1. Introduction
Le 1er décembre de l'année dernière est entrée en vigueur une révision de la loi fédérale sur la protection des données destinée à asseoir l'indépendance du Préposé fédéral à la protection des données et à la transparence. Cette révision, que la Suisse s'est vu imposer dans le cadre de la coopération pénale et judiciaire instaurée par le traité de Schengen, prévoit notamment que la nomination du Préposé n'est plus du ressort du seul Conseil fédéral, mais requiert l'approbation de l'Assemblée fédérale (art 26 al. 1 in fine LPD), que sa rémunération ne dépend pas de la qualité des prestations fournies (art. 25 al. 5) et que sa révocation n'est possible que s'il est incapable d'exercer ses fonctions ou s'il a gravement violé ses devoirs (art. 26a).
Ces modifications feront-elles taire les nombreuses critiques qui s'étaient élevées contre le manque d'indépendance du Préposé? On peut en douter. Si l'on porte son regard sur la situation dans les autres pays membres de l'Union européenne, on ne peut se départir de l'impression que notre législateur a certes fait un pas en avant pour garantir au Préposé l'indépendance, formelle (statut) et matérielle (ressources), indispensable à sa légitimité et à sa crédibilité, mais qu'il s'est arrêté à mi-chemin.
Il est vrai que les autorités administratives indépendantes sont en Suisse encore une catégorie d'institutions publiques peu connues, pour ne pas dire peu reconnues. Notre pays reste encore très attaché à une conception hiérarchisée et centralisée de l'administration. Les entités (plus ou moins) affranchies de la tutelle du gouvernement s'y comptent sur les doigts d'une main: outre le Préposé, on peut citer la Commission fédérale de la concurrence, la Commission fédérale de la communication ou encore l'Autorité indépendante de plaintes radio-télévision. En ce sens, la Suisse se démarque de la Suède, qui n'a consacré d'autre modèle d'organisation administrative que polycentrique, mais aussi de la France, de l'Italie ou du Royaume-Uni où les autorités indépendantes sont en forte expansion ces dernières décennies, tant dans les secteurs de la régulation économique ou de la gestion des grandes infrastructures étatiques (transport, énergie, télécommunications) que dans celui de la défense des citoyens (médiateurs administratifs, par exemple).
2. L'exigence internationale de pleine indépendance
Le droit international se contente de prescrire que les autorités de protection des données doivent jouir d'un statut d'indépendance sans toutefois apporter plus de précisions quant aux contours de cette exigence. Ainsi, en droit européen, l'art. 28 al. 1 de la directive 95/46 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données dispose que ces autorités «exercent en toute indépendance les missions dont elles ont été investies». Le libellé de cette disposition a été repris tel quel dans la décision cadre relative à la protection des données dans le cadre du traité de Schengen (art. 25), décision qui, à l'inverse de la directive, est pleinement applicable à la Suisse.
La Cour de justice des Communautés européennes a récemment été amenée à donner quelques indications dans une affaire qui concernait les autorités de contrôle des Länder allemands, lesquelles étaient, structurellement, subordonnées à leur gouvernement respectif. Cette tutelle, au demeurant purement institutionnelle, a été mise à l'index par la Cour qui a souligné que «les autorités de contrôle doivent agir de manière objective et impartiale. A cet effet, elles doivent être à l'abri de toute influence extérieure, y compris de celle, directe ou indirecte, de l'Etat (...), et pas seulement de l'influence des organismes contrôlés». Même si l'impact sur la Suisse de cette jurisprudence communautaire est matière à controverses, on se doit de retenir qu'il ne peut y avoir de réelle indépendance tant que le gouvernement (ou un quelconque ministère de tutelle) retient une possibilité de s'immiscer dans les affaires de l'autorité de protection des données.
En toute indépendance est aussi l'expression utilisée par le protocole additionnel 181 à la Convention du Conseil de l'Europe de 1981 pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel. Si ce protocole, contraignant pour la Suisse, n'en dit pas plus que l'art. 28 de la directive 95/46, son rapport explicatif relève certains facteurs qui contribuent à la réalisation concrète de l'exigence d'indépendance: «la composition de l'autorité, le mode de désignation de ses membres, la durée d'exercice et les conditions de cessation de leurs fonctions, l'octroi à l'autorité de ressources suffisantes ou l'adoption de décisions à l'abri d'ordres ou d'injonctions extérieurs à l'autorité».
Ce faisceau d'indicateurs d'indépendance va maintenant guider notre examen des divers modèles étrangers d'autorités de protection des données.
3. La mise en œuvre de l'indépendance à l'étranger
3.1. Composition
On observera tout d'abord que les autorités de protection de données des Etats européens se répartissent, quant à leur composition, en deux catégories différentes: d'une part, celles qui sont de type directorial (commissaire ou préposé à la protection des données) et, d'autre part, celles qui sont constituées en collège (commission de la protection des données).
