La Cour de justice européenne (CJE) a condamné l'Allemagne, le 9 mars 2010, affirmant que ses autorités administratives indépendantes (AAI), chargées de la protection des données personnelles, manquaient... d'indépendance.
Résumé
Le litige, opposant la Commission européenne à l'Allemagne, porte principalement sur l'interprétation du sens de "l'indépendance complète" évoquée par la directive 95/46/CE sur la protection des données personnelles. L'argumentation des parties et de la Cour a soulevé deux problèmes principaux: d'abord, celui de l'intérêt des gouvernements à favoriser la constitution de bases de données à des fins commerciales, dans la mesure où celles-ci peuvent ensuite être utilisées par le fisc, la police et la justice. Selon la CJE, la distinction, établie en droit allemand, entre les autorités chargées de la protection des données dans le secteur privé, et assujetties à l'immixtion des politiques dans leur activité, et l'AAI fédérale qui contrôle le respect du droit à la vie privée lorsqu'il s'agit de fichiers publics, ne se justifie donc pas.
Ensuite, l'Allemagne a plaidé le caractère anti-démocratique d'AAI qui seraient exemptées du contrôle parlementaire alors qu'elles prennent des décisions engageant le droit des citoyens, selon une argumentation rappelant le débat opposant partisans du contrôle de constitutionnalité et adversaires du "pouvoir des juges". On relèvera aussi, au passage: que la Cour semble entériner une conception républicaine de la liberté, en tant que non-domination, contre la conception libérale classique de la liberté comme non-interférence; que la protection des données personnelles est la condition d'un marché commun de ces données, et relève donc bien de la compétence communautaire: exit la "marge nationale d'appréciation".
Un manque d'indépendance des autorités locales chargées de la protection des données
Le litige portait sur les AAI des Länders, et non sur l'autorité fédérale de protection des données personnelles. En effet, le droit allemand confère au Commissaire fédéral à la protection des données et au droit à l'information le soin de contrôler les traitements de données mis en œuvre par des organismes publics. En revanche, tout ce qui relève du privé (à l'exception des services de communication et des postes) relève de la législation des Länders: tantôt, c'est le gouvernement local qui est chargé du respect de la directive 95/46/CE sur la protection des données dans le secteur privé; tantôt, ce sont des organismes spécifiques. Mais dans tous les cas, indique la CJE dans cette affaire, ces organismes dépendent du gouvernement local, et ne peuvent donc être considérées comme de réelles autorités indépendantes.
La Cour relève en effet que le contrôle des Länders sur ces divers organismes leur permet d'influencer voire d'annuler leurs décisions (§32). Or, ce contrôle étatique peut être influencé par des motifs politiques: d'une part, même s'il s'agit de décisions concernant le secteur privé, le gouvernement peut y être intéressé, puisqu'il peut être impliqué dans le cadre de partenariats public-privé ou de contrats publics avec le secteur privé, ou encore (surtout?) qu'il peut y être intéressé dans la mesure où il peut exiger d'avoir accès à ces bases de données à des fins fiscales ou policières et judiciaires. Enfin, le Länder peut aussi avoir un intérêt économique dans la constitution de ces bases, si elles sont le fait d'entreprises importantes (§35).
L'indépendance des autorités de protection des données (APD) est donc, dans cette mesure, souhaitable. Toute la question étant cependant de savoir ce qu'il faut par "indépendance": contrairement à ce qu'avançait le Contrôleur européen de la protection des données (CEPD), l'avocat général considère, dans ses conclusions, qu'on ne saurait concevoir l'indépendance des AAI de façon analogue à celle du pouvoir judiciaire. En effet, les autorités de protection des données sont administratives tout autant qu'indépendantes: elles relèvent donc de la branche exécutive. La question est donc, selon lui, d'examiner la portée de l'indépendance qu'elles doivent pouvoir bénéficier au sein du "contexte de l'exécutif" (§14 opinion).
Interférence effective et potentielle : la CJE républicaine?
De surcroît, même en l'absence d'interférence effective de la part du gouvernement dans la prise de décision concernant la mise en œuvre de ces fichiers, le seul "risque", ou encore la simple possibilité d'une telle "influence politique" suffit à mettre en cause l'indépendance de ces organismes (§36). Une telle précision est remarquable en ce qu'elle avalise, implicitement, la définition de la domination proposée par le philosophe Philip Pettit. En effet, contrairement à la définition classique, proposée par le libéralisme, de la liberté comme non-interférence, la définition républicaine suggérée par Pettit prévoit explicitement qu'
"il n'est pas nécessaire qu'une personne disposant d'un pouvoir de domination sur une autre - quel que soit le degré de cette domination - en use effectivement pour interférer, pour de bons ou de mauvais motifs, dans les décisions de l'individu dominé; il n'est même pas nécessaire que la personne jouissant d'un tel pouvoir soit le moins du monde encline à interférer de la sorte. Le fait que le détenteur du pouvoir ait, dans une quelconque mesure, la capacité d'interférer arbitrairement est constitutif de la domination, quand bien même il n'en fait pas usage."
