, paragraphe 1, UE, exigerait une soumission de l’administration aux instructions du gouvernement, responsable devant le parlement. Ainsi, les interventions concernant les droits des citoyens et des entreprises devraient être soumises à la tutelle de légalité du ministre compétent. Les autorités de contrôle en matière de protection des personnes physiques à l’égard du traitement des données à caractère personnel disposant de certains pouvoirs d’intervention à l’égard de citoyens et du secteur non public en vertu de l’article 28, paragraphe 3, de la directive 95/46, un contrôle élargi de la légalité de leurs activités au moyen d’instruments de contrôle de la légalité ou du fond serait absolument nécessaire.

41      À cet égard, il y a lieu de rappeler que le principe de démocratie relève de l’ordre juridique communautaire et a été consacré expressément à l’article 6, paragraphe 1, UE comme l’un des fondements de l’Union européenne. En tant que principe commun aux États membres, il doit être pris en compte lors de l’interprétation d’un acte de droit dérivé, tel l’article 28 de la directive 95/46.

42      Ce principe ne s’oppose pas à l’existence d’autorités publiques situées en dehors de l’administration hiérarchique classique et plus ou moins indépendantes du gouvernement. L’existence et les conditions de fonctionnement de telles autorités relèvent, dans les États membres, de la loi ou même, dans certains États membres, de la Constitution et ces autorités sont soumises au respect de la loi, sous le contrôle des juridictions compétentes. De telles autorités administratives indépendantes, ainsi qu’il en existe d’ailleurs dans le système juridique allemand, ont souvent des fonctions régulatrices ou exercent des missions qui doivent être soustraites à l’influence politique, tout en restant soumises au respect de la loi, sous le contrôle des juridictions compétentes. Tel est précisément le cas des missions des autorités de contrôle en matière de protection des personnes physiques à l’égard du traitement des données à caractère personnel.

43      Certes, l’absence de toute influence parlementaire sur ces autorités ne saurait se concevoir. Cependant, il convient de relever que la directive 95/46 n’impose en rien aux États membres une telle absence de toute influence parlementaire.

44      Ainsi, d’une part, les personnes assumant la direction des autorités de contrôle peuvent être nommées par le parlement ou le gouvernement. D’autre part, le législateur peut définir les compétences desdites autorités.

45      En outre, le législateur peut imposer aux autorités de contrôle l’obligation de rendre compte au parlement de leurs activités. Un rapprochement peut être opéré, à cet égard, avec l’article 28, paragraphe 5, de la directive 95/46, qui prévoit que chaque autorité de contrôle établit à intervalles réguliers un rapport sur son activité, qui sera publié.

46      Compte tenu de ce qui précède, le fait de conférer un statut indépendant de l’administration générale aux autorités de contrôle en matière de protection des personnes physiques à l’égard du traitement des données à caractère personnel dans le secteur non public n’est pas en soi de nature à priver ces autorités de leur légitimité démocratique.

47      En deuxième lieu, concernant le principe des compétences d’attribution consacré à l’article 5, premier alinéa, CE, également invoqué par la République fédérale d’Allemagne, celui‑ci oblige la Communauté à n’agir que dans les limites des compétences qui lui sont conférées et des objectifs qui lui sont assignés par le traité CE.

48      La République fédérale d’Allemagne fait valoir dans ce contexte que l’indépendance des autorités de contrôle par rapport aux autorités administratives supérieures ne pourrait pas être exigée sur la base de l’article 100 A du traité CE, sur lequel la directive 95/46 est fondée.

49      Cette disposition habilite le législateur communautaire à adopter des mesures destinées à améliorer les conditions de l’établissement et du fonctionnement du marché intérieur, ces mesures devant effectivement avoir cet objet en contribuant à l’élimination d’entraves aux libertés économiques garanties par le traité CE (voir en ce sens, notamment, arrêts du 5 octobre 2000, Allemagne/Parlement et Conseil, C‑376/98, Rec. p. I‑8419, points 83, 84 et 95; du 10 décembre 2002, British American Tobacco (Investments) et Imperial Tobacco, C‑491/01, Rec. p. I‑11453, point 60, ainsi que du 2 mai 2006, Parlement/Conseil, C‑436/03, Rec. p. I‑3733, point 38).

