CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. MACIEJ SZPUNAR
présentées le 11 mai 2023 (1)
Affaire C‑33/22
Österreichische Datenschutzbehörde
en présence de
WK,
Präsident des Nationalrates
[demande de décision préjudicielle formée par le Verwaltungsgerichtshof (Cour administrative, Autriche)]
« Renvoi préjudiciel – Protection des données personnelles – Article 16, paragraphe 2, TFUE – Activités relevant du champ d’application du droit de l’Union – Règlement général de protection des données à caractère personnel – Activités relatives à la sécurité nationale – Commission d’enquête du Parlement d’un État membre – Contrôle de l’activité d’une autorité de police – Compétences de l’autorité de contrôle de la protection des données – Article 55, paragraphe 1 – Article 77, paragraphe 1 – Effet direct »
Introduction
1. Les travaux d’une commission d’enquête du Parlement d’un État membre relèvent-ils du champ d’application du règlement (UE) 2016/679 (2), y compris lorsque l’enquête porte sur des questions relatives à la sécurité nationale ? Dans l’affirmative, les dispositions du RGPD relatives au droit de réclamation auprès d’une autorité de contrôle nationale peuvent-elles être appliquées directement, en dépit d’un principe constitutionnel qui s’oppose à l’ingérence externe dans l’activité du Parlement ? Telles sont, en substance, les questions soulevées dans la présente affaire par le Verwaltungsgerichtshof (Cour administrative, Autriche).
2. Conformément à la jurisprudence de la Cour, je proposerai d’y répondre par l’affirmative. À mes yeux, une telle solution répondrait non seulement aux intentions du législateur de l’Union – qui a érigé le RGPD en véritable lex generalis en matière de protection des données à caractère personnel –, mais également aux motifs qui sous-tendent les dispositions de l’article 16 TFUE, dont le champ d’application s’étend aux activités de contrôle des États membres, telles que celles en cause dans l’affaire au principal.
3. En l’espèce, un agent de la police criminelle, WK (ci-après « l’intéressé »), a été entendu par une commission d’enquête du Parlement autrichien au sujet de perquisitions menées, notamment, dans les locaux du Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Office fédéral pour la protection de la Constitution et pour la lutte contre le terrorisme, Autriche, ci-après le « BVT »). Le procès-verbal de l’audition a ensuite été publié sur le site Internet du Parlement autrichien, faisant apparaître les nom et prénom de l’intéressé, au motif que la presse avait déjà divulgué son identité.
4. Estimant que son droit à la confidentialité des données à caractère personnel n’avait pas été respecté, l’intéressé a saisi l’Österreichische Datenschutzbehörde (autorité nationale de protection des données, Autriche, ci-après la « Datenschutzbehörde ») d’une réclamation au titre de l’article 77, paragraphe 1, du RGPD, qui n’a pourtant pas fait l’objet d’un examen au fond. Eu égard au principe de la séparation des pouvoirs consacré en droit autrichien, la Datenschutzbehörde a décliné sa compétence, estimant que son pouvoir de contrôle se heurtait en l’espèce à l’indépendance constitutionnelle des organes du Parlement.
5. C’est dans ces circonstances que l’intéressé a exercé le recours dont l’issue dépend des réponses aux questions préjudicielles présentées à la Cour. Ces questions portent, en substance, sur le champ d’application matériel et sur l’effet direct des dispositions pertinentes du RGPD, dont voici la teneur.
Le cadre juridique
Le droit de l’Union
6. Les considérants 16, 20, et 117 du RGPD énoncent :
« (16) Le présent règlement ne s’applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale. Le présent règlement ne s’applique pas au traitement des données à caractère personnel par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l’Union.
[...]
(20) Bien que le présent règlement s’applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l’Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de contrôle ne devrait pas s’étendre au traitement de données à caractère personnel effectué par les juridictions dans l’exercice de leur fonction juridictionnelle, afin de préserver l’indépendance du pouvoir judiciaire dans l’accomplissement de ses missions judiciaires, y compris lorsqu’il prend des décisions. [...]
[...]
(117) La mise en place d’autorités de contrôle dans les États membres, habilitées à exercer leurs missions et leurs pouvoirs en toute indépendance, est un élément essentiel de la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Les États membres devraient pouvoir mettre en place plusieurs autorités de contrôle en fonction de leur structure constitutionnelle, organisationnelle et administrative. »
7. L’article 2 du RGPD, intitulé « Champ d’application matériel », dispose :
« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :
a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
b) par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne ;
c) par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;
d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.
[...] ».
8. L’article 23, paragraphe 1, du RGPD, intitulé « Limitations », prévoit :
« Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir :
a) la sécurité nationale ;
[...]
h) une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à e) et g) ;
[...] »
9. L’article 51, paragraphe 1, du RGPD, intitulé « Autorité de contrôle », se lit comme suit :
« Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union (ci-après dénommée “autorité de contrôle”). »
10. L’article 55 du RGPD, intitulé « Compétence », est ainsi rédigé :
« 1. Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève.
[...]
3. Les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle. »
11. L’article 77, paragraphe 1, du RGPD, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », prévoit :
« Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, [...] si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. »
Le droit autrichien
12. L’article 53 du Bundes-Verfassungsgesetz (loi constitutionnelle fédérale), du 2 janvier 1930 (BGBl. 1/1930), dans la version du 30 décembre 2021 (BGBl. I 235/2021), prévoit :
« (1) Le Nationalrat peut décider la constitution de commissions d’enquête. En outre, une commission d’enquête est instituée à la demande d’un quart de ses membres.
(2) L’enquête porte sur une activité passée dans un domaine relevant du pouvoir exécutif au niveau fédéral. Y sont incluses toutes les activités des organes fédéraux par l’intermédiaire desquels le Bund, indépendamment de l’importance de sa participation, exerce des droits de participation et de surveillance. Un réexamen de la jurisprudence est exclu.
(3) Tous les organes du Bund, des Länder, des communes et des groupements de communes ainsi que des autres organes autonomes doivent, sur demande, produire leurs dossiers et leurs documents à une commission d’enquête dans la mesure où ceux-ci relèvent de l’objet de l’enquête et sont tenus de déférer aux réquisitions d’une commission d’enquête tendant à collecter des éléments de preuve en rapport avec l’objet de l’enquête. [...]
