CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:46

ARRÊT DE LA COUR (grande chambre)

16 janvier 2024 (*)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Article 16 TFUE – Règlement (UE) 2016/679 – Article 2, paragraphe 2, sous a) – Champ d’application – Exclusions – Activités qui ne relèvent pas du champ d’application du droit de l’Union – Article 4, paragraphe 2, TUE – Activités relatives à la sécurité nationale – Commission d’enquête instituée par le parlement d’un État membre – Article 23, paragraphe 1, sous a) et h), articles 51 et 55 du règlement (UE) 2016/679 – Compétence de l’autorité de contrôle chargée de la protection des données – Article 77 – Droit d’introduire une réclamation auprès d’une autorité de contrôle – Effet direct »

Dans l’affaire C‑33/22,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Verwaltungsgerichtshof (Cour administrative, Autriche), par décision du 14 décembre 2021, parvenue à la Cour le 14 janvier 2022, dans la procédure

Österreichische Datenschutzbehörde

contre

WK,

en présence de :

Präsident des Nationalrates,

LA COUR (grande chambre),

composée de M. K. Lenaerts, président, M. L. Bay Larsen, vice‑président, M^me K. Jürimäe, MM. C. Lycourgos, E. Regan et N. Piçarra, présidents de chambre, MM. M. Ilešič, P. G. Xuereb, M^me L. S. Rossi (rapporteure), MM. I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl, M^me I. Ziemele et M. J. Passer, juges,

avocat général : M. M. Szpunar,

greffier : M. D. Dittert, chef d’unité,

vu la procédure écrite et à la suite de l’audience du 6 mars 2023,

considérant les observations présentées :

– pour l’Österreichische Datenschutzbehörde, par M^me A. Jelinek et M. M. Schmidl, en qualité d’agents,

– pour WK, par M^e M. Sommer, Rechtsanwalt,

– pour le Präsident des Nationalrates, par M^mes C. Neugebauer et R. Posnik, en qualité d’agents,

– pour le gouvernement autrichien, par M. A. Posch, M^mes J. Schmoll, S. Dörnhöfer et C. Leeb, en qualité d’agents,

– pour le gouvernement tchèque, par MM. O. Serdula, M. Smolek et J. Vláčil, en qualité d’agents,

– pour la Commission européenne, par M. A. Bouchagiar, M^me M. Heller et M. H. Kranenborg, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 11 mai 2023,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation de l’article 16, paragraphe 2, première phrase, TFUE ainsi que de l’article 2, paragraphe 2, sous a), de l’article 51, paragraphe 1, de l’article 55, paragraphe 1, et de l’article 77, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2 Cette demande a été présentée dans le cadre d’un litige opposant l’Österreichische Datenschutzbehörde (Autorité de la protection des données, Autriche) (ci-après la « Datenschutzbehörde ») à WK au sujet du rejet de la réclamation introduite par ce dernier contre une violation alléguée de son droit à la protection de ses données à caractère personnel.

Le cadre juridique

Le droit de l’Union

3 Les considérants 16, 20 et 117 du RGPD sont ainsi libellés :

« (16) Le présent règlement ne s’applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale. Le présent règlement ne s’applique pas au traitement des données à caractère personnel par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l’Union.

[...]

(20) Bien que le présent règlement s’applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l’Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de contrôle ne devrait pas s’étendre au traitement de données à caractère personnel effectué par les juridictions dans l’exercice de leur fonction juridictionnelle, afin de préserver l’indépendance du pouvoir judiciaire dans l’accomplissement de ses missions judiciaires, y compris lorsqu’il prend des décisions. Il devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l’appareil judiciaire de l’État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données.

[...]

(117) La mise en place d’autorités de contrôle dans les États membres, habilitées à exercer leurs missions et leurs pouvoirs en toute indépendance, est un élément essentiel de la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Les États membres devraient pouvoir mettre en place plusieurs autorités de contrôle en fonction de leur structure constitutionnelle, organisationnelle et administrative. »

4 L’article 2 du RGPD, intitulé « Champ d’application matériel », prévoit :

« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;

b) par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne ;

[...]

d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

3. Le règlement (CE) n° 45/2001 [du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO 2001, L 8, p. 1),] s’applique au traitement des données à caractère personnel par les institutions, organes et organismes de l’Union. Le règlement (CE) n° 45/2001 et les autres actes juridiques de l’Union applicables audit traitement des données à caractère personnel sont adaptés aux principes et aux règles du présent règlement conformément à l’article 98.

[...] »

5 L’article 4 du RGPD, intitulé « Définitions », se lit comme suit :

« Aux fins du présent règlement, on entend par :

[...]

