ARRÊT DE LA COUR (grande chambre)
8 avril 2014 (*)
«Manquement d’État – Directive 95/46/CE – Protection des personnes physiques à l’égard du traitement des données à caractère personnel et libre circulation de ces données – Article 28, paragraphe 1 – Autorités nationales de contrôle – Indépendance – Législation nationale mettant fin avant terme au mandat de l’autorité de contrôle – Création d’une nouvelle autorité de contrôle et nomination d’une autre personne en qualité de président»
Dans l’affaire C‑288/12,
ayant pour objet un recours en manquement au titre de l’article 258 TFUE, introduit le 8 juin 2012,
Commission européenne, représentée par Mme K. Talabér-Ritz et M. B. Martenczuk, en qualité d’agents, ayant élu domicile à Luxembourg,
partie requérante,
soutenue par:
Contrôleur européen de la protection des données (CEPD), représenté par Mmes I. Chatelier, A. Buchta et Z. Belényessy ainsi que M. H. Kranenborg, en qualité d’agents,
partie intervenante,
contre
Hongrie, représentée par M. M. Z. Fehér, en qualité d’agent,
partie défenderesse,
LA COUR (grande chambre),
composée de M. V. Skouris, président, M. K. Lenaerts, vice-président, MM. M. Ilešič, L. Bay Larsen, T. von Danwitz, E. Juhász, A. Borg Barthet, C. G. Fernlund et J. L. da Cruz Vilaça, présidents de chambre, MM. G. Arestis, J. Malenovský, Mmes M. Berger, A. Prechal, MM. E. Jarašiūnas (rapporteur) et C. Vajda, juges,
avocat général: M. M. Wathelet,
greffier: Mme C. Strömholm, administrateur,
vu la procédure écrite et à la suite de l’audience du 15 octobre 2013,
ayant entendu l’avocat général en ses conclusions à l’audience du 10 décembre 2013,
rend le présent
Arrêt
1 Par sa requête, la Commission européenne demande à la Cour de constater que, en mettant fin de manière anticipée au mandat de l’autorité de contrôle de la protection des données à caractère personnel, la Hongrie a manqué aux obligations qui lui incombent en vertu de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31).
Le cadre juridique
Le droit de l’Union
2 Le considérant 62 de la directive 95/46 énonce:
«considérant que l’institution, dans les États membres, d’autorités de contrôle exerçant en toute indépendance leurs fonctions est un élément essentiel de la protection des personnes à l’égard du traitement des données à caractère personnel».
3 L’article 28 de la directive 95/46, intitulé «Autorité de contrôle», dispose à ses paragraphes 1 et 2:
«1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.
Ces autorités exercent en toute indépendance les missions dont elles sont investies.
2. Chaque État membre prévoit que les autorités de contrôle sont consultées lors de l’élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l’égard du traitement de données à caractère personnel.»
4 Le règlement (CE) no 45/2001 du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO 2001, L 8, p. 1), instaure, à son chapitre V, une autorité de contrôle indépendante, dénommée le Contrôleur européen de la protection des données (CEPD).
5 Aux termes de l’article 42 du même règlement, intitulé «Nomination»:
«1. Le Parlement européen et le Conseil nomment, d’un commun accord, le [CEPD] pour une durée de cinq ans, sur la base d’une liste établie par la Commission à la suite d’un appel public à candidatures.
[...]
3. Le mandat du [CEPD] est renouvelable.
4. En dehors des renouvellements réguliers et des décès, les fonctions du [CEPD] prennent fin en cas de démission ou de mise à la retraite d’office conformément au paragraphe 5.
5. Le [CEPD] peut être déclaré démissionnaire ou déchu du droit à pension ou d’autres avantages en tenant lieu par la Cour de justice, à la requête du Parlement européen, du Conseil ou de la Commission, s’il ne remplit plus les conditions nécessaires à l’exercice de ses fonctions ou s’il a commis une faute grave.
[...]»
Le droit hongrois
6 Jusqu’au 31 décembre 2011, l’autorité de contrôle de la protection des données à caractère personnel visée à l’article 28 de la directive 95/46 (ci-après l’«autorité de contrôle») était régie par la loi no LXIII de 1992, relative à la protection des données à caractère personnel et à l’accès aux données d’intérêt général, telle que modifiée (ci-après la «loi de 1992»). L’article 23 de cette loi était rédigé comme suit:
«1. Le Parlement nomme un commissaire à la protection des données [(ci-après le ‘commissaire’)] afin de protéger le droit constitutionnel à la protection des données à caractère personnel et à l’accès aux données d’intérêt général [...]
2. Il convient d’appliquer au [commissaire] – sous réserve des dérogations prévues dans la présente loi – les dispositions de la loi relative au commissaire parlementaire chargé des droits des citoyens.»