[...] »
13. Aux termes de l’article 18, paragraphe 1, du Datenschutzgesetz (loi relative à la protection des données à caractère personnel), du 17 août 1999 (BGBl. I 165/1999), dans la version du 26 juillet 2021 (BGBl. I 148/2021, ci-après le « DSG »), intitulé « Organisation » :
« La Datenschutzbehörde est instituée en tant qu’autorité de contrôle nationale conformément à l’article 51 du [RGPD]. »
14. L’article 24 du DSG, intitulé « Réclamation auprès de la Datenschutzbehörde », est libellé comme suit :
« (1) Toute personne concernée a le droit d’introduire une réclamation auprès de la Datenschutzbehörde si elle estime que le traitement des données à caractère personnel la concernant constitue une violation du RGPD [...] »
15. L’article 35 du DSG, intitulé « Pouvoirs spécifiques de l’autorité de contrôle de la protection des données », prévoit, à son paragraphe 1 :
« La Datenschutzbehörde a pour mission de garantir la protection des données conformément aux dispositions du RGPD et de la présente loi fédérale. »
Les faits à l’origine du litige, la procédure au principal et les questions préjudicielles
Les antécédents du litige
16. Le 20 avril 2018, la chambre basse du Parlement autrichien a créé une commission d’enquête chargée d’examiner les influences qui auraient été exercées sur le BVT dans le but d’instrumentaliser ses activités. Les affirmations avancées par les députés à l’origine de la demande d’enquête concernaient, en particulier, des cas d’abus d’autorité imputés aux agents du BVT, des rumeurs relatives à une écoute installée dans les bureaux de la chancellerie fédérale, l’instrumentalisation présumée des investigations ciblant certains mouvements extrémistes, ainsi que des nominations d’inspiration politique, intervenues au sein du BVT et dans des cabinets ministériels.
17. Le 19 septembre 2018, l’intéressé a été entendu par la commission d’enquête en qualité de témoin. Agent d’une brigade de la police fédérale chargée de lutte contre la délinquance sur la voie publique, il a été interrogé au sujet des perquisitions et des saisies de données réalisées par son unité dans les bureaux du BVT et aux domiciles de ses employés.
18. En dépit de la pratique adoptée à l’égard de certains autres témoins, et nonobstant la demande d’anonymisation présentée par l’intéressé, la commission d’enquête a révélé son identité en publiant la version intégrale du procès-verbal de l’audition sur le site Internet du Parlement autrichien.
La procédure dans l’affaire au principal
19. La réclamation introduite par l’intéressé auprès de la Datenschutzbehörde au titre de l’article 77, paragraphe 1, du RGPD a été rejetée pour incompétence. Dans sa décision du 18 septembre 2019, cette autorité a fait valoir que le principe de la séparation des pouvoirs s’opposait à ce qu’elle s’immisce dans les travaux d’un organe du Parlement.
20. Le recours introduit par l’intéressé contre la décision du 18 septembre 2019 a été accueilli par le Bundesverwaltungsgericht (tribunal administratif fédéral, Autriche) par jugement du 23 novembre 2020. Ce tribunal a annulé la décision de la Datenschutzbehörde, au motif que les dispositions du RGPD ne prévoyaient pas d’exceptions susceptibles de limiter son champ d’application à l’égard des organes du pouvoir législatif.
21. La Datenschutzbehörde a introduit un pourvoi en Revision contre ce jugement devant le Verwaltungsgerichtshof (Cour administrative), qui se demande si les dispositions du RGPD peuvent s’appliquer dans l’affaire au principal.
Les questions préjudicielles
22. En premier lieu – et indépendamment de l’objet de l’enquête dans l’affaire au principal – la juridiction de renvoi se demande si les activités d’une commission d’enquête parlementaire « relèvent du champ d’application du droit de l’Union » au sens de l’article 16, paragraphe 2, TFUE. Cette disposition détermine la compétence du Parlement européen et du Conseil pour adopter les règles relatives aux traitements des données personnelles effectués par les États membres.
23. À cet égard, dans la mesure où les compétences de l’Union demeurent limitées par le principe d’attribution, la juridiction de renvoi se demande si le RGPD a vocation à s’appliquer aux activités d’un organe parlementaire investi d’une mission de contrôle politique, qui ne lui semblent régies par aucune disposition spécifique du droit de l’Union.
24. Soucieuse de préserver l’identité nationale et les fonctions essentielles des États membres, conformément à l’article 4, paragraphe 2, TUE, la juridiction de renvoi relève en outre que l’ingérence d’un organe administratif, tel que la Datenschutzbehörde, dans les travaux du Parlement contreviendrait au principe de la séparation des pouvoirs consacré par la Constitution autrichienne.
25. À la lumière de l’arrêt Land Hessen (3), dans lequel la Cour a confirmé que les dispositions du RGPD s’appliquaient aux travaux de la commission des pétitions du Parlement du Land de Hesse, la juridiction de renvoi se demande, enfin, si les missions qui incombent à cette dernière commission, dont la contribution aux travaux parlementaires n’est qu’indirecte, ne devraient pas être distinguées de celles dont sont investies les commissions d’enquête. Selon elle, celles-ci se trouvent au cœur de l’activité du Parlement et pourraient échapper, à ce titre, au champ d’application du droit de l’Union.
26. En deuxième lieu, dans l’hypothèse où la Cour jugerait que les dispositions du RGPD ont vocation à régir les activités des commissions d’enquête, la juridiction de renvoi se demande toutefois si la commission en cause dans l’affaire au principal ne devrait pas y être soustraite, dans la mesure où l’objet de ses travaux présente des liens avec les enjeux de la sécurité nationale.
27. Sur ce point, la juridiction de renvoi rappelle que, aux termes du considérant 16 du RGPD, les « activités relatives à la sécurité nationale » échappent à l’application de ce règlement. Selon elle, tel pourrait être le cas de l’enquête portant sur les pressions politiques exercées sur le BVT, organe fédéral responsable de la préservation des fonctions essentielles de l’État.
28. En troisième lieu, dans l’éventualité où la Cour conclurait que les dispositions du RGPD trouvent malgré tout à s’appliquer en l’espèce, la juridiction de renvoi s’interroge sur l’application directe de ce règlement.
29. En effet, en l’absence de dérogation adéquate de rang constitutionnel, la compétence de la Datenschutzbehörde demeure limitée par le principe de la séparation des pouvoirs qui prévaut en droit autrichien. Dès lors, la juridiction de renvoi se demande si la compétence de cette autorité à l’égard des organes du Parlement autrichien pourrait découler directement des dispositions combinées de l’article 77, paragraphe 1, et de l’article 55, paragraphe 1, du RGPD, alors que le législateur national n’a institué qu’une seule autorité de contrôle au titre de l’article 51, paragraphe 1, de ce règlement.
30. C’est dans ce contexte que le Verwaltungsgerichtshof (Cour administrative) a décidé de surseoir à statuer et de soumettre à la Cour les questions préjudicielles suivantes :
« 1) Les travaux d’une commission d’enquête mise en place par un Parlement d’un État membre dans l’exercice de son droit de contrôle du pouvoir exécutif relèvent‑ils, indépendamment de l’objet de l’enquête, du champ d’application du droit de l’Union au sens de l’article 16, paragraphe 2, première phrase, TFUE, de sorte que le [RGPD] s’applique au traitement de données à caractère personnel par une commission d’enquête parlementaire d’un État membre ?