7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ;

[...] »

6 L’article 23 du RGPD, intitulé « Limitations », dispose, à son paragraphe 1 :

« Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir :

a) la sécurité nationale ;

b) la défense nationale ;

c) la sécurité publique ;

d) la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;

e) d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale ;

f) la protection de l’indépendance de la justice et des procédures judiciaires ;

[...]

h) une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à e) et g) ;

i) la protection de la personne concernée ou des droits et libertés d’autrui ;

[...] »

7 L’article 51 du RGPD, intitulé « Autorité de contrôle », prévoit, à son paragraphe 1 :

« Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union (ci-après dénommée “autorité de contrôle”). »

8 L’article 54 du RGPD, intitulé « Règles relatives à l’établissement de l’autorité de contrôle », énonce, à son paragraphe 1 :

« Chaque État membre prévoit, par la loi, tous les éléments suivants :

a) la création de chaque autorité de contrôle ;

[...] »

9 L’article 55 du RGPD, intitulé « Compétence », est ainsi rédigé :

« 1. Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève.

2. Lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l’article 6, paragraphe 1, point c) ou e), l’autorité de contrôle de l’État membre concerné est compétente. Dans ce cas, l’article 56 n’est pas applicable.

3. Les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle. »

10 L’article 77 du RGPD, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », prévoit :

« 1. Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.

2. L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78. »

Le droit autrichien

11 L’article 53 du Bundes-Verfassungsgesetz (loi constitutionnelle fédérale), republiée le 2 janvier 1930 (BGBl. 1/1930), dans sa version applicable aux faits au principal (ci-après le « B‑VG »), prévoit :

« (1) Le Nationalrat [(Assemblée nationale, Autriche)] peut décider la constitution de commissions d’enquête. En outre, une commission d’enquête est instituée à la demande d’un quart de ses membres.

(2) L’enquête porte sur une activité passée dans un domaine relevant du pouvoir exécutif au niveau fédéral. Cela inclut toutes les activités des organes fédéraux par l’intermédiaire desquels le Bund, indépendamment de l’importance de sa participation, exerce des droits de participation et de surveillance. Un réexamen de la jurisprudence est exclu.

(3) Tous les organes du Bund, des Länder, des communes et des groupements de communes ainsi que des autres organes autonomes doivent, sur demande, produire leurs dossiers et leurs documents à une commission d’enquête dans la mesure où ceux-ci relèvent de l’objet de l’enquête et sont tenus de déférer aux demandes d’une commission d’enquête en vue de la collecte d’éléments de preuve en rapport avec l’objet de l’enquête. Cette obligation ne s’applique pas à la présentation de dossiers et de documents dont la divulgation pourrait compromettre des sources au sens de l’article 52a, paragraphe 2.

(4) L’obligation prévue au paragraphe 3 ne s’applique pas dans la mesure où le processus légal de formation de la volonté du gouvernement fédéral ou de certains de ses membres ou la préparation immédiate de celui-ci se trouverait affecté.

[...] »

12 Le B‑VG prévoit la séparation des pouvoirs législatif, exécutif et judiciaire. Toute atteinte à ce principe de séparation requiert une base constitutionnelle.

13 L’article 1^er, paragraphe 1, du Datenschutzgesetz (loi relative à la protection des données), du 17 août 1999 (BGBl. I, 165/1999), dans sa version applicable aux faits au principal (ci-après le « DSG »), dispose :

« Compte tenu en particulier aussi du respect de sa vie privée et familiale, toute personne a droit à la confidentialité des données à caractère personnel la concernant, pour autant qu’elle y ait un intérêt digne de protection. Cet intérêt est exclu lorsque les données ne donnent pas lieu à un droit à la confidentialité à la suite de leur libre disposition publique ou en raison de l’impossibilité de remonter à partir de ces données jusqu’à la personne concernée. »

14 Aux termes de l’article 18, paragraphe 1, du DSG :

« La Datenschutzbehörde est instituée en tant qu’autorité de contrôle nationale conformément à l’article 51 du RGPD. »

15 L’article 24, paragraphe 1, du DSG est libellé comme suit :

« Toute personne concernée a le droit d’introduire une réclamation auprès de la Datenschutzbehörde si elle estime que le traitement des données à caractère personnel la concernant constitue une violation du RGPD ou de l’article 1^er ou de l’article 2, première partie principale. »

16 L’article 35 du DSG prévoit :

« (1) La Datenschutzbehörde a pour mission de garantir la protection des données conformément aux dispositions du RGPD et de la présente loi fédérale.

(2) La Datenschutzbehörde exerce également ses pouvoirs vis-à-vis des organes suprêmes du pouvoir exécutif visés à l’article 19 du B‑VG ainsi que vis-à-vis des organes suprêmes conformément aux dispositions de l’article 30, paragraphes 3 à 6, des articles 125 et 134, paragraphe 8, ainsi que de l’article 148h, paragraphes 1 et 2, du B‑VG pour ce qui est des questions administratives relevant de leur compétence. »

Le litige au principal et les questions préjudicielles

17 Par décision du 20 avril 2018, l’Assemblée nationale a, conformément à l’article 53 du B-VG, constitué une commission d’enquête chargée de faire la lumière sur l’existence d’une éventuelle influence politique sur le Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Office fédéral pour la protection de la Constitution et pour la lutte contre le terrorisme, Autriche) (ci-après le « BVT »), auquel a succédé, le 1^er décembre 2021, la Direktion Staatsschutz und Nachrichtendienst (Direction pour la sécurité de l’État et des services de renseignements, Autriche).

