Affaire C‑33/22
Österreichische Datenschutzbehörde
contre
WK
[demande de décision préjudicielle, introduite par le Verwaltungsgerichtshof (Autriche)]
Arrêt de la Cour (grande chambre) du 16 janvier 2024
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Article 16 TFUE – Règlement (UE) 2016/679 – Article 2, paragraphe 2, sous a) – Champ d’application – Exclusions – Activités qui ne relèvent pas du champ d’application du droit de l’Union – Article 4, paragraphe 2, TUE – Activités relatives à la sécurité nationale – Commission d’enquête instituée par le parlement d’un État membre – Article 23, paragraphe 1, sous a) et h), articles 51 et 55 du règlement (UE) 2016/679 – Compétence de l’autorité de contrôle chargée de la protection des données – Article 77 – Droit d’introduire une réclamation auprès d’une autorité de contrôle – Effet direct »
1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Champ d’application – Dérogations – Traitement de données dans le cadre d’une activité ne relevant pas du droit de l’Union – Activité exercée par une commission d’enquête instituée par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif – Exclusion – Application du règlement
[Art. 16, § 2, 1re phrase, TFUE ; règlement du Parlement européen et du Conseil 2016/679, considérant 16 et art. 2, § 2, a)]
(voir points 37-43, disp. 1)
2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Champ d’application – Dérogations – Traitement de données dans le cadre d’une activité ne relevant pas du droit de l’Union – Activité visant à préserver la sécurité nationale ou relevant de cette catégorie – Notion – Activité exercée par une commission d’enquête instituée par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif – Enquête sur l’existence d’une éventuelle influence politique à l’égard d’une autorité policière de protection de l’État – Exclusion
[Art. 4, § 2, TUE ; règlement du Parlement européen et du Conseil 2016/679, considérant 16 et art. 2, § 1 et 2, a), et 23]
(voir points 46, 50-57, disp. 2)
3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Autorités nationales de contrôle – Droit d’un État membre d’instituer une seule autorité de contrôle – Compétence de l’autorité de contrôle conférée par le règlement – Limitation de la compétence découlant des dispositions nationales d’ordre constitutionnel – Inadmissibilité – Primauté et effet direct du droit de l’Union
(Règlement du Parlement européen et du Conseil 2016/679, considérant 117 et art. 51, § 1, 55, § 1 et 3, et 77, § 1)
(voir points 62-72, disp. 3)
Résumé
Saisie à titre préjudiciel par le Verwaltungsgerichtshof (Cour administrative, Autriche), la Cour, réunie en grande chambre, juge qu’une activité d’une commission d’enquête parlementaire n’échappe pas à l’application du RGPD (1).
Afin d’examiner une éventuelle influence politique sur le Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Office fédéral pour la protection de la Constitution et pour la lutte contre le terrorisme, Autriche) (2), le Nationalrat (Assemblée nationale, Autriche) a constitué une commission d’enquête (ci après la « commission d’enquête BVT »). Cette commission a entendu WK en tant que témoin. En dépit de sa demande d’anonymisation, le compte rendu de son audition mentionnant ses nom et prénoms complets a été publié sur le site Internet du Parlament Österreich (Parlement autrichien). Faisant valoir qu’une telle divulgation de son identité était contraire au RGPD et à la législation autrichienne (3), WK a introduit une réclamation auprès de l’Österreichische Datenschutzbehörde (Autorité de la protection des données, Autriche) (ci-après la « Datenschutzbehörde »). Par décision du 18 septembre 2019, la Datenschutzbehörde s’est déclarée incompétente pour statuer sur la réclamation, en expliquant que le principe de la séparation des pouvoirs excluait que, en tant qu’organe du pouvoir exécutif, elle puisse contrôler la commission d’enquête BVT, qui relève du pouvoir législatif.
À la suite de la décision du Bundesverwaltungsgericht (tribunal administratif fédéral, Autriche), qui avait accueilli le recours de WK et avait annulé la décision de la Datenschutzbehörde, cette dernière a saisi la Cour administrative d’un recours en Revision contre la décision du tribunal administratif fédéral.
Dans ce contexte, la juridiction de renvoi a interrogé la Cour sur la question de savoir si les activités d’une commission d’enquête instituée par le parlement d’un État membre relèvent du champ d’application du RGPD et si ce règlement s’applique lorsque ces activités concernent la protection de la sécurité nationale. En outre, elle a demandé à la Cour de se prononcer sur le point de savoir si le RGPD confère à une autorité de contrôle nationale telle que la Datenschutzbehörde la compétence pour connaître des réclamations relatives à des traitements de données à caractère personnel effectués par une commission d’enquête dans le cadre de ses activités.
Appréciation de la Cour
En premier lieu, la Cour rappelle que l’article 2, paragraphe 2, sous a), du RGPD, qui prévoit que ce règlement ne s’applique pas au traitement de données à caractère personnel effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union, a pour seul objet d’exclure de son champ d’application les traitements effectués par les autorités étatiques dans le cadre d’une activité qui vise à préserver la sécurité nationale ou qui relève de la même catégorie. Ainsi, le seul fait qu’une activité soit propre à l’État ou à une autorité publique ne suffit pas à exclure automatiquement l’application du RGPD à une telle activité (4).