Si la première question appelle une réponse affirmative :
2) Les travaux d’une commission d’enquête mise en place par un Parlement d’un État membre dans l’exercice de son droit de contrôle du pouvoir exécutif, qui a pour objet d’enquête des activités d’une autorité policière de protection de l’État, et donc des activités relatives à la protection de la sécurité nationale au sens du considérant 16 du [RGPD], relèvent-ils de la dérogation prévue à l’article 2, paragraphe 2, sous a), du RGPD ?
Si la deuxième question appelle une réponse négative :
3) Dans la mesure où – comme en l’espèce – un État membre n’a institué qu’une seule autorité de contrôle au sens de l’article 51, paragraphe 1, du RGPD, sa compétence pour connaître des réclamations, visée par les dispositions combinées de l’article 77, paragraphe 1, et de l’article 55, paragraphe 1, du RGPD, découle‑t‑elle déjà directement [de ce règlement] ? »
31. Des observations écrites ont été déposées par l’intéressé, le Präsident des Nationalrates (président de l’Assemblée nationale, Autriche), la Datenschutzbehörde, les gouvernements autrichien et tchèque, ainsi que par la Commission européenne. Ces mêmes parties ont été représentées à l’audience qui s’est tenue le 6 mars 2023.
Appréciation
Sur la première question préjudicielle
32. Par sa première question, la juridiction de renvoi demande si les travaux d’une commission d’enquête mise en place par un Parlement d’un État membre dans l’exercice de son droit de contrôle du pouvoir exécutif relèvent du champ d’application du droit de l’Union au sens de l’article 16, paragraphe 2, première phrase, TFUE.
33. La réponse à cette question dépend, d’une part, de l’interprétation qu’il convient de donner à la notion d’« activités qui relèvent du champ d’application du droit de l’Union », visée à l’article 16, paragraphe 2, première phrase, TFUE. Formulée de manière négative, cette notion figure également à l’article 2, paragraphe 2, sous a), du RGPD, qui soustrait à l’application de ce règlement les « activités qui ne relèvent pas du champ d’application du droit de l’Union ». Ces deux dispositions délimitent, respectivement, la compétence des organes de l’Union pour adopter les règles relatives à la protection des données à caractère personnel et le champ d’application matériel du RGPD.
34. D’autre part, la réponse à la première question préjudicielle dépend de la manière dont il convient de qualifier les activités des commissions d’enquête parlementaires au regard des dispositions précitées du traité FUE et du RGPD.
Sur la notion d’« activités relevant du champ d’application du droit de l’Union »
35. Comme je me suis efforcé de le montrer dans une autre affaire (4), cette notion n’est pas dépourvue d’ambiguïté, dans la mesure où elle se prête à deux lectures différentes. Compte tenu des controverses que son interprétation suscite dans la présente affaire, et ce en dépit d’une jurisprudence bien établie de la Cour (5), il me semble nécessaire d’exposer de manière exhaustive les raisons qui ont présidé aux développements jurisprudentiels en la matière.
– Interprétation concrétisante
36. La première des interprétations possibles du « champ d’application du droit de l’Union » peut être qualifiée de concrétisante, en ce sens qu’elle conduit à se demander si une activité donnée est encadrée par une disposition spécifique du droit de l’Union.
37. En substance, cette interprétation correspond à la notion de « mise en œuvre du droit de l’Union », qui délimite le champ d’application de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »). Dans un contexte étranger à celui de la protection des données à caractère personnel, cette notion est assimilée dans la jurisprudence de la Cour au « champ d’application du droit de l’Union » (6).
38. C’est sur cette interprétation que la juridiction de renvoi s’appuie dans sa demande de décision préjudicielle, en relevant que les activités des commissions d’enquête parlementaires demeurent régies exclusivement par le droit national, ce qui l’amène à douter de la vocation du RGPD à recevoir application dans l’affaire au principal.
39. C’est également sur cette interprétation que s’est fondé l’avocat général Tizzano dans les conclusions qu’il a présentées dans les affaires jointes Österreichischer Rundfunk e.a. (7) et dans l’affaire Lindqvist (8), sous l’empire de la directive 95/46/CE (9), qui n’ont pas été suivies par la Cour.
40. Il importe de rappeler que la directive 95/46 avait été adoptée sur le fondement de l’ancien article 100 A du traité CE, devenu article 95 CE, puis article 114 TFUE, dans le cadre des mesures qui avaient pour objet l’établissement et le fonctionnement du marché intérieur. Visant à assurer la libre circulation et le niveau de protection équivalent des données à caractère personnel au sein de l’Union, cette directive n’était pas applicable, conformément à son article 3, paragraphe 2, aux activités qui « ne rel[evaient] pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État [...] et les activités de l’État relatives à des domaines du droit pénal », ainsi qu’aux traitements des données effectués « par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques ».
41. À l’aune de ces dispositions, l’avocat général Tizzano a conclu que la directive 95/46 ne pouvait pas recevoir application dans les affaires jointes Österreichischer Rundfunk e.a (10). En rapport avec le traitement des données relatives aux rémunérations versées par des entités publiques, destinées à figurer dans un rapport transmis au Parlement par la Cour des comptes autrichienne, il a ainsi estimé que cette dernière exerçait en l’espèce une « activité publique de contrôle, prévue et régie par les autorités autrichiennes (même par la voie d’une loi constitutionnelle) sur la base d’un choix autonome de nature politique et institutionnelle qu’elles ont fait et non pas pour satisfaire à une obligation communautaire. Étant donné qu’elle ne fait l’objet d’aucune réglementation communautaire spécifique, cette activité ne peut que relever de la compétence des États membres » (11).
42. Suivant la même interprétation dans l’affaire Lindqvist, l’avocat général Tizzano a considéré que la page Internet créée par Mme Lindqvist dans le cadre de son activité bénévole de catéchiste relevait d’une « activité à caractère non économique, qui ne présente aucun lien (ou, tout au moins, aucun lien direct) avec l’exercice des libertés fondamentales garanties par le traité et ne fait l’objet d’aucune réglementation spécifique sur le plan communautaire » (12). Selon l’avocat général, cette activité échappait de ce fait au champ d’application du droit communautaire, au sens de l’article 3, paragraphe 2, de la directive 95/46.
43. Ces conclusions n’ont pas été suivies par la Cour, pour des raisons que l’on peut rattacher à la volonté de préserver la sécurité juridique et à la nécessité d’assurer l’effet utile de la directive 95/46.
44. En effet, compte tenu de la spécificité des données à caractère personnel, dont la circulation et l’exploitation économique sont facilitées par leur numérisation, il est très difficile de déterminer en pratique, au cas par cas, si leur traitement présente un lien avec des dispositions particulières du droit de l’Union ou avec les libertés régissant le marché intérieur, comme l’exigerait l’interprétation concrétisante.