18 Le 19 septembre 2018, cette commission d’enquête (ci‑après la « commission d’enquête BVT ») a entendu WK en tant que témoin lors d’une audition accessible aux représentants des médias. En dépit d’une demande d’anonymisation formulée par WK, le compte rendu de cette audition, dans lequel étaient cités ses nom et prénoms complets, a été publié sur le site Internet du Parlament Österreich (Parlement autrichien).

19 Le 2 avril 2019, WK a introduit une réclamation auprès de la Datenschutzbehörde dans laquelle il faisait valoir que la publication, contre sa volonté, du compte rendu de ladite audition, avec la mention de son identité, était contraire aux dispositions du RGPD et à l’article 1^er du DSG. Au soutien de sa réclamation, il a expliqué qu’il travaillait comme agent infiltré dans le groupe d’intervention de la police chargé de la lutte contre la délinquance sur la voie publique.

20 Par décision du 18 septembre 2019, la Datenschutzbehörde a rejeté cette réclamation. Elle a considéré que, si le RGPD ne faisait pas obstacle en principe à ce que les autorités de contrôle procèdent au contrôle des organes législatifs, il était néanmoins exclu, en vertu du principe de la séparation des pouvoirs, que le pouvoir législatif soit soumis au contrôle du pouvoir exécutif. Dans ces conditions, et dans la mesure où la commission d’enquête BVT relevait du pouvoir législatif, la Datenschutzbehörde, qui est un organe du pouvoir exécutif, ne serait pas habilitée à contrôler l’activité de ladite commission et serait donc incompétente pour statuer sur la réclamation de WK.

21 Par décision du 23 novembre 2020, le Bundesverwaltungsgericht (tribunal administratif fédéral, Autriche) a accueilli le recours introduit par WK et a annulé la décision de la Datenschutzbehörde. Il a jugé, en substance, que le RGPD est applicable aux actes du législateur et, donc, à ceux de la commission d’enquête BVT. En effet, le champ d’application matériel du RGPD, tel que défini à l’article 2, paragraphe 1, de celui-ci, serait conçu de manière exhaustive et viserait tous les traitements de données, indépendamment de l’entité qui effectue le traitement et de la fonction étatique dont relève cette entité. Par ailleurs, il ne pourrait pas non plus être déduit de l’article 2, paragraphe 2, du RGPD une dérogation à l’applicabilité de ce règlement pour certaines fonctions de l’État, telles que la fonction législative, puisque la dérogation prévue au point a) de cette disposition devrait être interprétée de manière restrictive. Par conséquent, selon le Bundesverwaltungsgericht (tribunal administratif fédéral), la Datenschutzbehörde était compétente pour statuer sur la réclamation de WK, conformément à l’article 77 dudit règlement.

22 Saisi par la Datenschutzbehörde d’un recours en Revision contre cette décision du Bundesverwaltungsgericht (tribunal administratif fédéral), le Verwaltungsgerichtshof (Cour administrative, Autriche), qui est la juridiction de renvoi dans la présente affaire, se demande, en premier lieu, si les actes d’une commission d’enquête mise en place par le parlement d’un État membre sont, indépendamment même de l’objet de l’enquête, exclus du champ d’application du RGPD en vertu de l’article 2, paragraphe 2, sous a), de celui-ci et de l’article 16, paragraphe 2, première phrase, TFUE, au motif que les travaux d’une telle commission constituent, par nature, une activité qui ne relève pas du champ d’application du droit de l’Union.

23 Dans ce contexte, ladite juridiction relève, tout d’abord, que, conformément à la jurisprudence de la Cour en la matière issue notamment de l’arrêt du 9 juillet 2020, Land Hessen (C‑272/19, EU:C:2020:535), il ne saurait être exigé, aux fins de l’application du RGPD, que le traitement de données à caractère personnel concerné soit concrètement effectué à des fins relevant du droit de l’Union, qu’il soit transfrontalier ou qu’il affecte concrètement et directement la libre circulation entre les États membres. L’application de ce règlement ne serait au contraire exclue que si au moins l’une des conditions d’application de la dérogation de l’article 2, paragraphe 2, sous a) à d), dudit règlement est remplie.

24 À cet égard, la juridiction de renvoi rappelle que, selon la jurisprudence de la Cour, l’article 2, paragraphe 2, sous a), du RGPD, lu à la lumière du considérant 16 de ce règlement, doit être considéré comme ayant pour seul objet d’exclure du champ d’application dudit règlement les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d’une activité qui vise à préserver la sécurité nationale ou d’une activité pouvant être rangée dans la même catégorie. Les activités qui ont pour but de préserver la sécurité nationale visées à l’article 2, paragraphe 2, sous a), du RGPD couvriraient, en particulier, celles ayant pour objet de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société [arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, points 62 à 67 et jurisprudence citée].