7 Les missions du commissaire étaient précisées aux articles 24 et 25 de la loi de 1992. En particulier, ledit article 24 prévoyait, à son point a), qu’il «contrôle le respect de la présente loi et des autres normes de droit relatives au traitement des données, soit sur plainte, soit d’office, si aucune procédure judiciaire n’est en cours dans ledit dossier» et, à son point d), qu’il «favorise l’application uniforme des dispositions législatives relatives au traitement des données personnelles et à l’accès aux données d’intérêt général».
8 La loi de 1992 ne contenant pas de dispositions relatives à la durée ou à la cessation du mandat du commissaire, les dispositions de la loi no LIX de 1993, relative au commissaire parlementaire chargé des droits des citoyens, dans sa version en vigueur jusqu’au 31 décembre 2011 (ci-après la «loi de 1993»), étaient applicables. L’article 4, paragraphe 5, de cette loi disposait que le commissaire parlementaire était élu pour six ans et pouvait être réélu une fois. L’article 15 de cette loi réglementait la cessation du mandat comme suit:
«1. Le mandat du commissaire parlementaire prend fin du fait:
a) de l’arrivée à échéance de son mandat,
b) de son décès,
c) de sa démission,
d) de la déclaration d’un conflit d’intérêts,
e) de sa mise à la retraite d’office,
f) de sa démission d’office.
2. Le président du Parlement constate la cessation du mandat du commissaire parlementaire conformément au paragraphe 1, sous a) à c). Concernant la cessation du mandat dans les cas visés au paragraphe 1, sous d) à f), le Parlement rend une décision. La déclaration de la cessation du mandat requiert la majorité des deux tiers des représentants.
3. La démission doit être présentée par écrit au président du Parlement. Le mandat du commissaire parlementaire prend fin à la date indiquée dans la démission. Aucune déclaration d’acceptation n’est nécessaire pour que la démission soit valable.
[...]»
9 Les paragraphes 4 à 6 de cet article 15 détaillaient les hypothèses visées au paragraphe 1, sous d) à f), du même article. En particulier, l’article 15, paragraphe 5, de la loi de 1993 précisait que la mise à la retraite d’office ne pouvait intervenir que si le commissaire parlementaire était dans l’incapacité d’assumer les fonctions liées à son mandat durant plus de 90 jours, pour des raisons qui ne lui étaient pas imputables. Le paragraphe 6 de cet article indiquait pour sa part que la démission d’office pouvait être décidée si le commissaire parlementaire n’assumait pas les fonctions liées à son mandat durant plus de 90 jours, pour des raisons qui lui étaient imputables, s’il se soustrayait délibérément à son obligation de déclaration de patrimoine, s’il faisait intentionnellement état de données ou de faits essentiels inexacts dans ladite déclaration ou s’il avait commis un délit constaté par un jugement ayant acquis force de chose jugée.
10 La Loi fondamentale de la Hongrie est entrée en vigueur le 1er janvier 2012. Aux termes de son article VI, paragraphe 3, «une autorité indépendante instituée par une loi organique veille au respect des droits afférents à la protection des données à caractère personnel et à l’accès aux données d’intérêt général». Les points 3 et 5 des dispositions finales de la Loi fondamentale prévoient, respectivement, que le Parlement adoptera séparément des dispositions transitoires et que celles-ci feront partie de la Loi fondamentale.
11 L’article 16 de ces dispositions transitoires, adoptées par le Parlement, énonce:
«L’entrée en vigueur de la présente Loi fondamentale met fin au mandat du [commissaire] en fonction.»
12 Le 1er janvier 2012, la réglementation hongroise relative à l’autorité de contrôle a ainsi été modifiée et la loi no CXII de 2011, sur l’autodétermination en matière d’information et la liberté de l’information (ci-après la «loi de 2011»), qui, aux termes de son article 77, sous a), transpose la directive 95/46 dans l’ordre juridique hongrois, est entrée en vigueur. Cette loi abroge la loi de 1992 et, à la place du commissaire, établit la Nemzeti Adatvédelmi és Információszabadság Hatóság (Autorité nationale chargée de la protection des données et de la liberté de l’information, ci-après l’«Autorité»).
13 Les missions de l’Autorité sont définies à l’article 38, paragraphes 2 et 3, de la loi de 2011. L’article 38, paragraphe 2, de cette loi dispose que l’Autorité «a pour mission de contrôler et de favoriser l’application du droit relatif à l’accès aux données d’intérêt général et aux données accessibles pour des motifs d’intérêt général et à la protection des données à caractère personnel». L’article 38, paragraphe 3, de ladite loi précise notamment que, dans le cadre des missions qui lui sont dévolues, elle peut agir sur plainte ou d’office.