45. Pour reprendre l’exemple de l’affaire ayant donné lieu à l’arrêt Lindqvist (13), il serait difficile de déterminer en pratique si le fonctionnement d’une page Internet destinée à un cercle limité de paroissiens a présenté un lien concret avec les dispositions de la directive 95/46 relatives à la libre circulation des données entre les États membres dans le cadre du marché commun. La réponse à cette question pourrait dépendre, notamment, de la localisation physique des serveurs hébergeant le site Internet en question (14).
46. J’ajouterai que des difficultés de nature similaire risqueraient de se présenter si l’interprétation concrétisante devait prévaloir dans la présente affaire sous l’empire du RGPD.
47. À titre d’illustration, il serait difficile de déterminer avec précision dans quelle mesure les activités de certains responsables du traitement – comme les églises ou les associations religieuses, qui sont explicitement visées par ce règlement (15) – demeurent effectivement soumises à des dispositions spécifiques du droit de l’Union (16). La même question pourrait se poser pour des organismes à but non lucratif qui n’exercent pas d’activités économiques. Il en résulterait une insécurité juridique quant au champ d’application du RGPD.
48. Au regard de telles difficultés, la Cour a rejeté l’interprétation concrétisante du « champ d’application du droit communautaire » sous l’empire de la directive 95/46. Dans les arrêts Österreichischer Rundfunk e.a. (17) et Lindqvist (18), elle a jugé que, « [p]uisque toute donnée à caractère personnel est susceptible de circuler entre les États membres, la directive 95/46 impose en principe le respect des règles de protection de telles données à l’égard de tout traitement de ces dernières tel que défini à son article 3. [...] Dans ces conditions, l’applicabilité de la directive 95/46 ne saurait dépendre de la question de savoir si les situations concrètes en cause [...] comportent un lien suffisant avec l’exercice des libertés fondamentales garanties par le traité [...]. En effet, une interprétation contraire risquerait de rendre les limites du domaine d’application de ladite directive particulièrement incertaines et aléatoires, ce qui serait contraire à l’objectif essentiel de celle-ci, qui est de rapprocher les dispositions législatives, réglementaires et administratives des États membres afin d’éliminer les obstacles au fonctionnement du marché intérieur découlant précisément des disparités entre les législations nationales » (19).
49. C’est ainsi que l’interprétation « généralisante » de la directive 95/46 a prévalu dans la jurisprudence de la Cour.
– Interprétation généralisante
50. Cette interprétation conduit à rattacher au champ d’application du droit de l’Union toutes les activités qui sont susceptibles d’en relever, en ce sens qu’elles n’y ont pas été soustraites en raison des compétences exclusives des États membres.
51. Sous l’empire de la directive 95/46, cette interprétation a conduit la Cour à faire une lecture restrictive de l’exception visant les activités qui ne relevaient pas du champ d’application du droit communautaire. Dans l’arrêt Lindqvist, la Cour a ainsi jugé que « les activités mentionnées en tant qu’exemples à l’article 3, paragraphe 2, premier tiret, de la directive 95/46 sont destinées à définir la portée de l’exception y prévue, de sorte que cette exception ne s’applique qu’aux activités qui y sont ainsi expressément mentionnées ou qui peuvent être rangées dans la même catégorie (ejusdem generis) » (20).
52. Avant l’entrée en vigueur du traité de Lisbonne, les activités couvertes par cette exception – concernant la sécurité publique, la défense, la sûreté de l’État, le domaine pénal, ainsi que celles visées aux titres V et VI du traité sur l’Union européenne – relevaient des deuxième et troisième piliers de l’Union et ressortissaient à ce titre à la coopération intergouvernementale. Ces activités ne pouvaient donc pas faire l’objet d’une réglementation communautaire, compte tenu de la répartition des compétences entre l’Union et les États membres prévue à l’époque par les traités.
53. C’est dans ce contexte qu’il convient de lire l’exclusion des « activités qui ne relèvent pas du champ d’application du droit communautaire » contenue à l’article 3, paragraphe 2, premier tiret, de la directive 95/46. Or, le champ d’application du RGPD a été défini dans des termes similaires.
54. Aux termes de son article 2, paragraphe 2, sous a) à d), le RGPD ne s’applique pas au traitement de données à caractère personnel effectué « a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ; b) par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne ; c) par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ; d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces ». Ce dernier type de traitement a été soumis aux dispositions de la directive (UE) 2016/680 (21).
55. À la lumière du considérant 16 du RGPD, les activités qui ne relèvent pas du champ d’application du droit de l’Union sont, notamment, celles relatives à la sécurité nationale.
56. En s’appuyant sur l’ensemble de ces dispositions, la Cour a jugé dans l’arrêt Land Hessen que l’exception prévue à l’article 2, paragraphe 2, sous a), du RGPD, couvrant les « activités qui ne relèvent pas du champ d’application du droit de l’Union », est d’interprétation stricte, de sorte que « le fait qu’une activité soit propre à l’État ou à une autorité publique ne suffit pas pour que cette exception soit automatiquement applicable à une telle activité. Il est, en effet, nécessaire que cette activité figure au nombre de celles qui sont expressément mentionnées par ladite disposition ou qu’elle puisse être rangée dans la même catégorie que celles-ci » (22).
57. Aucun des arguments soulevés dans la présente affaire ne me semble susceptible de remettre en question cette interprétation.
58. En particulier, je ne souscris pas aux arguments tirés du principe d’attribution, qui ont été soulevés, en particulier, par la juridiction de renvoi et par le Präsident des Nationalrates (président de l’Assemblée nationale).
59. Conformément au principe d’attribution énoncé à l’article 5, paragraphe 2, TUE (23), l’Union dispose uniquement de compétences qui lui ont été conférées dans les traités par les États membres.
60. Sur un plan purement lexical, la notion d’« activités qui relèvent du champ d’application du droit de l’Union » présente à cet égard une ambiguïté. De prime abord, l’interprétation généralisante de cette notion retenue dans la jurisprudence de la Cour pourrait sembler douteuse, dans la mesure où elle conduit à soumettre aux dispositions du RGPD toutes les activités qui n’ont pas été soustraites à ce règlement, ce qui semble aller à l’encontre du principe rappelé ci-dessus.
61. Toutefois, en vertu d’une jurisprudence constante, lors de l’interprétation d’une disposition du droit de l’Union, il y a lieu de tenir compte non seulement des termes de celle-ci et des objectifs qu’elle poursuit, mais également de son contexte, ainsi que de l’ensemble des dispositions du droit de l’Union. La genèse d’une disposition du droit de l’Union peut également comporter des éléments pertinents pour son interprétation (24).
62. Or, si l’on met à part l’interprétation littérale, qui me semble peu concluante au regard de la teneur équivoque du « champ d’application du droit de l’Union », l’analyse contextuelle (25) et téléologique plaide clairement en faveur de l’interprétation généralisante de l’article 16, paragraphe 2, TFUE, de telle sorte que la portée de cette disposition dépasse celle de la « mise en œuvre du droit de l’Union » au sens de l’article 51, paragraphe 1, de la Charte.