25 Ensuite, elle souligne certaines différences entre la commission parlementaire en cause dans l’affaire ayant donné lieu à l’arrêt du 9 juillet 2020, Land Hessen (C‑272/19, EU:C:2020:535), à savoir la Commission des pétitions du Parlement du Land Hessen (Land de Hesse, Allemagne), et la commission d’enquête BVT. En particulier, les travaux de cette dernière ne contribueraient pas seulement d’une manière indirecte à l’activité parlementaire, mais ils seraient au cœur de cette activité, en raison de la mission de contrôle conférée par le B‑VG aux commissions d’enquête mises en place par l’Assemblée nationale.

26 Enfin, la juridiction de renvoi fait référence au principe de la séparation des pouvoirs législatif, exécutif et judiciaire, principe inhérent tant au droit de chaque État membre qu’au droit de l’Union. Certes, l’article 55, paragraphe 3, du RGPD se bornerait à exclure la compétence des autorités de contrôle pour contrôler les traitements de données à caractère personnel effectués par les juridictions dans l’exercice de leurs activités juridictionnelles et ne viserait pas les traitements de données effectués dans le cadre du cœur de l’activité parlementaire. Ce silence pourrait toutefois s’expliquer par le fait que, pour le législateur de l’Union, cette dernière activité échappe déjà au champ d’application dudit règlement en vertu de l’article 2, paragraphe 2, sous a), de celui‑ci.

27 En deuxième lieu, la juridiction de renvoi souligne que l’objet de l’enquête de la commission d’enquête BVT concerne des activités de sécurité nationale qui, au regard du considérant 16 du RGPD, ne relèvent pas du champ d’application du droit de l’Union et sont donc exclues du champ d’application matériel de ce règlement, conformément à son article 2, paragraphe 2, sous a).

28 Ainsi, à supposer que l’activité de contrôle parlementaire d’une commission d’enquête relève en principe du champ d’application du droit de l’Union, au sens de l’article 16, paragraphe 2, TFUE, il conviendrait encore de vérifier si ses activités sont à tout le moins couvertes par l’exception prévue à l’article 2, paragraphe 2, sous a), du RGPD, compte tenu de la circonstance que l’objet de l’enquête concerne des activités du pouvoir exécutif qui, comme en l’occurrence, ne relèvent pas du champ d’application du droit de l’Union.

29 En troisième lieu, la juridiction de renvoi se demande si, compte tenu notamment du principe constitutionnel de séparation des pouvoirs en Autriche, la Datenschutzbehörde, seule autorité de contrôle nationale au sens de l’article 51 du RGPD, est compétente, sur le fondement de ce seul règlement, pour statuer sur une réclamation telle que celle introduite par WK, en l’absence d’un quelconque ancrage constitutionnel dans le droit national permettant d’établir une telle compétence.

30 C’est dans ces conditions que le Verwaltungsgerichtshof (Cour administrative) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) Les travaux d’une commission d’enquête mise en place par un parlement d’un État membre dans l’exercice de son droit de contrôle du pouvoir exécutif relèvent‑ils, indépendamment de l’objet de l’enquête, du champ d’application du droit de l’Union au sens de l’article 16, paragraphe 2, première phrase, TFUE, de sorte que le [RGPD] s’applique au traitement de données à caractère personnel par une commission d’enquête parlementaire d’un État membre ?

Si la première question appelle une réponse affirmative :

2) Les travaux d’une commission d’enquête mise en place par un parlement d’un État membre dans l’exercice de son droit de contrôle du pouvoir exécutif, qui a pour objet d’enquêter sur les activités d’une autorité policière de protection de l’État, et donc sur des activités relatives à la protection de la sécurité nationale au sens du considérant 16 du [RGPD], relèvent-ils de la dérogation prévue à l’article 2, paragraphe 2, sous a), du RGPD ?

Si la deuxième question appelle une réponse négative :

3) Dans la mesure où – comme en l’espèce – un État membre n’a institué qu’une seule autorité de contrôle au sens de l’article 51, paragraphe 1, du RGPD, sa compétence pour connaître des réclamations, visée par les dispositions combinées de l’article 77, paragraphe 1, et de l’article 55, paragraphe 1, du RGPD, découle‑t‑elle déjà directement du [RGPD] ? »

Sur les questions préjudicielles

Sur la première question

31 Par sa première question, la juridiction de renvoi demande, en substance, si l’article 16, paragraphe 2, première phrase, TFUE et l’article 2, paragraphe 2, sous a), du RGPD doivent être interprétés en ce sens qu’une activité, pour la seule raison qu’elle est exercée par une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif, est située en dehors du champ d’application du droit de l’Union et échappe dès lors à l’application de ce règlement.

32 L’article 16 TFUE, qui constitue la base juridique du RGPD, prévoit, à son paragraphe 2, que le Parlement européen et le Conseil de l’Union européenne fixent les règles relatives, notamment, à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union.

