Une commission d’enquête mise en place par le parlement d’un Etat membre afin de contrôler le pouvoir exécutif doit, en principe, respecter le règlement (UE) 2016/679 (dit « RGPD ») (16 janvier)
Arrêt Österreichische Datenschutzbehörde (Grande chambre), aff. C-33/22
Saisie d’un renvoi préjudiciel par le Verwaltungsgerichtshof (Autriche), la Cour de justice de l’Union européenne est invitée à se prononcer sur l’applicabilité du RGPD à une commission d’enquête parlementaire. En l’espèce, une commission d’enquête a été mise en place par le Parlement autrichien afin de contrôler le pouvoir exécutif. Cette commission a entendu un témoin lors d’une audition retransmise par les médias et le compte-rendu de cette audition a été publié sur le site internet du Parlement. Cependant, celui-ci contenait, malgré sa demande d’anonymisation, le nom complet du témoin. Dans un 1er temps, la Cour estime qu’une commission d’enquête mise en place par le parlement dans le but de contrôler le pouvoir exécutif doit, en principe, respecter le RGPD. Dans un 2ème temps, elle conclut que lorsqu’il n’y a qu’une seule autorité de contrôle, celle-ci est compétente pour contrôler le respect du RGPD par la commission d’enquête. Dans un 3ème temps, la Cour précise toutefois, que lorsque la commission d’enquête exerce effectivement une activité visant en tant que telle à préserver la sécurité nationale, elle n’est pas soumise au RGPD ni, par conséquent, au contrôle de l’autorité de contrôle. (CZ)