63. En premier lieu, cette conclusion s’impose au regard de la systématique du traité FUE et de la place particulière de l’article 16, paragraphe 2, dans l’architecture de ce traité.
64. L’article en question figure au titre II de la première partie du traité FUE, contenant les « dispositions d’application générale ». Il s’ensuit que le droit des personnes physiques à la protection des données à caractère personnel, consacré par cette disposition, revêt une importance singulière par rapport aux autres droits fondamentaux qui ont trouvé leur place dans la Charte annexée au traité.
65. Plus concrètement, l’emplacement privilégié de l’article 16 TFUE dans l’économie du traité donne à penser que le « champ d’application » visé dans cette disposition ne se limite pas aux seules situations où les États membres « mettent en œuvre le droit de l’Union » au sens de l’article 51, paragraphe 1, de la Charte, ce qui correspondrait à l’interprétation concrétisante évoquée ci-dessus.
66. Sur ce point, je tiens à souligner une différence de nature qui existe entre les dispositions de l’article 16, paragraphe 2, TFUE et les dispositions de la Charte.
67. Conformément à son article 51, paragraphe 2, la Charte « ne crée aucune compétence ni aucune tâche nouvelles pour l’Union et ne modifie pas les compétences et tâches définies dans les traités ». Ses dispositions s’adressent aux États membres, dans la mesure où ceux-ci mettent en œuvre le droit de l’Union dans les domaines qui relèvent déjà du champ d’application de ce droit.
68. Il en va autrement de l’article 16, paragraphe 2, TFUE, dont les dispositions constituent et délèguent à l’Union une compétence législative en matière de protection et de libre circulation des données à caractère personnel, et définissent à cet effet un champ d’application spécifique, fondé sur les dispositions de la directive 95/46, comme en atteste la genèse de cette disposition.
69. En deuxième lieu, en effet, il ressort clairement des travaux préparatoires du traité de Lisbonne que les auteurs du traité FUE ont entendu réaffirmer le champ d’application des règles relatives à la protection des données à caractère personnel, tel qu’il avait été défini sous l’empire de la directive 95/46.
70. À cet égard, il convient de rappeler que la teneur de l’article 16 TFUE s’inspire directement du projet de traité établissant une Constitution pour l’Europe, dont l’article 36 bis, paragraphe 2 (devenu article 50, paragraphe 2, dans la version finale du projet du 18 juillet 2003 (26)) prévoyait la compétence du Parlement et du Conseil pour adopter « les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et les organes de l’Union, ainsi que par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données » (27).
71. Or, conformément aux explications fournies par ses auteurs, « le projet d’article 36 bis vise à créer une seule base juridique pour la protection des données à caractère personnel, tant pour la protection de ces données par les institutions que par les États membres, lorsqu’ils agissent dans un domaine qui relève du champ d’application du droit de l’Union. Le texte est fondé sur le régime communautaire actuel, résultant de la [directive 95/46] (fondée sur l’article 95 TCE) en ce qui concerne l’action des États membres » (28).
72. Il s’ensuit clairement que si la notion de « champ d’application du droit de l’Union » figurant à l’article 2, paragraphe 2, sous a), du RGPD devait être interprétée de manière à restreindre l’application de ce règlement par rapport à celle de la directive 95/46, cela irait à l’encontre de la volonté des États membres exprimée dans le traité FUE.
73. En troisième lieu, il convient de prendre en compte les considérations téléologiques, liées à la dynamique et aux objectifs spécifiques de la protection des données à caractère personnel dans laquelle s’inscrit l’adoption du RGPD.
74. Sous cet angle, il ne fait aucun doute que le législateur de l’Union a cherché à renforcer cette protection et à consolider le champ d’application des règles y afférentes. On en voudra pour preuves le remplacement délibéré de la directive 95/46 par un dispositif réglementaire plus contraignant et, de manière explicite, la teneur des considérants 9, 11 et 13 du RGPD.
75. Les objectifs visés dans cette mesure découlent de la spécificité du phénomène du traitement des données personnelles, qui dépasse le cadre des activités à l’occasion desquelles ces données peuvent être collectées.
76. Par ailleurs, ces activités ne sont pas nécessairement des activités économiques, qui seraient déjà soumises à des règles du droit de l’Union régissant le marché intérieur, ce qui ne diminue en rien la valeur marchande des données collectées et ne supprime pas les risques afférents à leur traitement.
77. La problématique des données à caractère personnel présente à cet égard un caractère transversal, de sorte que les règles relatives à leur protection ne sauraient être cantonnées au champ d’application des catégories préexistantes du droit de l’Union.
78. En d’autres termes, si le « champ d’application du droit de l’Union » visé à l’article 16, paragraphe 2, TFUE, dépasse les hypothèses de « mise en œuvre du droit de l’Union », au sens de l’article 51, paragraphe 1, de la Charte, c’est en raison de la nature autonome des problématiques liées au traitement de données personnelles, qui ont appelé une intervention législative propre dont la portée dépasse la somme des dispositions préexistantes du droit de l’Union. De ce point de vue, le champ d’application large du RGPD traduit la volonté de répondre aux enjeux de la protection des données personnelles par l’adoption d’un dispositif conçu « sur mesure ».
79. Eu égard à la convergence des conclusions qui découlent de l’analyse contextuelle et téléologique de l’article 16, paragraphe 2, TFUE, je propose à la Cour de confirmer sa jurisprudence antérieure (29), en retenant une interprétation stricte de l’exception relative aux « activités qui ne relèvent pas du champ d’application du droit de l’Union », contenue à l’article 2, paragraphe 2, sous a), du RGPD.
80. C’est à la lumière de cette interprétation que je propose à la Cour d’apprécier l’aptitude de ce règlement à s’appliquer aux travaux de la commission d’enquête parlementaire en cause dans l’affaire au principal.
Sur l’application du RGPD aux travaux de la commission d’enquête parlementaire
81. Une observation liminaire me paraît s’imposer en ce qui concerne la manière dont les dispositions pertinentes du RGPD définissent le champ d’application de ce règlement.
– L’importance secondaire des critères institutionnels pour la définition du champ d’application du RGPD
82. Il convient de souligner que les considérations organiques ou institutionnelles, tenant à la nature des organes ou des personnes responsables du traitement de données à caractère personnel, revêtent une importance secondaire dans la définition du champ d’application du RGPD.
83. D’une part, en effet, le champ d’application du RGPD repose sur la notion matérielle de « traitement » des données à caractère personnel, conformément à l’article 2, paragraphe 1, de ce règlement. La notion organique de « responsable du traitement », contenue à l’article 4, point 7, du RGPD n’a, de ce point de vue, qu’un caractère accessoire, en ce sens qu’elle repose, en substance, sur la notion matérielle de traitement. En effet, bien que la définition du responsable du traitement évoque « la personne physique ou morale, l’autorité publique, le service ou un autre organisme », cette évocation revient à neutraliser les critères organiques pour les besoins de son application.