Cette interprétation, découlant de l’absence de distinction en fonction de l’identité de l’auteur du traitement concerné, est confirmée par l’article 4, point 7, du RGPD (5).
La Cour précise que la nature parlementaire de la commission d’enquête BVT n’implique pas que ses activités soient exclues du champ d’application du RGPD. En effet, l’exception prévue à l’article 2, paragraphe 2, sous a), de ce règlement se réfère seulement à des catégories d’activités qui, en raison de leur nature, ne relèvent pas du champ d’application du droit de l’Union et non à des catégories de personnes. Partant, la circonstance que le traitement de données à caractère personnel est effectué par une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif ne permet pas, en tant que telle, d’établir que ce traitement est effectué dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union.
En deuxième lieu, la Cour relève que, bien qu’il appartienne aux États membres de définir leurs intérêts essentiels de sécurité et d’arrêter les mesures propres à l’assurer (6), le seul fait qu’une mesure nationale a été prise aux fins de la protection de la sécurité nationale ne saurait entraîner l’inapplicabilité du droit de l’Union et dispenser les États membres du respect nécessaire de ce droit. Or, l’exception prévue à l’article 2, paragraphe 2, sous a), du RGPD se réfère seulement à des catégories d’activités qui, en raison de leur nature, ne relèvent pas du champ d’application du droit de l’Union. À cet égard, la circonstance que le responsable du traitement est une autorité publique dont l’activité principale est d’assurer la sécurité nationale ne saurait suffire, en tant que telle, pour exclure du champ d’application du RGPD les traitements de données à caractère personnel qu’elle effectue dans le cadre de ses autres activités.
En l’occurrence, le contrôle politique effectué par la commission d’enquête BVT ne semble pas constituer, en tant que tel, une activité visant à préserver la sécurité nationale ou relevant de la même catégorie. Dès lors, sous réserve de vérification par la juridiction de renvoi, cette activité n’échappe pas au champ d’application du RGPD.
Cela étant, une commission d’enquête parlementaire peut avoir accès à des données à caractère personnel qui, pour des raisons tenant à la sécurité nationale, doivent bénéficier d’une protection particulière. À cet égard, des limitations aux droits et obligations découlant du RGPD peuvent être fixées, par la voie de mesures législatives, pour garantir notamment la sécurité nationale (7). Pourraient ainsi être justifiées, sur ce fondement, des limitations concernant la collecte des données à caractère personnel, l’information des personnes concernées et leur accès auxdites données ou encore la divulgation de celles-ci, sans le consentement des personnes concernées, à des personnes autres que le responsable du traitement, à condition qu’elles respectent l’essence des libertés et droits fondamentaux des personnes concernées et constituent une mesure nécessaire et proportionnée dans une société démocratique.
La Cour note toutefois qu’il ne ressort pas des informations mises à sa disposition que la commission d’enquête BVT aurait allégué que la divulgation des données à caractère personnel de la personne concernée était nécessaire pour la sauvegarde de la sécurité nationale et fondée sur une mesure législative nationale prévue à cet effet, ce qui reste à vérifier, le cas échéant, par la juridiction de renvoi.
En troisième et dernier lieu, la Cour relève que les dispositions du RGPD relatives à la compétence des autorités de contrôle nationales et au droit de réclamation (8) ne nécessitent pas l’adoption de mesures nationales d’application et sont suffisamment claires, précises et inconditionnelles pour produire un effet direct. Il s’ensuit que, si le RGPD laisse une marge d’appréciation aux États membres quant au nombre d’autorités de contrôle à instituer (9), il fixe en revanche l’étendue de leurs compétences pour surveiller l’application du RGPD. Ainsi, dans le cas où un État membre décide d’instituer une seule autorité de contrôle nationale, celle-ci est nécessairement dotée de l’intégralité des compétences prévues par ce règlement. Toute autre interprétation remettrait en cause l’effet utile de ces dispositions et risquerait d’affaiblir l’effet utile de toutes les autres dispositions du RGPD susceptibles d’être concernées par une réclamation.
En ce qui concerne la circonstance que les dispositions nationales d’ordre constitutionnel excluent la possibilité pour une autorité de contrôle qui dépend du pouvoir exécutif de surveiller l’application du RGPD par un organe relevant du pouvoir législatif, la Cour souligne que c’est précisément dans le respect de la structure constitutionnelle des États membres que le RGPD se borne à exiger de ces derniers qu’ils établissent au moins une autorité de contrôle, tout en leur offrant la possibilité d’en instituer plusieurs. Ce règlement reconnaît ainsi à chaque État membre une marge d’appréciation lui permettant de mettre en place autant d’autorités de contrôle que le requièrent, notamment, les exigences tenant à sa structure constitutionnelle.
En outre, l’invocation de dispositions de droit national par un État membre ne saurait porter atteinte à l’unité et à l’efficacité du droit de l’Union. En effet, les effets s’attachant au principe de primauté du droit de l’Union s’imposent à l’ensemble des organes d’un État membre, sans, notamment, que les dispositions internes, y compris d’ordre constitutionnel, puissent y faire obstacle (10).
Ainsi, dès lors qu’un État membre a choisi d’instaurer une seule autorité de contrôle, il ne saurait invoquer des dispositions de droit national, fussent-elles d’ordre constitutionnel, afin de soustraire des traitements de données à caractère personnel qui relèvent du champ d’application du RGPD à la surveillance de cette autorité.