La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, «relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données», est le socle commun de protection des données à caractère personnel au sein de l’Union Européenne.
L’article 28 énonce que «Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.Ces autorités exerçent en toute indépendance les missions dont elles sont investies.»
Cette exigence d’indépendance n’était pas explicitée dans la directive. Elle est devenue beaucoup plus claire depuis l’arrêt de la Cour de Justice de l’Union Européenne du 9 mars 2010.
Dans cette affaire, l’Allemagne est condamnée par la CJUE pour une transposition erronée de la directive 95/46/CE «en soumettant à la tutelle de l’Etat les autorités de contrôle compétentes pour la surveillance du traitement des données à caractère personnel par les organismes non publics et les entreprises de droit public prenant part à la concurrence sur le marché dans les différents Länder.»
Il est reproché à l’Allemagne de permettre «en principe au gouvernement du Land concerné ou à un organe de l’administration soumise à ce gouvernement d’influer directement ou indirectement sur les décisions des autorités de contrôle ou, le cas échéant d’annuler et de remplacer ces décisions.»
La Cour pose le principe qu’une autorité n’est plus indépendante, dès lors qu’il existe le seul risque que les autorités de tutelle, puissent exercer une influence sur les décisions des autorités de contrôle.
Une telle condamnation pourrait-elle être prononcée contre la France ?
L’article 11 de la loi du 6 janvier 1978 dispose que «la Commission nationale de l’informatique et des libertés est une autorité administrative indépendante.»
Selon le Conseil d’Etat dans un rapport de 2001, «les autorités administratives indépendantes peuvent être définies comme des organismes administratifs, qui agissent au nom de l’État et disposent d’un réel pouvoir, sans pour autant relever de l’autorité du Gouvernement.»
Cette définition semble montrer que la condition de dépendance est respectée puisqu’une autorité administrative indépendante ne relève pas en théorie, directement de l’autorité de l’Etat.
Cette indépendance peut être nuancée puisque, malgré tout l’Etat, peut avoir une certaine emprise par plusieurs aspects : crédit accordé, nomination des membres.
Selon l’article 13 de la loi du 6 janvier 1978, la CNIL jouit d’une indépendance importante puisque ses membres sont issus de nombreuses institutions différentes : Parlement, Conseil Economique et Social, Juridictions… et que ses crédits sont «assurés» par l’article 12 de la loi Informatique et Libertés.
Par conséquent, il semble peu probable que la France se fasse condamner pour ce motif de manque d’indépendance. Il n’est pas sûr pour autant que la France soit exempte de toute critique : l’application de l’article 6 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales pour les procédures devant la CNIL pourrait être critiquée par la CJUE, par exemple.
Source:
-Arrêt de la CJUE 9 mars 2010 : -Voir le document