Le modèle directorial est le plus prisé, puisque dix-sept Etats membres de l'UE l'ont adopté; principalement des pays de l'Europe de l'Est ou du Nord. Reste que ce modèle n'est pas partout consacré de façon pure. Ainsi en Espagne, en Suède ou encore au Royaume-Uni, le commissaire est appuyé, lorsqu'il s'agit de définir les axes de sa stratégie d'action ou de prendre des décisions de principe, par une commission consultative composée de représentants des acteurs de la vie économique, de la société civile ou du monde académique. En Finlande, la commission a même des pouvoirs décisionnels: le commissaire recommande les mesures à prendre, mais la commission les entérine.
Les dix pays restants ont tous opté pour le modèle collégial. Cela dit, le nombre des membres de la commission varie entre trois membres au Luxembourg et au Pays-Bas et dix-sept en France; au demeurant, la composition la plus fréquente est celle de sept membres (Danemark, Grèce et Portugal).
Le choix entre un modèle collégial ou directorial n'est pas indifférent: la commission offre de plus grandes garanties d'indépendance, car d'éventuels liens personnels entre l'autorité de contrôle et les contrôlés se diluent dans la diversité des membres. Une autorité formée d'un commissaire unique est, en revanche, plus susceptible de tomber sous influence; on comprend alors que plusieurs pays qui ont choisi ce modèle ont tenté de parer à ce risque en posant, dans leurs lois respectives d'habilitation, des conditions particulières quant au profil du commissaire (en plus des qualifications classiques que sont une formation juridique ou en informatique). A témoin, la Slovaquie et la Pologne, où le législateur interdit au commissaire d'être membre d'un parti politique ou d'une organisation syndicale. Mieux: partout le commissaire se voit refuser la possibilité d'exercer des activités accessoires (sauf l'une ou l'autre charge d'enseignement universitaire); autrement dit, il exerce sa fonction à plein temps, car il importe non seulement qu'il puisse se consacrer entièrement à ses accaparantes fonctions mais aussi que tous conflits d'intérêts avec d'autres employeurs soient écartés d'emblée.
Dans le même ordre d'idées, on peut douter fortement que le fait que le Préposé fédéral soit à la fois commissaire à la protection des données et commissaire à la transparence des autorités fédérales soit un avantage. Certes, pareille double casquette existe aussi dans quatre autres pays européens (Allemagne, Slovénie, Hongrie et Royaume-Uni). Reste que, outre le fait que les deux thématiques sont à bien des égards antagonistes (dans un cas il s'agit de prôner la fermeture, dans l'autre l'ouverture), le cumul de fonctions prête à troubles et confusions.
3.2. Nomination
Trois modèles de désignation ont cours à l'étranger: l'attribution du pouvoir exclusif de nomination au gouvernement, l'attribution de ce pouvoir au seul parlement ou encore l'institution d'une procédure hybride, qui voit l'exécutif et le législatif se partager la compétence de nomination (procédure dite conjointe) ou d'autres corps constitués participer à la procédure, d'une manière ou d'une autre - pouvoir de proposition, désignation de certains membres de la commission, etc. - (procédure dite hybride). Ce dernier mode concerne avant tout les autorités de type collégial; ainsi le retrouve-t-on notamment en France (où la Cour des comptes, le Conseil économique et social et le Conseil d'Etat ont voix au chapitre) et au Portugal (où intervient le Ministère public).
Dans les pays qui ont institué, comme la Confédération, une autorité de contrôle de type directorial, la désignation gouvernementale est devenue rare: seules l'Estonie, l'Irlande, la Lettonie et la Suède la connaissent encore. Tous les autres ont opté pour des modes apportant plus de garantie de légitimité comme la procédure conjointe (Allemagne, Slovaquie, République tchèque et Royaume-Uni) ou la procédure exclusivement parlementaire (Hongrie, Slovénie, Roumanie notamment). Il semblerait que le défaut de pluralité, intrinsèque à une autorité directoriale, soit tempéré par un mode de désignation élargi.
3.3. Révocation
Tout comme en Suisse depuis la novelle de 2010, les possibilités de destitution de l'autorité de contrôle sont à l'étranger très limitées et semblables, grosso modo, à celles qui prévalent pour les magistrats de l'ordre judiciaire (incapacités physique ou psychique, indignité). En revanche, les pays européens sont tous soucieux du parallélisme des formes: la compétence de révoquer appartient en général à l'autorité (ou les autorités en cas de procédure conjointe) à qui a été attribuée la compétence de nomination.