33 En conformité avec cette disposition, l’article 2, paragraphe 1, du RGPD donne une définition très large du champ d’application matériel de celui-ci [arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 61]. Il prévoit, en effet, que ce règlement « s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».

34 En outre, ce même article 2 du RGPD fixe, à ses paragraphes 2 et 3, de manière exhaustive, les exceptions à la règle définissant le champ d’application matériel de ce règlement énoncée à son paragraphe 1. En particulier, l’article 2, paragraphe 2, sous a), dudit règlement précise que celui-ci ne s’applique pas au traitement de données à caractère personnel effectué « dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ».

35 Dans ce contexte, la juridiction de renvoi s’interroge sur le point de savoir si un traitement de données à caractère personnel s’inscrivant dans le cadre de l’activité d’une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif relève, en tout état de cause et indépendamment de l’objet de l’enquête, de l’exception prévue à cette dernière disposition.

36 À cet égard, il convient de rappeler que, sous réserve des cas mentionnés à son article 2, paragraphes 2 et 3, le RGPD s’applique aux traitements effectués tant par les personnes privées que par les autorités publiques (voir, en ce sens, arrêt du 24 mars 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, point 25).

37 Il ressort de la jurisprudence de la Cour que l’exception prévue à l’article 2, paragraphe 2, du RGPD doit recevoir une interprétation stricte [arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 62 et jurisprudence citée]. Dans ce contexte, la Cour a déjà eu l’occasion de préciser que l’article 2, paragraphe 2, sous a), de ce règlement, lu à la lumière du considérant 16 dudit règlement, a pour seul objet d’exclure du champ d’application de celui-ci les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d’une activité qui vise à préserver la sécurité nationale ou d’une activité pouvant être rangée dans la même catégorie, de telle sorte que le seul fait qu’une activité soit propre à l’État ou à une autorité publique ne suffit pas pour que cette exception soit automatiquement applicable à une telle activité [arrêts du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 66, et du 20 octobre 2022, Koalitsia « Demokratichna Bulgaria – Obedinenie », C‑306/21, EU:C:2022:813, point 39].

38 Cette interprétation, qui découle déjà de la circonstance que l’article 2, paragraphe 1, du RGPD n’établit pas de distinction en fonction de l’identité de l’auteur du traitement concerné, est confirmée par l’article 4, point 7, de ce règlement, qui définit la notion de « responsable du traitement » comme se référant à « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

39 C’est précisément en interprétant cette dernière disposition que la Cour a jugé que, dans la mesure où elle détermine, seule ou avec d’autres, les finalités et les moyens du traitement, une commission des pétitions du parlement d’un État fédéré d’un État membre doit être qualifiée de « responsable du traitement », au sens de cette disposition, de telle sorte que le traitement de données à caractère personnel effectué par une telle commission relève du champ d’application de ce règlement (arrêt du 9 juillet 2020, Land Hessen, C‑272/19, EU:C:2020:535, point 74).

40 La circonstance, mise en exergue par le Präsident des Nationalrates (président de l’Assemblée nationale, Autriche), selon laquelle, contrairement à la commission des pétitions en cause dans l’affaire ayant donné lieu à l’arrêt du 9 juillet 2020, Land Hessen (C‑272/19, EU:C:2020:535), qui ne contribuait qu’indirectement à l’activité parlementaire, la commission d’enquête BVT est un organe dont l’activité est directement et exclusivement de nature parlementaire, n’implique pas que les activités de cette dernière commission soient exclues du champ d’application du RGPD.

41 En effet, comme l’a en substance relevé M. l’avocat général au point 84 de ses conclusions, l’exception au champ d’application du RGPD prévue à l’article 2, paragraphe 2, sous a), de ce règlement se réfère seulement à des catégories d’activités qui, en raison de leur nature, ne relèvent pas du champ d’application du droit de l’Union, et non à des catégories de personnes, selon qu’elles aient une nature privée ou publique, ni, lorsque le responsable du traitement est une autorité publique, à la circonstance que les missions et fonctions de celle-ci relèvent directement et exclusivement d’une prérogative donnée de puissance publique sans que cette prérogative se rattache à une activité échappant en tout état de cause au champ d’application du droit de l’Union.

42 Partant, la circonstance que le traitement de données à caractère personnel est effectué par une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif ne permet pas, en tant que telle, d’établir que ce traitement est effectué dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union, au sens de l’article 2, paragraphe 2, sous a), du RGPD.

43 Eu égard à ce qui précède, il convient de répondre à la première question que l’article 16, paragraphe 2, première phrase, TFUE et l’article 2, paragraphe 2, sous a), du RGPD doivent être interprétés en ce sens qu’une activité ne saurait être considérée comme située en dehors du champ d’application du droit de l’Union et comme échappant dès lors à l’application de ce règlement pour la seule raison qu’elle est exercée par une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif.