84. D’autre part, même si les dispositions qui limitent le champ d’application matériel du RGPD, contenues à l’article 2, paragraphe 2, de ce règlement, font référence à certaines catégories de personnes ou d’organes, à savoir aux États membres, aux personnes physiques et aux autorités compétentes en matière pénale, c’est toujours dans le contexte des activités qui échappent à l’application de ce règlement. Ce sont donc non pas des personnes, en tant que telles, qui se trouvent soustraites à l’application du RGPD, mais uniquement certaines de leurs activités.
85. L’importance secondaire des critères institutionnels se trouve également confirmée par la manière dont sont définies les dérogations partielles, qui limitent la portée des dispositions spécifiques du RGPD. À titre d’illustration (30), si les juridictions échappent à la compétence des autorités nationales de contrôle, conformément à l’article 55, paragraphe 3, du RGPD, c’est seulement dans la mesure où elles exercent leurs fonctions juridictionnelles. La portée de cette exception est donc déterminée non pas par le statut des organes juridictionnels, mais par la nature particulière de leurs activités.
86. En l’absence de toute disposition du RGPD qui viserait spécifiquement les organes parlementaires, il s’ensuit, selon moi, que c’est non pas le statut des organes du Parlement en droit autrichien, mais la nature de leurs activités qui doit déterminer la possibilité d’appliquer ce règlement.
– Sur la nature des activités de la commission d’enquête dans l’affaire au principal
87. À la lumière de l’ensemble des éléments portés à la connaissance de la Cour, j’estime que les missions confiées à cette commission peuvent être qualifiées d’activités de contrôle public impliquant l’exercice de l’autorité publique.
88. Cette qualification ressort de la teneur même des première et deuxième questions préjudicielles, qui portent sur les activités exercées dans le cadre du contrôle du pouvoir exécutif. Conformément aux explications fournies par la juridiction de renvoi, « [l]’objectif des commissions d’enquête est de faire la lumière sur certains points à des fins politiques [...]. Il appartient à cet égard aux commissions d’enquête de s’acquitter de la mission de contrôle qui leur a été conférée constitutionnellement » (31).
89. Cette qualification est corroborée par les observations écrites soumises à la Cour (32).
90. Au regard des explications fournies à l’audience par le Präsident des Nationalrates (président de l’Assemblée nationale), il est en outre constant que la commission d’enquête en question dispose de certaines prérogatives d’autorité publique, telles que le droit de convoquer des témoins ou d’obtenir l’accès aux documents relatifs à l’objet de ses travaux, qui sont assorties du pouvoir d’infliger des pénalités financières, destiné à assurer le bon déroulement de l’enquête.
91. Une certaine confusion me semble planer, en revanche, en ce qui concerne la nature législative des activités de cette commission, et ses éventuelles conséquences pour l’applicabilité du RGPD.
92. Le Präsident des Nationalrates (président de l’Assemblée nationale) observe à cet égard que « [l]es commissions d’enquête relèvent, tant d’un point de vue organisationnel que fonctionnel, du pouvoir législatif. Les actes accomplis par les commissions d’enquête ou en leur nom relèvent ainsi de la fonction législative de l’État » (33). De l’avis de cet organe, il s’ensuit que « [l]e travail d’une commission d’enquête s’inscrit ainsi au cœur du domaine législatif et, en tant qu’activité (de contrôle) de nature exclusivement parlementaire et politique, relève de l’exception prévue à l’article 2, paragraphe 2, sous a), du RGPD » (34).
93. Ces affirmations appellent trois observations de ma part.
94. En premier lieu, indépendamment de la participation éventuelle des commissions d’enquête aux travaux législatifs, je tiens à souligner que les activités législatives ou parlementaires n’ont pas été soustraites à l’application du RGPD (35), à la différence des activités liées à l’exercice des fonctions juridictionnelles, qui relèvent de la dérogation partielle prévue à l’article 55, paragraphe 3, de ce règlement.
95. Sur ce point, contrairement à certains intéressés, je doute qu’on puisse interpréter cette dérogation par analogie, de manière à étendre aux fonctions législatives l’exception qui vise les fonctions juridictionnelles. Bien au contraire, si la dérogation contenue à l’article 55, paragraphe 3, du RGPD devait inspirer le raisonnement de la Cour dans la présente affaire, elle ne pourrait susciter qu’une interprétation a contrario. Eu égard au champ d’application large du RGPD, l’exception visant les fonctions juridictionnelles ne saurait être interprétée de manière extensive.
96. En deuxième lieu, à mes yeux, aucun des éléments portés à la connaissance de la Cour ne permet de soutenir que l’activité de la commission d’enquête au principal revêtirait une fonction législative.
97. En particulier, la commission d’enquête en question n’est pas habilitée à prendre des initiatives législatives et ne participe en aucune autre manière aux travaux législatifs du Parlement autrichien. Par ailleurs, même si le rapport final de l’enquête peut constituer une source d’inspiration pour le législateur, cette circonstance ne me semble pas de nature à conférer un caractère législatif à ses activités. Les travaux de certains organes extraparlementaires – comme la Cour de comptes autrichienne, dont les rapports sont transmis au Parlement –, peuvent également inspirer le législateur, sans qu’il soit question de les rattacher à ce titre à l’exercice du pouvoir législatif.
98. En troisième lieu, et indépendamment de leur importance éventuelle au regard du droit autrichien, les considérations institutionnelles demeurent sans incidence sur l’applicabilité du RGPD, de sorte que le rattachement organisationnel de la commission d’enquête parlementaire ne saurait être déterminant pour la réponse qu’il convient d’apporter à la première question préjudicielle.
– Sur l’aptitude du RGPD à s’appliquer aux activités de contrôle public
99. À la lumière des considérations qui précèdent, il convient de se demander si les activités de contrôle public exercées par une commission d’enquête parlementaire relèvent du champ d’application du RGPD.
100. Cette question appelle à mes yeux une réponse affirmative, et ce pour trois raisons majeures.
101. En premier lieu, les traitements de données à caractère personnel effectués par la commission en question relèvent de la notion matérielle de « traitement », définie à l’article 2, paragraphe 1, du RGPD. Cette qualification n’est contestée par aucune des parties intéressées dans la présente affaire.
102. En deuxième lieu, les activités de contrôle public relèvent du champ d’application du droit de l’Union au sens de l’article 16, paragraphe 2, TFUE et de l’article 2, paragraphe 2, sous a), du RGPD, tels qu’ils sont interprétés dans la jurisprudence de la Cour, dans la mesure notamment où aucune disposition de ce règlement ne les soustrait à son application.
103. Au contraire, les activités de contrôle sont visées explicitement à l’article 23, paragraphe 1, sous h), du RGPD, qui prévoit la possibilité de limiter la portée de certains droits et obligations prévus par ce règlement, dès lors qu’une telle limitation est nécessaire en vue de garantir l’exercice d’« une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique » dans certains cas prévus par cette disposition.