Philip Pettit, Républicanisme. Une théorie de la liberté et du gouvernement (Gallimard, 2004), p.91
De l'autonomie des Etats au sein de l'UE et de la légitimité démocratique des autorités administratives
A cette argumentation, élaborée en partie par le Contrôleur européen de la protection des données (CEPD) cité par la Cour, l'Allemagne oppose deux arguments principaux, qui méritent d'être médités. La première concerne la légitimité de l'intervention de l'UE dans cette question; la deuxième concerne la légitimité démocratique des AAI, qui prennent des décisions importantes alors qu'elles ne sont pas élues et seraient donc, selon le gouvernement allemand, soustraites au contrôle souverain du peuple.
Les données personnelles, une marchandise (presque) comme les autres...
L'Allemagne conteste en effet, en premier lieu, l'autorité de la Cour et de la Commission européenne, qui a décidé de porter le litige devant la CJUE, en matière de protection des données. L'argument, faible au niveau juridique, est sans surprise écarté, mais il rappelle à quel titre l'UE s'investit dans la question du droit à la vie privée lorsqu'il s'agit de données personnelles. En vertu du principe de subsidiarité et de proportionnalité, lequel permet de départager, de manière certes floue et fluctuante, les compétences des organismes communautaires et les compétences nationales, l'Allemagne s'indigne de ce que la Commission et la CJE mettent leur nez dans son système juridique de protection des données, établi depuis une trentaine d'années et qui aurait été considéré comme modèle à l'étranger (§52-54).
La CJE écarte évidemment cette tentative de préserver une "marge nationale d'appréciation": la protection des données personnelles a été instituée par la directive 95/46/CE non pas tellement, comme on pourrait s'y attendre, "pour le bien du citoyen", mais plutôt pour empêcher toute entrave à la constitution d'un marché commun des données personnelles. La directive est en effet claire à ce sujet: toute variation dans la législation des Etats-membres sur la protection des données personnelles ouvrirait la porte aux contestations des citoyens qui refuseraient de voir leurs données personnelles transmises à une entreprise résidant dans un autre Etat, et, le cas échéant, sujette à une protection moindre que celle accordée au citoyen par son Etat. Dès lors, pour favoriser le commerce des données, il faut obtenir une harmonisation de la législation.
L'indépendance des autorités administratives est-elle démocratique?
Le deuxième argument invoqué par l'Allemagne rappelle le débat entre ceux, aujourd'hui prédominants, qui sont en faveur de l'extension tous azimuts du contrôle de constitutionnalité, et ceux qui affirment, au contraire, qu'il s'agit là d'un "pouvoir des juges", donc de personnalités non élues, sur l'élaboration des lois, lesquelles relèvent, comme chacun sait depuis Rousseau, de cette formidable "souveraineté populaire" (cf., pour un aperçu de ce débat, La Vie des idées).
L'Allemagne affirme ainsi, allant à l'encontre de cette tendance à multiplier les AAI, que celles-ci, dans la mesure où elles prennent des décisions concernant les droits des citoyens (ici, le droit à la vie privée), devraient être soumises à un contrôle politique, les gouvernements étant responsables devant les parlements des Länders, et donc, in fine, devant "le peuple". Soustraire ces AAI au contrôle politique serait ainsi... anti-démocratique.
Politiquement, l'argument semble un peu faible: comme l'a rappelé le CEPD, refuser l'indépendance politique des autorités administratives, c'est aussi amoindrir, sinon le niveau de protection des données, du moins les possibles refus à l'égard de la constitution de bases de données privées, dans la mesure où la police, la justice et le fisc ont tout intérêt à que de telles bases soient constituées, puisqu'elles y ont presque toujours accès. En bref, la distinction privé/public s'effondre ici, dans la mesure où des fichiers institués à des finalités commerciales sont utilisées par l'Etat à des finalités policières et judiciaires. Les critiques de la CNIL (Commission nationale informatique et libertés) n'auront cependant pas de mal à ironiser sur ce "haut niveau de protection des données" "garanti" par ces AAI, surtout lorsqu'elles sont présidées par un Alex Türk, sénateur UMP qui s'est lui-même efforcé, au Sénat, d'amoindrir l'étendue du contrôle de la CNIL concernant les fichiers de police...