Sur la deuxième question

44 Par sa deuxième question, la juridiction de renvoi demande, en substance, si l’article 2, paragraphe 2, sous a), du RGPD, lu à la lumière du considérant 16 de celui-ci, doit être interprété en ce sens que ne sauraient être considérées comme des activités relatives à la sécurité nationale situées en dehors du champ d’application du droit de l’Union, au sens de cette disposition, les activités d’une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif, ayant pour objet d’enquêter sur les activités d’une autorité policière de protection de l’État en raison d’un soupçon d’influence politique sur cette autorité.

45 Ainsi qu’il a été rappelé au point 37 du présent arrêt, l’article 2, paragraphe 2, sous a), du RGPD doit être interprété de manière stricte et a pour seul objet d’exclure du champ d’application dudit règlement les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d’une activité qui vise à préserver la sécurité nationale ou d’une activité pouvant être rangée dans la même catégorie.

46 Les activités qui ont pour but de préserver la sécurité nationale au sens de l’article 2, paragraphe 2, sous a), du RGPD couvrent, en particulier, celles ayant pour objet de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société [arrêts du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 67, et du 20 octobre 2022, Koalitsia « Demokratichna Bulgaria – Obedinenie », C‑306/21, EU:C:2022:813, point 40].

47 Conformément à l’article 4, paragraphe 2, TUE, de telles activités restent de la seule responsabilité des États membres (voir, en ce sens, arrêt du 15 juillet 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, point 36).

48 En l’occurrence, il ressort du dossier dont dispose la Cour que la commission d’enquête BVT a été mise en place par l’Assemblée nationale aux fins d’enquêter sur l’existence d’une éventuelle influence politique sur le BVT, dont la mission consistait, au cours de la période en cause au principal, à assurer la protection de la Constitution et à lutter contre le terrorisme.

49 Le président de l’Assemblée nationale et le gouvernement tchèque sont en substance d’avis que, les missions du BVT incluant des « activités relatives à la sécurité nationale », ses activités relevaient de l’exception prévue à l’article 2, paragraphe 2, sous a), du RGPD. Or, les activités d’une commission d’enquête du parlement d’un État membre consistant à contrôler des organes étatiques qui, comme c’était le cas du BVT, sont chargés d’assurer la sécurité nationale relèveraient également de la notion d’activités relatives à la sécurité nationale. En effet, l’objectif de l’activité de contrôle d’une telle commission d’enquête serait de vérifier que les autorités contrôlées assurent correctement la sécurité nationale.

50 À cet égard, il importe de relever que, bien qu’il appartienne aux États membres, conformément à l’article 4, paragraphe 2, TUE, de définir leurs intérêts essentiels de sécurité et d’arrêter les mesures propres à assurer leur sécurité intérieure et extérieure, le seul fait qu’une mesure nationale a été prise aux fins de la protection de la sécurité nationale ne saurait entraîner l’inapplicabilité du droit de l’Union et dispenser les États membres du respect nécessaire de ce droit (voir, en ce sens, arrêt du 15 juillet 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, point 40 et jurisprudence citée).

51 Or, ainsi qu’il a été rappelé au point 41 du présent arrêt, l’exception prévue à l’article 2, paragraphe 2, sous a), du RGPD se réfère seulement à des catégories d’activités qui, en raison de leur nature, ne relèvent pas du champ d’application du droit de l’Union et non à des catégories de personnes, selon qu’elles aient une nature privée ou publique, ni, lorsque le responsable du traitement est une autorité publique, à la circonstance que les missions et fonctions de celle-ci relèvent directement et exclusivement d’une prérogative donnée de puissance publique sans que cette prérogative se rattache à une activité échappant en tout état de cause au champ d’application du droit de l’Union. À cet égard, la circonstance que le responsable du traitement est une autorité publique dont l’activité principale est d’assurer la sécurité nationale ne saurait suffire, en tant que telle, pour exclure du champ d’application du RGPD les traitements de données à caractère personnel effectués par cette autorité dans le cadre des autres activités menées par elle.

52 En l’occurrence, il ressort du dossier dont dispose la Cour que la commission d’enquête en cause au principal avait pour objet de procéder à un contrôle politique de l’activité du BVT en raison d’un soupçon d’influence politique sur cet organisme, sans que ce contrôle semble constituer, en tant que tel, une activité visant à préserver la sécurité nationale ou pouvant être rangée dans la même catégorie, au sens de la jurisprudence rappelée au point 45 du présent arrêt. Il s’ensuit que, sous réserve de vérification par la juridiction de renvoi, cette activité n’échappe pas au champ d’application du RGPD en vertu de l’article 2, paragraphe 2, sous a), de celui-ci.

53 Cela étant, une commission d’enquête parlementaire telle que celle en cause au principal peut, dans le cadre de ses travaux, avoir accès à des informations, en particulier à des données à caractère personnel, qui, pour des raisons tenant à la sécurité nationale, doivent bénéficier d’une protection particulière, consistant par exemple à limiter les informations à fournir aux personnes concernées quant à la collecte de ces données ou encore l’accès de ces mêmes personnes auxdites données.