14 L’article 75, paragraphes 1 et 2, de la loi de 2011 assure la continuité entre le commissaire, d’une part, et l’Autorité, d’autre part, en prévoyant, en substance, que cette dernière gère les dossiers ouverts par le commissaire sur la base d’observations déposées avant le 1er janvier 2012 et que, à partir du 1er janvier 2012, elle traite les données traitées avant cette date par le commissaire.
15 L’article 38, paragraphe 5, de ladite loi précise que «l’Autorité est indépendante et n’est soumise qu’à la loi, elle ne peut recevoir aucune instruction dans son domaine de compétence et accomplit sa mission en toute autonomie par rapport à d’autres organismes, sans subir quelque influence que ce soit». Selon cette disposition, seule la loi peut définir la mission de l’Autorité.
16 L’article 40, paragraphes 1 et 3, de la loi de 2011 prévoit que l’Autorité est dotée d’un président, qui est nommé par le président de la République sur proposition du Premier ministre, pour un mandat de neuf ans. L’article 45 de cette loi régit la cessation du mandat du président de l’Autorité. Dans sa version résultant de la loi no XXV de 2012, en vigueur depuis le 7 avril 2012, cet article dispose à son paragraphe 1:
«Le mandat du président de l’Autorité prend fin du fait:
a) de l’arrivée à échéance de son mandat,
b) de sa démission,
c) de son décès,
d) du constat que les conditions de sa nomination ne sont pas réunies ou que les règles relatives à la déclaration de patrimoine ont été enfreintes,
e) du constat d’un conflit d’intérêts.»
17 L’article 45, paragraphes 2 à 8, de la loi de 2011, telle que modifiée par la loi no XXV de 2012, précise ces différentes hypothèses.
18 L’article 74 de la loi de 2011 établit les règles concernant la nomination du premier président de l’Autorité. Aux termes de celui-ci:
«Avant le 15 novembre 2011, le Premier ministre propose au président de la République le nom du premier président de l’Autorité. Le président de la République nomme le premier président de l’Autorité avec effet au 1er janvier 2012.»
Les faits
19 M. Jóri a été nommé commissaire le 29 septembre 2008 en vertu de la loi de 1992 et est entré en fonctions à cette même date. Son mandat étant de six ans, il aurait dû prendre fin au mois de septembre 2014. Il a cependant pris fin le 31 décembre 2011, en application de l’article 16 des dispositions transitoires de la Loi fondamentale. L’Autorité a commencé ses travaux le 1er janvier 2012 et, sur proposition du Premier ministre, le président de la République a nommé M. Péterfalvi en tant que président de l’Autorité, pour un mandat de neuf ans.
La procédure précontentieuse et la procédure devant la Cour
20 Le 17 janvier 2012, la Commission a adressé une lettre de mise en demeure à la Hongrie. Dans celle-ci, la Commission a fait valoir que la Hongrie avait enfreint l’article 28, paragraphes 1 et 2, de la directive 95/46 en mettant fin de manière anticipée au mandat du commissaire, en ne consultant pas ce dernier sur le projet de nouvelle loi sur la protection des données ainsi qu’en offrant dans cette nouvelle loi de trop grandes possibilités de mettre fin au mandat du président de l’Autorité et en accordant à cet égard un rôle au président de la République et au Premier ministre.
21 Par lettre du 17 février 2012, la Hongrie a contesté l’infraction qui lui était reprochée. Premièrement, cet État membre a fait valoir que la cessation anticipée du mandat du commissaire résultait du changement du modèle hongrois d’autorité de contrôle, que le commissaire ne souhaitait pas être nommé président de l’Autorité et que mettre fin de manière anticipée au mandat du président actuel de celle-ci serait contraire aux règles de droit garantissant son indépendance. Deuxièmement, la Hongrie a mis à la disposition de la Commission des documents relatifs à la consultation du commissaire sur le projet de nouvelle loi sur la protection des données. Troisièmement, cet État membre a indiqué que les dispositions relatives aux possibilités de cessation du mandat du président de l’Autorité seraient modifiées afin de répondre aux préoccupations de la Commission.
22 Le 7 mars 2012, la Commission a adressé un avis motivé à la Hongrie, dans lequel elle a retiré ses réserves à propos de la consultation du commissaire au sujet de la nouvelle loi sur la protection des données. Toutefois, la Commission a réitéré ses préoccupations concernant, d’une part, la cessation anticipée du mandat du commissaire et, d’autre part, les possibilités de cessation du mandat du président de l’Autorité et le rôle du président de la République et du Premier ministre dans celle-ci. Sur ce dernier point, elle a indiqué néanmoins que, si la Hongrie adoptait les amendements législatifs annoncés dans le délai imparti par l’avis motivé, qui était d’un mois à compter de sa notification, elle considérerait que l’infraction sur ledit point a pris fin.