Juridiquement, la CJE écarte sans peine cet argument. L'"influence parlementaire", déclare-t-elle, s'exerce en effet sur les AAI dans le pouvoir de nomination, accordé au parlement ou au gouvernement, sur les membres des autorités de protection de données. De plus, "le Parlement définit le pouvoir de ces autorités" (§44), et peut aussi exiger qu'il rende compte de ses activités par le biais de rapports annuels (§45). Dès lors, ces autorités sont bien "démocratiquement légitimes" (§46).
Fin de l'histoire?
Le cadre juridique allemand, qui croyait pouvoir s'exempter, en matière de protection des données personnelles dans le secteur privé, du contrôle exercé via des autorités administratives indépendantes (AAI), est donc, sans ambages, condamné par la Cour européenne, qui n'a pas suivi, à juste titre peut-on avancer, les conclusions de l'avocat général. Le Contrôleur européen de protection des données (CEPD), lui-même une AAI, se félicite, on s'en doute, de cette décision. L'"indépendance complète", évoquée par la directive 95/46/CE sur la protection des données, implique en effet, selon la Cour, que les AAI soient à l'abri de toute influence "externe", directe ou indirecte, entérinant ainsi le fait que la simple possibilité d'une interférence constitue, en soi, un pouvoir de domination inadmissible. Afin d'éviter que les gouvernements soient partie prenantes à des décisions qui les intéressent, y compris dans le secteur privé, il convient de garantir l'indépendance effective des autorités de protection des données.
Mais la Cour n'a pas fait que renforcer, ici, la tendance à la constitution des AAI. Elle a aussi réaffirmé la prépondérance des organismes et du droit communautaire sur la législation nationale: dans la mesure où la protection des données sert d'abord et avant tout à permettre l'élaboration d'un marché libéral des données personnelles, elle relève de la compétence communautaire. Exit la "marge nationale d'appréciation". Rien de bien nouveau, mais un nouveau motif d'inquiétude pour les "souverainistes", de gauche ou de droite, qui déplorent la constitution d'un cadre normatif européen fait dans des conditions contestables du point de vue... démocratique! Nul besoin, cependant, d'être "souverainiste" pour s'inquiéter de la constitution d'une Europe fédérale sur des fondements démocratiques aussi fragiles. Le fait qu'en l'espèce, la décision de la Cour est plutôt favorable à la protection des données personnelles, nonobstant toute ironie concernant le rôle de la CNIL, de même d'ailleurs que l'initiative de la Commission, si décriée mais qu'on peut ici approuver, ne retire rien au problème du "déficit démocratique" de l'Europe.
Enfin, la Cour a tranché sur ce qui constitue la "légitimité démocratique" des AAI: dans la mesure où leurs membres sont nommés par le parlement ou le gouvernement, politiquement responsable, et que le cadre juridique de leur pouvoir est établi par la loi, l'argumentation de l'Allemagne à leur encontre est irrecevable. Les partisans des AAI se féliciteront d'une telle décision; les sceptiques à l'égard du "pouvoir des juges" feront peut-être la moue. Quoi qu'il en soit, on ne peut s'empêcher de remarquer que ce sont précisément des juges, non élus, qui décident de ce que constitue la "légitimité démocratique" d'organismes administratifs, indépendants, certes, mais non élus. Et puisque la Cour nous place sur ce terrain, le débat mérite d'être ouvert: des autorités administratives indépendantes, pourquoi pas? mais que penser de leur composition? Ne mériterait-elle pas d'être revue par le législateur? Ne pourraient-elles pas faire une place plus grande aux associations telles la Ligue des droits de l'homme?
Merci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.
Cour de justice européenne (Grande chambre), 9 mars 2010, affaire C-518/07: en anglais et en français.
Communiqué du Contrôleur européen de protection des données, 9 mars 2010 (une page, en anglais et en français).
Conclusions de l'avocat général : en anglais et en français
Ordonnance de la Cour du 14 octobre 2008 concernant l'intervention du Contrôleur européen de la protection des données: en français.
EDRI, EC: data protection inadequate in Austria and Germany, 24 août 2005.
Guglielmi, Gilles, Des AAI non indépendantes ne respectent pas le droit de l'Union européenne de la protection des données, 10 mars 2010 [mise à jour; G. Guglielmi note que "l’arrêt est tout à fait remarquable en ce qu’il trace de façon générale les contours de la conception d’autorité administrative indépendante en droit européen."].
Articles
Aucun commentaire:
Enregistrer un commentaire