104. Il s’ensuit que les dispositions du RGPD ont vocation à régir les activités de contrôle public, même si des aménagements particuliers peuvent être envisagés à cet effet. La limitation possible des protections découlant du RGPD ne conduit cependant pas à exclure son application.
105. Enfin, en troisième lieu, au regard de la répartition générale des compétences entre l’Union et les États membres, il n’apparaît nullement que les activités de contrôle public soient réservées exclusivement à ces derniers.
106. Pour s’en tenir spécifiquement à un exemple de contrôle parlementaire, le doublement des enquêtes dans l’affaire dite « Dieselgate », déclenchées de manière concomitante par le Parlement européen (36) et par le Bundestag (assemblée fédérale) allemand, illustre bien le concours des compétences en la matière.
107. Certes, on pourrait avancer que le champ d’application du droit de l’Union couvre uniquement celles des activités de contrôle qui présentent un rapport avec l’application des dispositions de ce droit.
108. Une telle approche reviendrait cependant à réintroduire l’interprétation concrétisante du « champ d’application du droit de l’Union » et présenterait, de ce fait, les mêmes risques d’insécurité juridique. Compte tenu de la nature même de l’enquête parlementaire, qui a pour but de faire la lumière sur les circonstances en cause, il me semble difficile de déterminer à l’avance si les travaux d’une commission d’enquête présentent un lien concret avec l’application des dispositions du droit de l’Union (37).
109. Dans ce contexte, il convient de tenir compte de l’objectif de sécurité juridique poursuivi par les dispositions du RGPD, qui visent à éviter la fragmentation de la mise en œuvre de la protection des données dans l’Union (38).
110. Compte tenu de cet objectif, et conformément à la solution retenue par la Cour dans l’arrêt Österreichischer Rundfunk e.a. (39), rendu sous l’empire de la directive 95/46, le champ d’application du RGPD devrait être interprété de manière à inclure les activités de contrôle public, indépendamment du lien qu’elles présentent avec l’application des dispositions spécifiques du droit de l’Union.
111. Eu égard à ce qui précède, je propose de répondre à la première question préjudicielle que les travaux d’une commission d’enquête mise en place par le Parlement d’un État membre dans l’exercice de son droit de contrôle du pouvoir exécutif relèvent du champ d’application du droit de l’Union au sens de l’article 16, paragraphe 2, première phrase, TFUE.
Sur la deuxième question préjudicielle
112. Par sa deuxième question, la juridiction de renvoi demande si les activités de la commission d’enquête au principal relèvent de l’exception prévue à l’article 2, paragraphe 2, sous a), du RGPD, lu à la lumière du considérant 16 de ce règlement, compte tenu de l’objet particulier de ses travaux, lié aux enjeux de la sécurité nationale.
113. Je ne pense pas que ce soit le cas, pour plusieurs raisons.
114. Premièrement, au regard du champ d’application large du RGPD, l’exception couvrant les activités relatives à la sécurité nationale devrait être d’interprétation stricte. J’en déduis que seules les activités qui ont pour objet immédiat la sécurité nationale relèvent de cette exception.
115. Tel n’est manifestement pas le cas des activités de la commission d’enquête au principal, qui a été investie d’une mission de contrôle à l’égard des organes du gouvernement fédéral.
116. Certes, dans la mesure où le contrôle en question porte sur le fonctionnement du BVT, dont la mission consiste à assurer l’intégrité et la continuité des institutions étatiques, l’activité de cette commission a pu contribuer indirectement à la sauvegarde de la sécurité nationale.
117. Une telle contribution n’altère cependant pas la nature des activités confiées à une commission d’enquête et ne saurait conduire à les soustraire aux dispositions du RGPD. Si la solution contraire devait prévaloir, on pourrait se demander si une agence de publicité, engagée par le ministère de la Défense en vue de promouvoir les métiers de l’armée, ne devrait pas y échapper au même titre.
118. Deuxièmement, si l’application du RGPD devait dépendre de l’objet d’une enquête parlementaire, cela irait à l’encontre de l’objectif de sécurité juridique poursuivi par le législateur de l’Union.
119. Compte tenu de sa nature mouvante, l’objet d’une enquête parlementaire ne constitue pas une base suffisamment consistante pour déterminer le champ d’application du RGPD. Des facteurs conjoncturels, tels que l’implication personnelle d’un ministre de la Défense dans une affaire de corruption – qui pourrait être révélée (ou démentie) au cours de l’enquête –, ne sauraient servir de repères à cette fin.
120. Troisièmement, l’interprétation de l’exception contenue à l’article 2, paragraphe 2, sous a), du RGPD devrait tenir compte de la ratio legis de cette disposition. Celle-ci me semble liée à l’impossibilité de concilier certains aspects fondamentaux du droit au respect des données à caractère personnel avec le secret inhérent à certaines activités relatives à la sécurité nationale.
121. À titre d’illustration, je vois mal comment les services de renseignement intérieur pourraient assurer le respect des droits à l’information et d’accès, consacrés par les articles 14 et 15 du RGPD, sans compromettre dans le même temps les activités de surveillance ciblant les personnes soupçonnées d’appartenir à une mouvance terroriste. Dans une telle hypothèse, les exigences découlant du RGPD paraissent foncièrement incompatibles avec les impératifs de la sécurité nationale.
122. En revanche, il me semble que l’activité d’une commission d’enquête parlementaire ne rencontre aucun obstacle insurmontable de ce type, et je ne vois pas en quoi le respect des obligations découlant du RGPD pourrait compromettre sa contribution éventuelle à la sauvegarde de la sécurité nationale.
123. Certes, la publicité qui accompagne d’habitude les travaux des commissions d’enquête participe de la dimension publique du contrôle parlementaire. L’objectif de transparence se trouve pourtant à l’opposé de la ratio legis de l’article 2, paragraphe 2, sous a), du RGPD, qui vise à préserver les secrets de la sécurité nationale.
124. Quatrièmement, même si le bon déroulement d’une enquête parlementaire est susceptible, dans certains cas, de se heurter au respect des obligations découlant du RGPD – par exemple dans l’hypothèse où la commission obtient l’accès à des documents confidentiels contenant des données à caractère personnel –, je rappellerai que l’article 23, paragraphe 1, sous a) et h), du RGPD prévoit la possibilité de limiter les droits et les obligations consacrés par les articles 5, 12 à 22 et 34 de ce règlement, dans le cas où cette limitation est nécessaire pour garantir une mission de contrôle au regard des impératifs de la sécurité nationale.