50      Ainsi qu’il a déjà été exposé, l’indépendance des autorités de contrôle, en ce qu’elles doivent être soustraites à toute influence extérieure susceptible d’orienter leurs décisions, est un élément essentiel au regard des objectifs de la directive 95/46. Elle est nécessaire pour créer, dans tous les États membres, un niveau également élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel et contribue de cette façon à la libre circulation des données, qui est nécessaire à l’établissement et au fonctionnement du marché intérieur.

51      Compte tenu de ce qui précède, une interprétation large de l’exigence d’indépendance des autorités de contrôle ne dépasse pas les limites des compétences conférées à la Communauté en vertu de l’article 100 A du traité CE, qui constitue le fondement juridique de la directive 95/46.

52      En troisième lieu, la République fédérale d’Allemagne invoque les principes de subsidiarité et de proportionnalité, figurant à l’article 5, deuxième et troisième alinéas, CE, ainsi que le principe de la coopération loyale entre les États membres et les institutions communautaires consacré à l’article 10 CE.

53      Elle rappelle notamment le paragraphe 7 du protocole sur l’application des principes de subsidiarité et de proportionnalité, annexé au traité UE et au traité CE par le traité d’Amsterdam, selon lequel, sans préjudice de la législation communautaire, il convient de veiller au respect des pratiques nationales bien établies ainsi que de l’organisation et du fonctionnement des systèmes juridiques des États membres.

54      Il serait contraire à cette exigence d’obliger la République fédérale d’Allemagne à adopter un système étranger à son ordre juridique et, ainsi, à abandonner un système de contrôle efficace qui aurait fait ses preuves depuis presque trente ans et qui aurait été un exemple dans le domaine de la législation en matière de protection des données, dont le rayonnement aurait été bien plus que national.

55      Cette argumentation ne saurait être retenue. En effet, ainsi qu’il a été exposé aux points 21 à 25 ainsi que 50 du présent arrêt, l’interprétation de l’exigence d’indépendance inscrite à l’article 28, paragraphe 1, second alinéa, de la directive 95/46 en ce sens qu’elle s’oppose à une tutelle de l’État n’excède pas ce qui est nécessaire pour atteindre les objectifs du traité CE.

56      Eu égard à l’ensemble des considérations qui précèdent, il convient de constater que la République fédérale d’Allemagne a manqué aux obligations qui lui incombent en vertu de l’article 28, paragraphe 1, second alinéa, de la directive 95/46 en soumettant à la tutelle de l’État les autorités de contrôle compétentes pour la surveillance du traitement des données à caractère personnel par le secteur non public dans les différents Länder, transposant ainsi de façon erronée l’exigence selon laquelle ces autorités exercent leurs missions «en toute indépendance».

 Sur les dépens

57      En vertu de l’article 69, paragraphe 2, du règlement de procédure, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens. La Commission ayant conclu à la condamnation de la République fédérale d’Allemagne et celle-ci ayant succombé en ses moyens, il y a lieu de la condamner aux dépens.

58      Le CEPD supportera ses propres dépens.

Par ces motifs, la Cour (grande chambre) déclare et arrête:

1)      La République fédérale d’Allemagne a manqué aux obligations qui lui incombent en vertu de l’article 28, paragraphe 1, second alinéa, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, en soumettant à la tutelle de l’État les autorités de contrôle compétentes pour la surveillance du traitement des données à caractère personnel par les organismes non publics et les entreprises de droit public prenant part à la concurrence sur le marché (öffentlich-rechtliche Wettbewerbsunternehmen) dans les différents Länder, transposant ainsi de façon erronée l’exigence selon laquelle ces autorités exercent leurs missions «en toute indépendance».

2)      La République fédérale d’Allemagne est condamnée à supporter les dépens de la Commission européenne.

3)      Le Contrôleur européen de la protection des données supporte ses propres dépens.

Signatures


* Langue de procédure: l’allemand.