54 À cet égard, l’article 23 du RGPD dispose que des limitations peuvent être fixées, par la voie de mesures législatives, aux obligations et aux droits prévus aux articles 5, 12 à 22 et 34 du RGPD pour garantir, notamment, la sécurité nationale ou une mission de contrôle liée à l’exercice de l’autorité publique, en particulier dans le cadre de la sécurité nationale.

55 Ainsi, l’exigence de sauvegarde de la sécurité nationale peut justifier des limitations, par la voie de mesures législatives, aux obligations et aux droits découlant du RGPD, notamment en ce qui concerne la collecte des données à caractère personnel, l’information des personnes concernées et leur accès auxdites données ou encore la divulgation de celles-ci, sans le consentement des personnes concernées, à des personnes autres que le responsable du traitement, pour autant que de telles limitations respectent l’essence des libertés et droits fondamentaux des personnes concernées et constituent une mesure nécessaire et proportionnée dans une société démocratique.

56 En l’occurrence, il ne ressort toutefois pas du dossier dont dispose la Cour que la commission d’enquête BVT aurait allégué que la divulgation des données à caractère personnel de WK, intervenue à l’occasion de la publication sur le site Internet du Parlement autrichien du compte rendu de son audition devant cette commission, et sans le consentement de cette personne, était nécessaire pour la sauvegarde de la sécurité nationale et fondée sur une mesure législative nationale prévue à cet effet. C’est néanmoins à la juridiction de renvoi qu’il incombe, le cas échéant, de procéder aux vérifications nécessaires à cet égard.

57 Eu égard à ce qui précède, il convient de répondre à la deuxième question que l’article 2, paragraphe 2, sous a), du RGPD, lu à la lumière du considérant 16 de celui-ci, doit être interprété en ce sens que ne sauraient être considérées, en tant que telles, comme des activités relatives à la sécurité nationale situées en dehors du champ d’application du droit de l’Union, au sens de cette disposition, les activités d’une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif, ayant pour objet d’enquêter sur les activités d’une autorité policière de protection de l’État en raison d’un soupçon d’influence politique sur cette autorité.

Sur la troisième question

58 Par sa troisième question, la juridiction de renvoi demande, en substance, si l’article 77, paragraphe 1, et l’article 55, paragraphe 1, du RGPD doivent être interprétés en ce sens que, lorsqu’un État membre a fait le choix, conformément à l’article 51, paragraphe 1, de ce règlement, d’instituer une seule autorité de contrôle, sans toutefois lui attribuer la compétence pour surveiller l’application du RGPD par une commission d’enquête mise en place par le parlement de cet État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif, ces dispositions confèrent directement à cette autorité la compétence pour connaître des réclamations relatives à des traitements de données à caractère personnel effectués par ladite commission d’enquête.

59 Afin de répondre à cette question, il convient de rappeler que, aux termes de l’article 288, deuxième alinéa TFUE, le règlement est obligatoire dans tous ses éléments et il est directement applicable dans tout État membre.

60 Selon une jurisprudence bien établie, en vertu de cette disposition et en raison même de la nature des règlements et de leur fonction dans le système des sources du droit de l’Union, les dispositions des règlements ont, en général, un effet immédiat dans les ordres juridiques nationaux, sans qu’il soit besoin, pour les autorités nationales, de prendre des mesures d’application (arrêt du 15 juin 2021, Facebook Ireland e.a., C‑645/19, EU:C:2021:483, point 110 ainsi que jurisprudence citée).

61 Or, d’une part, selon l’article 77, paragraphe 1, du RGPD, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle si elle considère que le traitement de données à caractère personnel la concernant constitue une violation de ce règlement. D’autre part, aux termes de l’article 55, paragraphe 1, dudit règlement, chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au même règlement sur le territoire de l’État membre dont elle relève.

62 Il ressort du libellé de ces dispositions que, comme l’a relevé en substance M. l’avocat général au point 132 de ses conclusions, l’article 77, paragraphe 1, et l’article 55, paragraphe 1, du RGPD ne nécessitent pas, pour leur mise en œuvre, l’adoption de mesures nationales d’application et sont suffisamment clairs, précis et inconditionnels pour être dotés d’effet direct.

63 Il s’ensuit que, si le RGPD, conformément à son article 51, paragraphe 1, reconnaît une marge d’appréciation aux États membres quant au nombre d’autorités de contrôle à instituer, il fixe en revanche l’étendue de la compétence dont ces autorités, indépendamment de leur nombre, doivent être dotées pour surveiller l’application de ce règlement.

64 Ainsi, comme l’a relevé, en substance, M. l’avocat général au point 137 de ses conclusions, dans le cas où un État membre fait le choix d’instituer une seule autorité de contrôle, celle-ci est nécessairement dotée de l’intégralité des compétences que le RGPD confère aux autorités de contrôle.