23 La Hongrie a répondu à l’avis motivé par courrier du 30 mars 2012. Elle y a indiqué que l’amendement législatif modifiant l’article 45 de la loi de 2011 serait adopté dans les jours suivants, ce qui fût fait le 2 avril 2012 par la loi no XXV de 2012 entrée en vigueur le 7 avril 2012. Dans ce courrier, la Hongrie a toutefois maintenu son point de vue sur la cessation anticipée du mandat du commissaire, ce qui a conduit la Commission à introduire le présent recours.
24 Par lettre du 6 décembre 2012, la Hongrie a demandé, sur le fondement de l’article 60, paragraphe 1, du règlement de procédure de la Cour, que l’affaire soit tranchée en grande chambre.
25 Par ordonnance du président de la Cour du 8 janvier 2013, le CEPD a été admis à intervenir au soutien des conclusions de la Commission.
Sur le recours
Sur la recevabilité
Argumentation des parties
26 La Hongrie considère que le présent recours est irrecevable, l’arrêt qui constaterait le manquement allégué ne pouvant être exécuté. En effet, à supposer que la Cour constate qu’il a été mis fin à la fonction de commissaire en violation de la directive 95/46, il ne serait possible de remédier à une telle illégalité qu’en révoquant le président de l’Autorité et en le remplaçant par l’ancien commissaire, ce qui reviendrait à répéter le manquement allégué. Or, selon la Hongrie, la Commission ne peut solliciter de la Cour un arrêt en constatation de manquement auquel l’État membre concerné ne peut se conformer qu’en violant le droit de l’Union. De plus, mettre fin de manière anticipée au mandat du président de l’Autorité violerait le principe d’indépendance de l’Autorité, prévu par la Loi fondamentale.
27 La solution proposée par la Commission aux fins de la régularisation du manquement allégué, s’il était constaté, impliquerait, en outre, que tous les actes accomplis par l’actuel président de l’Autorité seraient incompatibles avec le droit de l’Union, ceux-ci ayant été adoptés par une autorité de contrôle ne satisfaisant pas aux exigences de la directive 95/46, ce qui violerait le principe de sécurité juridique. La Hongrie fait valoir à cet égard que la loi de 2011 répond pourtant aux exigences de la directive 95/46.
28 La Commission rétorque que les arguments de la Hongrie doivent être rejetés, le présent recours conservant un objet et rien ne s’opposant à l’exécution d’un arrêt qui constaterait le manquement allégué.
Appréciation de la Cour
29 Tout d’abord, il convient de rappeler que, selon une jurisprudence constante de la Cour, l’existence d’un manquement doit être appréciée en fonction de la situation de l’État membre telle qu’elle se présentait au terme du délai fixé dans l’avis motivé (arrêt Commission/Portugal, C‑20/09, EU:C:2011:214, point 31 et jurisprudence citée). En l’espèce, le délai fixé à la Hongrie dans l’avis motivé pour se conformer à ce dernier expirait un mois après la notification de celui-ci, soit le 7 avril 2012.
30 À cet égard, la Cour a certes déjà pu juger qu’un recours en manquement est irrecevable si, à la date d’expiration du délai fixé dans l’avis motivé, le manquement allégué ne continuait pas de produire des effets (voir, en ce sens, arrêts Commission/Espagne, C‑221/04, EU:C:2006:329, points 25 et 26, ainsi que Commission/Portugal, EU:C:2011:214, point 33).
31 Toutefois, en l’occurrence, le manquement allégué par la Commission réside dans le fait que le commissaire n’a pu exécuter son mandat jusqu’à son terme initialement prévu et il est constant que ce terme n’avait pas encore expiré à la date fixée par l’avis motivé. Dans ces circonstances, il ne saurait être considéré que le manquement allégué ne produisait plus d’effets à l’expiration du délai fixé dans l’avis motivé.
32 La circonstance, à la supposer établie, que la loi de 2011 répond aux exigences de la directive 95/46 est sans incidence sur ce point, celle-ci étant sans rapport avec la question de savoir si le manquement allégué avait ou non cessé de produire ses effets à l’expiration du délai fixé dans l’avis motivé, le présent recours ne portant que sur la question de savoir si, en mettant fin de manière anticipée au mandat du commissaire, la Hongrie a manqué aux obligations qui lui incombent en vertu de la directive 95/46.
