Une commission d’enquête parlementaire doit en principe respecter le règlement général sur la protection des données sauf si elle exerce effectivement une activité visant à préserver la sécurité nationale.Sollicitée par une juridiction autrichienne, la Cour de justice de l'Union européenne (CJUE) juge, dans un arrêt du 16 janvier 2024 (affaire C-33/22), que même une commission d’enquête mise en place par le Parlement d’un Etat membre dans l’exercice de son pouvoir de contrôler le pouvoir exécutif doit, en principe, respecter le RGPD (Règlement 2016/679 du 27 avril 2016 - Règlement général sur la protection des données) .
La CJUE précise que le RGPD ne s’applique pas aux traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d’une activité qui vise à préserver la sécurité nationale.Si la sécurité nationale peut justifier de limiter, par la voie de mesures législatives, les obligations et droits découlant du RGPD, la commission d’enquête visée en l'espèce n'a pas allégué que la divulgation du nom d'un témoin sur le site internet du Parlement autrichien soit nécessaire pour sauvegarder la sécurité nationale et fondée sur une mesure législative.
L’Autriche ayant choisi de n’instaurer qu’une seule autorité de contrôle au sens du RGPD, à savoir l’autorité de la protection des données, celle-ci est en principe également compétente pour contrôler le respect du RGPD par une commission d’enquête telle que celle en cause, et ce nonobstant le principe de séparation des pouvoirs.