3.4. Réélection
Sur ce point aussi, la Suisse n'est pas au diapason européen: dans la plupart des pays, le mandat est en effet soit non renouvelable (Italie), soit renouvelable une seule fois (pour assurer une certaine continuité sans toutefois risquer que s'installent, avec le temps, l'usure et, surtout la complaisance). On sait que, chez nous, le législateur n'a pas mis de limite au renouvellement du mandat du Préposé. Qui plus est, le renouvellement est l'affaire du seul Conseil fédéral, le Parlement n'ayant de mot à dire que pour la nomination; dans les pays européens qui ont aussi instauré une procédure conjointe l'octroi d'un nouveau mandat est soumis aux mêmes conditions de forme que la nomination.
3.5. Autonomie budgétaire
Les ressources financières de l'autorité de contrôle sont un facteur décisif d'indépendance; inutile de rappeler que qui tient les cordons de la bourse dispose toujours d'un moyen de pression. Le fait que notre Préposé ne dispose pas d'un budget propre, mais doive négocier sa dotation financière avec le gouvernement, est assurément un élément négatif. Cela dit, il serait malvenu de croire qu'on fait mieux à l'étranger. Nullement: à l'exception du Royaume-Uni, aucun pays ne fait bénéficier son autorité de contrôle d'une dotation distincte de celle du gouvernement ou de ses ministères. Qui plus est, presque partout, l'allocation n'est pas jugée adéquate: les récriminations sur les trop faibles montants alloués sont légion...
3.6. Position au sein de l'exécutif
En Espagne, en Lettonie, au Luxembourg et à Malte, l'indépendance de l'autorité de contrôle est renforcée par l'octroi de la personnalité de droit public. Sans aller aussi loin, quelques pays ont entièrement affranchi leur autorité de contrôle de toute tutelle, même indirecte, du gouvernement, lui permettant ainsi de communiquer directement avec le parlement. Force est toutefois de constater que, dans la plupart des pays européens, subsiste encore un rattachement administratif à un ministère quelconque (justice ou intérieur le plus souvent), à l'image du lien formel qui unit notre Préposé à la Chancellerie fédérale.
On relèvera toutefois que, partout, le commissaire ou la commission bénéficie d'une identité visuelle propre, notamment d'un logo et d'un layout distincts. Ce n'est que chez nous que l'autorité de contrôle s'affiche sous des formes et des couleurs semblables à celles de l'administration centrale. Dommage, car l'indépendance est aussi une question d'apparence.
4. Conclusion
Le Conseil fédéral avait qualifié la novelle tendant à renforcer l'indépendance du Préposé de bon compromis. Certes, le modèle helvétique n'est sur ce point pas le pire en Europe (mais il n'est, et de loin, pas le meilleur non plus). Le hic, c'est qu'en matière d'indépendance il n'y a pas de place pour des demi-mesures, si bonnes soient-elles. De fait l'indépendance n'est pas divisible: se montrer très strict pour le judiciaire, mais beaucoup moins pour une autorité administrative n'a pas de sens.
La novelle de 2010 aurait été une bonne occasion de consacrer une autorité fédérale de protection des données vraiment autonome. Sur le plan institutionnel d'abord, en coupant les liens du Préposé avec la Chancellerie fédérale, en lui imposant d'exercer ses fonctions à plein temps et en donnant à l'Assemblée fédérale le droit de se prononcer et sur le renouvellement de son mandat et sur sa révocation; sur le plan matériel ensuite, en octroyant à notre autorité de contrôle une pleine autonomie budgétaire. Et pourquoi pas- mais là la révision aurait pris des allures de révolution - passer d'un régime directorial à un régime collégial, en instituant une Commission de la protection des données? L'indépendance a beaucoup à gagner de la pluralité d'origine et d'opinons.
Quoi qu'il en soit, ni le Conseil fédéral ni le Parlement n'ont voulu aller aussi loin; il est vrai que, comme il a été relevé au début de cette contribution, la Suisse regarde toujours les autorités indépendantes avec méfiance: nos gouvernants, encore empreints d'une forte tradition de centralisation bureaucratique (ce qui peut surprendre pour un pays par ailleurs fédéraliste!), peinent encore à se dessaisir de leurs prérogatives d'instruction et de surveillance.
Cela dit, il n'est pas exclu que, dans un avenir proche, un nouveau renforcement de l'indépendance du Préposé soit d'actualité. La Commission européenne, confrontée à la grande diversité des modèles d'autorités de protection des données et un statut d'indépendance à géométrie variable, souhaite poser des critères uniformes en la matière. Ces critères s'imposeront bien entendu aux Etats membres et, probablement aussi aux Etats non membres, parties aux accords de Schengen.
Reste que de nouvelles conditions, si bienvenues soient elles, ne pourront jamais garantir absolument que le Préposé fera réellement preuve d'autonomie. L'indépendance d'esprit ne s'ordonne pas, elle se cultive!