33 Ensuite, il y a lieu de rappeler que, si la Cour reconnaît qu’un État membre a manqué à une des obligations qui lui incombent en vertu des traités, cet État est tenu, aux termes de l’article 260, paragraphe 1, TFUE, de prendre les mesures que comporte l’exécution de l’arrêt de la Cour, la question de savoir quelles sont les mesures que comporte l’exécution d’un arrêt constatant un manquement ne faisant pas l’objet d’un arrêt rendu au titre de l’article 258 TFUE (voir, en ce sens, arrêt Commission/Allemagne, C‑503/04, EU:C:2007:432, point 15 et jurisprudence citée).
34 La circonstance invoquée par la Hongrie, selon laquelle il lui serait impossible de remédier au manquement allégué sans violer la directive 95/46 ou le principe de sécurité juridique, à la supposer établie, relève ainsi, en tout état de cause, de l’exécution de l’arrêt constatant le manquement et est, partant, sans influence sur la recevabilité du présent recours.
35 Enfin, en réponse à l’argument de la Hongrie tiré du fait que l’exécution de l’arrêt qui constaterait le manquement allégué pourrait créer une situation qui serait contraire à la Loi fondamentale, il y a lieu de constater qu’il est de jurisprudence constante qu’un État membre ne saurait exciper de dispositions de son ordre juridique national, même constitutionnel, pour justifier le non-respect des obligations résultant du droit de l’Union (voir, notamment, arrêts Commission/Belgique, 102/79, EU:C:1980:120, point 15, ainsi que Commission/Portugal, C‑70/06, EU:C:2008:3, points 21 et 22).
36 Il résulte de ces considérations que le présent recours est recevable.
Sur le fond
Argumentation des parties
37 La Commission, soutenue par le CEPD, fait valoir qu’il découle de la jurisprudence de la Cour que l’expression «en toute indépendance», figurant à l’article 28, paragraphe 1, de la directive 95/46, signifie une indépendance complète par rapport à toute influence directe ou indirecte, assurant à l’autorité de contrôle concernée la possibilité d’agir en toute liberté, à l’abri de toute instruction et de toute pression, sans influence extérieure et sans risque qu’une telle influence puisse être exercée.
38 La Commission et le CEPD reconnaissent que la directive 95/46 accorde une marge de manœuvre aux États membres pour mettre en œuvre son article 28, notamment en ce qui concerne le choix du modèle institutionnel et la durée précise du mandat de l’autorité de contrôle. Par conséquent, les États membres seraient, en principe, libres de choisir cette durée. Toutefois, une fois la durée de ce mandat définie, l’État membre devrait le respecter et ne pourrait y mettre fin avant son terme, sauf pour des motifs graves et objectivement vérifiables. Une comparaison avec l’article 42 du règlement no 45/2001, relatif au CEPD, confirmerait cette interprétation.
39 En l’espèce, la Hongrie n’aurait pas prouvé qu’il existait une raison objective justifiant de mettre fin de manière anticipée au mandat du commissaire. Premièrement, la réforme de l’autorité de contrôle ne saurait être une justification admissible, quand bien même la Hongrie est en droit de changer le modèle institutionnel de son autorité de contrôle. Deuxièmement, cet État membre n’aurait pas établi que le commissaire avait renoncé au droit de poursuivre son mandat et refusé de diriger l’Autorité. Troisièmement, le fait que la réglementation hongroise en cause fasse partie de la Loi fondamentale et de ses dispositions transitoires ou que la loi de 2011 remplisse ou non les critères de la directive 95/46 serait sans incidence.
40 La Hongrie souligne, à titre liminaire, que la décision de remplacer le commissaire par un organisme fonctionnant sous la forme d’une autorité et, corrélativement, celle de mettre fin au mandat du commissaire ont été adoptées par le pouvoir constituant et que la nouvelle réglementation relative à l’Autorité repose sur la Loi fondamentale.
41 Sur le fond, cet État membre conteste la position défendue par la Commission et le CEPD. Il indique douter du fait que l’exigence d’indépendance prévue à l’article 28 de la directive 95/46 s’étende à la décision d’un État membre portant sur la forme ou le changement de la forme conférée à l’autorité de contrôle, dès lors que le fonctionnement et le processus décisionnel de l’organisme créé satisfont à l’exigence d’indépendance telle que prévue dans ladite directive et interprétée par la Cour.
42 Selon la Hongrie, il ressort clairement du libellé de cet article 28 et de l’article 44 du règlement no 45/2001 ainsi que de la jurisprudence de la Cour que l’exigence d’indépendance prévue à l’article 28, paragraphe 1, de la directive 95/46 se rattache à l’indépendance dans l’exercice des missions dont les autorités de contrôle sont investies et se rapporte donc à l’indépendance fonctionnelle de l’autorité en cause. La réglementation hongroise, tant avant qu’après le 1er janvier 2012, satisferait pleinement à cette exigence. Il ne saurait être déduit de cet article 28 qu’il exige de conférer à la personne qui dirige ladite autorité un droit subjectif à l’exercice de cette mission. Dans la mesure où l’indépendance fonctionnelle de l’autorité est assurée, il importerait peu qu’un changement intervienne au niveau de la personne qui en est à la tête, même avant l’expiration de son mandat initial. Cette conception serait conforme à la compétence reconnue aux États membres pour établir la durée du mandat des autorités de contrôle.