125. Il s’ensuit, à mes yeux, que la connexité que l’objet d’une enquête parlementaire peut présenter avec les enjeux de la sécurité nationale ne devrait pas conduire à soustraire la commission d’enquête à l’application du RGPD. Compte tenu du contexte institutionnel dans lequel s’inscrit l’activité de telles commissions, dont les membres participent aux travaux des organes législatifs du Parlement, il me semble en outre relativement aisé de procéder à des aménagements législatifs nécessaires, qui permettraient de tenir compte de l’objet particulier de certaines enquêtes parlementaires, comme le prévoient les dispositions de l’article 23, paragraphe 1, du RGPD.
126. Pour toutes ces raisons, je propose à la Cour de répondre à la deuxième question préjudicielle que les travaux d’une commission d’enquête parlementaire ayant pour objet d’enquête des activités d’une autorité policière de protection de l’État relatives à la protection de la sécurité nationale, au sens du considérant 16 du RGPD, ne relèvent pas de la dérogation prévue à l’article 2, paragraphe 2, sous a), de ce règlement.
Sur la troisième question préjudicielle
127. Par sa troisième question, la juridiction de renvoi demande si la compétence d’une autorité de contrôle unique, instituée en vertu de l’article 51, paragraphe 1, du RGPD pour connaître des réclamations visées à l’article 77, paragraphe 1, de ce règlement, peut découler directement de cette dernière disposition, lue en combinaison avec l’article 55, paragraphe 1, du RGPD.
128. Cette question, qui est posée dans l’éventualité où le RGPD trouverait à s’appliquer aux travaux de la commission d’enquête au principal, s’explique par des obstacles de nature constitutionnelle. De l’avis du Verwaltungsgerichtshof (Cour administrative) et de certains intéressés, le principe de la séparation des pouvoirs propre au droit autrichien s’oppose à ce qu’un organe administratif, en l’occurrence la Datenschutzbehörde, s’immisce dans les activités du Parlement, en examinant des réclamations y afférentes.
129. La troisième question préjudicielle vise ainsi à établir la portée de l’effet direct des dispositions combinées de l’article 55, paragraphe 1, et de l’article 77, paragraphe 1, du RGPD, lorsque la compétence de l’autorité unique de contrôle instaurée par un État membre risque de se trouver limitée par un principe de rang constitutionnel.
130. S’agissant d’un règlement de l’Union, il y a lieu de rappeler que celui-ci est en principe directement applicable dans tous ses éléments, conformément aux termes de l’article 288, deuxième alinéa, TFUE, ainsi que le confirme l’article 99, paragraphe 2, second alinéa, du RGPD (40).
131. Conformément à la jurisprudence de la Cour, il n’en va autrement que dans l’hypothèse où une disposition réglementaire nécessite l’adoption de mesures d’application, compte tenu de la marge d’appréciation laissée dans sa mise en œuvre aux États membres (41).
132. À cet égard, j’estime que les dispositions combinées de l’article 77, paragraphe 1, du RGPD, qui prévoit la compétence des autorités de contrôle pour examiner des réclamations y prévues, et de l’article 55, paragraphe 1, de ce règlement revêtent un caractère suffisamment clair et inconditionnel pour être appliquées directement.
133. J’ajoute que la Cour a déjà confirmé l’effet direct de l’article 58, paragraphe 5, du RGPD, en jugeant qu’une autorité nationale de contrôle peut se prévaloir de la capacité d’ester en justice qui lui est reconnue par cette disposition en vue d’intenter ou de reprendre une action contentieuse dirigée contre un particulier, et ce même en l’absence de toute mesure d’application législative prise à cet effet par l’État membre concerné (42).
134. Par ailleurs, dans les circonstances de l’affaire au principal, aucune mesure d’application supplémentaire ne me semble nécessaire pour encadrer les modalités procédurales de la réclamation visée à l’article 77 du RGPD. La Datenschutzbehörde examine régulièrement de telles réclamations, la seule question qui se pose étant celle de sa compétence à l’égard des organes du Parlement.
135. Or, cette question n’a pas été laissée à la libre appréciation des États membres.
136. Certes, l’exercice effectif du droit d’introduire une réclamation présuppose la création préalable d’une ou de plusieurs autorités de contrôle, conformément à l’article 51, paragraphe 1, du RGPD, ce qui requiert l’intervention des États membres. Il s’agit là, pourtant, d’une question relative à l’effet direct de cette dernière disposition, question qui ne se pose pas dans l’affaire au principal.
137. En ce qui concerne le nombre d’autorités de contrôle à instituer au titre de l’article 51, paragraphe 1, du RGPD, le choix institutionnel laissé en la matière aux États membres ne saurait conduire à limiter les compétences de l’autorité unique instaurée par le législateur autrichien. L’interprétation contraire priverait l’article 55, paragraphe 1, et l’article 77, paragraphe 1, du RGPD de leur effet direct et risquerait d’affaiblir l’effet utile de toutes les autres dispositions de ce règlement susceptibles d’être concernées par une réclamation.
138. Enfin, en ce qui concerne les obstacles de nature constitutionnelle existant en droit autrichien, ceux-ci ne peuvent pas conduire à refuser d’appliquer les dispositions du RGPD. Conformément à une jurisprudence constante de la Cour, l’invocation des atteintes portées aux principes d’une structure constitutionnelle nationale ne saurait affecter l’effet d’un acte de l’Union (43).
139. En réponse à la troisième question préjudicielle, je propose donc à la Cour de juger que, dans l’hypothèse où un État membre n’a institué qu’une seule autorité de contrôle au sens de l’article 51, paragraphe 1, du RGPD, sa compétence pour connaître des réclamations visées à l’article 77, paragraphe 1, de ce règlement découle directement de cette dernière disposition, lue en combinaison avec l’article 55, paragraphe 1, dudit règlement.
Conclusion
140. Compte tenu de l’ensemble des considérations qui précèdent, je propose à la Cour de répondre aux questions posées par le Verwaltungsgerichtshof (Cour administrative, Autriche) de la manière suivante :
1) Les travaux d’une commission d’enquête mise en place par un Parlement d’un État membre dans l’exercice de son droit de contrôle du pouvoir exécutif relèvent du champ d’application du droit de l’Union au sens de l’article 16, paragraphe 2, première phrase, TFUE, de sorte que le règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), s’applique au traitement des données à caractère personnel effectué par une telle commission.
2) Les travaux d’une commission d’enquête mise en place par un Parlement d’un État membre dans l’exercice de son droit de contrôle du pouvoir exécutif, ayant pour objet d’enquête des activités d’une autorité policière de protection de l’État, et donc des activités relatives à la protection de la sécurité nationale au sens du considérant 16 du règlement 2016/679, ne relèvent pas de la dérogation prévue à l’article 2, paragraphe 2, sous a), de ce règlement.
3) Dans l’hypothèse où un État membre n’a institué qu’une seule autorité de contrôle, au sens de l’article 51, paragraphe 1, du règlement 2016/679, sa compétence pour connaître des réclamations visées à l’article 77, paragraphe 1, de ce règlement découle directement de cette dernière disposition, lue en combinaison avec l’article 55, paragraphe 1, dudit règlement.