Des AAI non indépendantes ne respectent pas le droit de l’Union européenne de la protection des données

La Cour européenne de Justice a dit pour droit que les autorités de protection des données des Länder allemands qui supervisent le traitement des données à caractère personnel dans le secteur privé n’agissaient pas "en pleine indépendance", et ne respectaient pas l’exigence de la directive 95/46/CE sur la protection des données.

La Commission avait en effet introduit un recours en manquement contre l’Allemagne, en faisant valoir que, puisque ces autorités de protection des données faisaient partie de l’administration régionale et étaient soumises au contrôle de l’État, elles n’agissaient pas en pleine indépendance.

Le gouvernement allemand a pour sa part soutenu que le fait de rendre ces autorités indépendantes des parties qu’elles supervisent était un gage suffisant d’indépendance. Le Contrôleur européen de la protection des données (CEPD) est intervenu lors de la procédure en appui de la position de la Commission.

La Cour a dit pour droit que la tutelle de l’État exercée sur les autorités allemandes de contrôle compétentes pour la surveillance du traitement des données à caractère personnel dans le secteur non public n’est pas compatible avec l’exigence d’indépendance.

Cette exigence est formulée par la CJUE de la façon suivante : « les autorités de contrôle compétentes pour la surveillance du traitement des données à caractère personnel dans le secteur non public doivent jouir d’une indépendance qui leur permette d’exercer leurs missions sans influence extérieure. Cette indépendance exclut non seulement toute influence exercée par les organismes contrôlés, mais aussi toute injonction et toute autre influence extérieure, que cette dernière soit directe ou indirecte, qui pourraient remettre en cause l’accomplissement, par lesdites autorités, de leur tâche consistant à établir un juste équilibre entre la protection du droit à la vie privée et la libre circulation des données à caractère personnel ».

Au-delà de la solution d’espèce, déterminante pour la conception qu’on peut se faire des libertés publiques et fondamentales dans le domaine des nouvelles technologies de l’information, l’arrêt est tout à fait remarquable en ce qu’il trace de façon générale les contours de la conception d’autorité administrative indépendante en droit européen.

A cette occasion, la CJUE a même livré des indications précieuses sur la notion de légitimité démocratique des institutions administratives dans l’UE.

Le Contrôleur européen de la protection des données est très satisfait de l’arrêt. Selon Peter Hustinx, CEPD : "Le jugement de la Cour est d’une grande importance. Il renforce et clarifie la position des autorités de protection des données dans le cadre du droit fondamental à la protection des données. Ce jugement est pertinent pour toutes les autorités de supervision dans tous les Etats membres de l’UE".