43 La directive 95/46 ne déterminant ni la structure, ni l’organisation des autorités de contrôle, ni la durée des mandats des personnes qui les dirigent, les États membres seraient libres de définir leur structure institutionnelle. Cette liberté inclurait le choix de la personne chargée d’exercer les compétences de l’autorité de contrôle au sein du modèle institutionnel retenu et de décider de son remplacement à l’occasion d’un changement de modèle, y compris lorsque celui-ci résulterait d’une cessation anticipée «de par la loi» du mandat de l’autorité de contrôle en place.
44 La seule limite imposée aux États membres par l’article 28 de la directive 95/46 serait de garantir que les autorités de contrôle puissent accomplir de manière ininterrompue leurs missions en toute indépendance pendant la durée de leur mandat, déterminée par les mêmes États membres. Tel serait bien le cas en l’espèce.
45 La modification du système institutionnel de protection des données constituerait ainsi une raison objective justifiant la cessation anticipée du mandat du commissaire. Considérant que ce sont la Loi fondamentale et ses dispositions transitoires qui prescrivent ce nouveau système ainsi que la cessation du mandat du commissaire, ni l’ancienne ni la nouvelle réglementation, de niveau législatif, n’auraient pu contenir des dispositions différentes en la matière. Compte tenu du changement institutionnel introduit par la nouvelle réglementation, il n’aurait pas été justifié de prévoir que le commissaire occuperait automatiquement la fonction de président de l’Autorité. Le commissaire aurait d’ailleurs exprimé son désaccord concernant le nouveau modèle institutionnel ainsi que son intention de ne pas accepter une telle nomination.
46 Si la thèse de la Commission était suivie, la directive 95/46 devrait être interprétée comme excluant également que le mandat de la personne qui est à la tête de l’autorité de contrôle puisse être renouvelé ou que cette personne puisse exercer une autre fonction publique élective. En effet, il résulterait de ladite thèse que l’espoir d’un renouvellement de mandat ou de l’exercice d’une autre fonction pourrait inciter le président de l’autorité de contrôle à se conformer aux attentes réelles ou présumées du pouvoir politique, dans l’intérêt de sa carrière ultérieure.
Appréciation de la Cour
47 À titre liminaire, il convient de rappeler que l’article 28, paragraphe 1, second alinéa, de la directive 95/46 impose aux États membres d’instituer une ou plusieurs autorités de contrôle qui exercent en toute indépendance les missions dont elles sont investies. L’exigence de contrôle par une autorité indépendante du respect des règles de l’Union relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel résulte également du droit primaire de l’Union, notamment de l’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union européenne et de l’article 16, paragraphe 2, TFUE.
48 L’institution, dans les États membres, d’autorités de contrôle indépendantes constitue ainsi un élément essentiel du respect de la protection des personnes à l’égard du traitement des données à caractère personnel (arrêts Commission/Allemagne, C‑518/07, EU:C:2010:125, point 23, et Commission/Autriche, C‑614/10, EU:C:2012:631, point 37), comme cela est d’ailleurs relevé au considérant 62 de la directive 95/46.
49 Il doit être rappelé que, en Hongrie, la loi de 1992 prévoyait que le commissaire, nommé pour un mandat de six ans, une fois renouvelable, constituait l’autorité de contrôle de la protection des données à caractère personnel au sens de la directive 95/46, ce qui n’est pas contesté par la Hongrie.
50 Afin d’apprécier le bien-fondé du présent recours, il y a lieu d’examiner si, comme le prétend la Commission, l’exigence, prévue à l’article 28, paragraphe 1, second alinéa, de la directive 95/46, selon laquelle il convient de garantir que chaque autorité de contrôle exerce en toute indépendance les missions dont elle est investie implique l’obligation pour l’État membre concerné de respecter la durée du mandat d’une telle autorité jusqu’à son terme initialement prévu.
51 La Cour a déjà jugé que l’article 28, paragraphe 1, second alinéa, de la directive 95/46 doit être interprété en ce sens que les autorités de contrôle compétentes pour la surveillance du traitement des données à caractère personnel doivent jouir d’une indépendance qui leur permette d’exercer leurs missions sans être soumises à une influence extérieure. Cette indépendance exclut notamment toute injonction et toute autre influence extérieure sous quelque forme que ce soit, qu’elle soit directe ou indirecte, qui seraient susceptibles d’orienter leurs décisions et qui pourraient ainsi remettre en cause l’accomplissement, par lesdites autorités, de leur tâche consistant à établir un juste équilibre entre la protection du droit à la vie privée et la libre circulation des données à caractère personnel (voir, en ce sens, arrêts Commission/Allemagne, EU:C:2010:125, point 30, ainsi que Commission/Autriche, EU:C:2012:631, points 41 et 43).