65 Toute autre interprétation remettrait en cause l’effet utile de l’article 55, paragraphe 1, et de l’article 77, paragraphe 1, du RGPD et risquerait d’affaiblir l’effet utile de toutes les autres dispositions de ce règlement susceptibles d’être concernées par une réclamation.

66 Du reste, lorsque le législateur de l’Union a entendu limiter la compétence des autorités de contrôle en matière de contrôle des opérations de traitement effectuées par des autorités publiques, il l’a fait expressément, comme en atteste l’article 55, paragraphe 3, du RGPD, aux termes duquel ces autorités ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle.

67 La Datenschutzbehörde, le président de l’Assemblée nationale et le gouvernement autrichien font observer que des dispositions de droit autrichien de rang constitutionnel interdisent au pouvoir exécutif d’exercer tout contrôle sur le pouvoir législatif. Ces dispositions excluraient donc la possibilité pour la Datenschutzbehörde, qui dépend du pouvoir exécutif, de surveiller l’application du RGPD par la commission d’enquête BVT, qui est un organe relevant du pouvoir législatif.

68 Cependant, en l’occurrence, c’est précisément dans le respect de la structure constitutionnelle des États membres que l’article 51, paragraphe 1, du RGPD se borne à exiger des États membres qu’ils établissent au moins une autorité de contrôle, tout en leur offrant la possibilité d’en instituer plusieurs. D’ailleurs, le considérant 117 de ce règlement précise que les États membres devraient pouvoir mettre en place plusieurs autorités de contrôle en fonction de leur structure constitutionnelle, organisationnelle et administrative.

69 L’article 51, paragraphe 1, du RGPD reconnaît ainsi à chaque État membre une marge d’appréciation lui permettant de mettre en place autant d’autorités de contrôle que le requièrent, notamment, les exigences tenant à sa structure constitutionnelle.

70 En outre, il importe de rappeler que le fait pour un État membre d’invoquer des dispositions de droit national ne saurait porter atteinte à l’unité et à l’efficacité du droit de l’Union. En effet, les effets s’attachant au principe de primauté du droit de l’Union s’imposent à l’ensemble des organes d’un État membre, sans, notamment, que les dispositions internes, y compris d’ordre constitutionnel, puissent y faire obstacle [arrêt du 22 février 2022, RS (Effet des arrêts d’une cour constitutionnelle), C‑430/21, EU:C:2022:99, point 51 et jurisprudence citée].

71 Dès lors que, dans le cadre de sa marge d’appréciation, un État membre a choisi d’instaurer une seule autorité de contrôle, il ne saurait invoquer des dispositions de droit national, fussent-elles d’ordre constitutionnel, afin de soustraire des traitements de données à caractère personnel qui relèvent du champ d’application du RGPD à la surveillance de cette autorité.

72 Compte tenu de ce qui précède, il convient de répondre à la troisième question que l’article 77, paragraphe 1, et l’article 55, paragraphe 1, du RGPD doivent être interprétés en ce sens que, lorsqu’un État membre a fait le choix, conformément à l’article 51, paragraphe 1, de ce règlement, d’instituer une seule autorité de contrôle, sans toutefois lui attribuer la compétence pour surveiller l’application dudit règlement par une commission d’enquête mise en place par le parlement de cet État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif, ces dispositions confèrent directement à cette autorité la compétence pour connaître des réclamations relatives à des traitements de données à caractère personnel effectués par ladite commission d’enquête.

Sur les dépens

73 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (grande chambre) dit pour droit :

1) L’article 16, paragraphe 2, première phrase, TFUE et l’article 2, paragraphe 2, sous a), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que :

une activité ne saurait être considérée comme située en dehors du champ d’application du droit de l’Union et comme échappant dès lors à l’application de ce règlement pour la seule raison qu’elle est exercée par une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif.

2) L’article 2, paragraphe 2, sous a), du règlement 2016/679, lu à la lumière du considérant 16 de ce règlement,

doit être interprété en ce sens que :

ne sauraient être considérées, en tant que telles, comme des activités relatives à la sécurité nationale situées en dehors du champ d’application du droit de l’Union, au sens de cette disposition, les activités d’une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif, ayant pour objet d’enquêter sur les activités d’une autorité policière de protection de l’État en raison d’un soupçon d’influence politique sur cette autorité.

3) L’article 77, paragraphe 1, et l’article 55, paragraphe 1, du règlement 2016/679

doivent être interprétés en ce sens que :

lorsqu’un État membre a fait le choix, conformément à l’article 51, paragraphe 1, de ce règlement, d’instituer une seule autorité de contrôle, sans toutefois lui attribuer la compétence pour surveiller l’application dudit règlement par une commission d’enquête mise en place par le parlement de cet État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif, ces dispositions confèrent directement à cette autorité la compétence pour connaître des réclamations relatives à des traitements de données à caractère personnel effectués par ladite commission d’enquête.

Signatures

* Langue de procédure : l’allemand.