52 L’indépendance fonctionnelle des autorités de contrôle, en ce sens que les membres de celles-ci ne sont liés par aucune instruction dans l’exercice de leurs fonctions, est ainsi une condition nécessaire pour que celles-ci puissent satisfaire au critère d’indépendance au sens de l’article 28, paragraphe 1, second alinéa, de la directive 95/46, mais, contrairement à ce que soutient la Hongrie, une telle indépendance fonctionnelle ne suffit pas, à elle seule, à préserver les autorités de contrôle de toute influence extérieure (arrêt Commission/Autriche, EU:C:2012:631, point 42).
53 À cet égard, la Cour a déjà jugé que le seul risque que les autorités de tutelle de l’État puissent exercer une influence politique sur les décisions des autorités de contrôle suffit pour entraver l’exercice indépendant des missions de celles-ci. En effet, d’une part, il pourrait en résulter une «obéissance anticipée» de ces autorités eu égard à la pratique décisionnelle de l’autorité de tutelle. D’autre part, considérant le rôle de gardiennes du droit à la vie privée qu’assument les autorités de contrôle, l’article 28, paragraphe 1, second alinéa, de la directive 95/46 exige que leurs décisions, et donc elles-mêmes, soient au-dessus de tout soupçon de partialité (arrêts Commission/Allemagne, EU:C:2010:125, point 36, et Commission/Autriche, EU:C:2012:631, point 52).
54 Or, s’il était loisible à chaque État membre de mettre fin au mandat d’une autorité de contrôle avant le terme initialement prévu de celui-ci sans respecter les règles et les garanties préétablies à cette fin par la législation applicable, la menace d’une telle cessation anticipée qui planerait alors sur cette autorité tout au long de l’exercice de son mandat pourrait conduire à une forme d’obéissance de celle-ci au pouvoir politique, incompatible avec ladite exigence d’indépendance (voir, en ce sens, arrêt Commission/Autriche, EU:C:2012:631, point 51). Cela est vrai même lorsque la fin anticipée du mandat résulte d’une restructuration ou d’un changement de modèle, lesquels doivent être organisés de façon à respecter les exigences d’indépendance posées par la législation applicable.
55 De plus, dans une telle situation, l’autorité de contrôle ne pourrait être considérée comme pouvant opérer, en toute circonstance, au-dessus de tout soupçon de partialité. L’exigence d’indépendance figurant à l’article 28, paragraphe 1, second alinéa, de la directive 95/46 doit, dès lors, nécessairement être interprétée comme incluant l’obligation de respecter la durée du mandat des autorités de contrôle jusqu’à son échéance et de n’y mettre fin de manière anticipée que dans le respect des règles et des garanties de la législation applicable.
56 Les règles qui s’appliquent à la cessation du mandat du CEPD reflètent cette interprétation. En effet, il ressort du chapitre V du règlement no 45/2001, et notamment de son article 42, paragraphes 4 et 5, qui encadre strictement les circonstances dans lesquelles le mandat du CEPD peut prendre fin de manière anticipée, que le respect du mandat du CEPD jusqu’à son échéance, sauf motif grave et objectivement vérifiable, est une condition primordiale de son indépendance.
57 En l’occurrence, l’article 15, paragraphe 1, de la loi de 1993, applicable au commissaire en vertu de l’article 23, paragraphe 2, de la loi de 1992, prévoyait que le mandat du commissaire ne pouvait prendre fin que du fait de l’échéance de son mandat, de son décès, de sa démission, de la déclaration d’un conflit d’intérêt, de sa mise à la retraite d’office ou de sa démission d’office. Ces trois dernières hypothèses nécessitaient une décision du Parlement adoptée à la majorité des deux tiers de ses membres. En outre, tant la mise à la retraite d’office que la démission d’office ne pouvaient intervenir que dans des circonstances limitées, précisées respectivement aux paragraphes 5 et 6 du même article 15.
58 Or, il est constant qu’il n’a pas été mis fin au mandat du commissaire en application de l’une de ces dispositions et en particulier qu’il n’a pas officiellement démissionné.
59 Il s’ensuit que la Hongrie a mis fin au mandat du commissaire sans respecter les garanties mises en place par la loi afin de protéger son mandat, portant ainsi atteinte à son indépendance au sens de l’article 28, paragraphe 1, second alinéa, de la directive 95/46. Le fait que cette cessation anticipée résulte d’un changement de modèle institutionnel n’est pas susceptible de la rendre compatible avec l’indépendance des autorités de contrôle requise par cette disposition, ainsi qu’il a été relevé au point 54 du présent arrêt.
60 Certes, les États membres sont libres d’adopter et de modifier le modèle institutionnel qu’ils estiment le plus adapté pour leurs autorités de contrôle. Toutefois, ils doivent dans ce cadre veiller à ne pas porter atteinte à l’indépendance de l’autorité de contrôle résultant de l’article 28, paragraphe 1, second alinéa, de la directive 95/46, laquelle implique l’obligation de respecter la durée du mandat de celle-ci, conformément à ce qui a été exposé au point 54 du présent arrêt.
61 En outre, même si, comme le soutient la Hongrie, le commissaire et l’Autorité se distinguent de manière fondamentale par leur organisation et par leur structure, ces deux entités sont, en substance, chargées de missions identiques, à savoir celles dévolues aux autorités de contrôle nationales en application de la directive 95/46, ainsi que cela ressort des missions qui leur ont respectivement été confiées et de la continuité entre celles-ci dans le traitement des dossiers, qui est assurée par l’article 75, paragraphes 1 et 2, de la loi de 2011. Ce seul changement de modèle institutionnel ne peut donc pas objectivement justifier qu’il puisse être mis fin au mandat de la personne qui était chargée des fonctions de commissaire sans que soient prévues des mesures transitoires permettant de garantir le respect de la durée de son mandat.
62 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de constater que, en mettant fin de manière anticipée au mandat de l’autorité de contrôle de la protection des données à caractère personnel, la Hongrie a manqué aux obligations qui lui incombent en vertu de la directive 95/46.
Sur la limitation des effets du présent arrêt dans le temps
63 La Hongrie suggère à la Cour de limiter dans le temps les effets de son arrêt, en disposant que le manquement constaté n’affecte pas le mandat du président de l’Autorité. Au soutien de sa demande, cet État membre invoque la conformité de la loi de 2011 à la directive 95/46 ainsi que la nouveauté de la question posée par la présente affaire. La Commission demande, en revanche, le rejet de cette demande.
64 À cet égard, à supposer même que les arrêts rendus au titre de l’article 258 TFUE aient les mêmes effets que ceux rendus au titre de l’article 267 TFUE et que, partant, des considérations de sécurité juridique puissent rendre nécessaire, à titre exceptionnel, la limitation de leurs effets dans le temps, dès lors que sont remplies les conditions établies par la jurisprudence de la Cour dans le cadre de l’article 267 TFUE (voir, notamment, arrêts Commission/Grèce, C‑178/05, EU:C:2007:317, point 67 et jurisprudence citée, ainsi que Commission/Irlande, C‑82/10, EU:C:2011:621, point 63 et jurisprudence citée), il y a lieu de constater que, en l’occurrence, la Hongrie n’a pas établi que ces conditions étaient satisfaites. En particulier, eu égard au manquement constaté au point 62 du présent arrêt, l’expression «en toute indépendance» contenue à l’article 28, paragraphe 1, second alinéa, de la directive 95/46 est claire en soi et, en tout état de cause, cette expression avait déjà fait l’objet d’une interprétation de la Cour dans son arrêt Commission/Allemagne, EU:C:2010:125, antérieur de plus d’un an audit manquement. À la suite de cet arrêt, le droit de l’Union ne pouvait, en effet, être raisonnablement compris comme autorisant la Hongrie à mettre fin de manière anticipée au mandat du commissaire.
65 Par conséquent, la demande de la Hongrie portant sur la limitation des effets du présent arrêt dans le temps doit être rejetée.
Sur les dépens
66 En vertu de l’article 138, paragraphe 1, du règlement de procédure, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens. La Commission ayant conclu à la condamnation de la Hongrie aux dépens et celle-ci ayant succombé en ses moyens, il y a lieu de la condamner aux dépens.
67 Conformément à l’article 140, paragraphe 3, du même règlement, la Cour peut décider qu’une partie intervenante autre que celles mentionnées aux paragraphes 1 et 2 dudit article 140 supportera ses propres dépens. Ainsi, la Cour décide que le CEPD, qui est intervenu au litige, supportera ses propres dépens.
Par ces motifs, la Cour (grande chambre) déclare et arrête:
1) En mettant fin de manière anticipée au mandat de l’autorité de contrôle de la protection des données à caractère personnel, la Hongrie a manqué aux obligations qui lui incombent en vertu de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
2) La Hongrie est condamnée aux dépens.
3) Le Contrôleur européen de la protection des données (CEPD) supporte ses propres dépens.
Signatures
* Langue de procédure: le hongrois.