CJUE | CONCLUSIONS DU 16 AVRIL 2026 | C-205/25 | BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT │
VIE PRIVÉE NUMERIQUE: VOS DONNÉES, VOTRE DOSSIER
QUAND LES GENDARMES DU RGPD SONT EUX-MÊMES RAPPELÉS À L’EXIGENCE DE TRANSPARENCE FACE AUX CITOYENS
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
LE LITIGE AU FOND ET LE CONTEXTE BAVAROIS
L’affaire C-205/25 oppose M. Joachim Lindenberg, journaliste spécialisé dans la protection des données et blogueur actif sur ces questions depuis 2021, au Bayerisches Landesamt für Datenschutzaufsicht (ci-après « le Landesamt »), autorité bavaroise de contrôle compétente pour les entités non publiques en vertu de l’article 18 du Bayerisches Datenschutzgesetz (BayDSG). Le litige trouve son origine dans une réclamation introduite par M. Lindenberg le 13 mai 2022 auprès du Landesamt à l’encontre d’un tiers, au titre de l’article 77 du RGPD. À la suite de cette réclamation, l’autorité bavaroise a ouvert une procédure de contrôle à l’égard du tiers visé et a informé M. Lindenberg, par courrier électronique du 11 octobre 2022, de la constatation de violations de la protection des données commises par ce tiers, en précisant qu’une verbalisation interviendrait en cas de nouvelles infractions après expiration du délai accordé pour y remédier.
Le même jour, M. Lindenberg a sollicité la communication de détails supplémentaires sur les mesures prises par le Landesamt. Face au silence de ce dernier, il a réitéré sa demande, cette fois en invoquant expressément son droit d’accès fondé sur l’article 15, paragraphes 1 et 3, du RGPD. Le Landesamt a refusé de donner suite à cette demande en se fondant sur l’article 20, §2, du BayDSG, qui exclut expressément tout droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle bavaroises. L’exposé des motifs de cette disposition est particulièrement révélateur : le législateur bavarois a entendu exclure tout droit d’accès fondé sur l’article 15 du RGPD dès lors que celui-ci est invoqué à l’encontre du Landesamt concernant ses propres dossiers et fichiers.
À la suite du recours contentieux introduit par M. Lindenberg, le Landesamt a finalement accordé un accès électronique au dossier, sans pour autant reconnaître l’illégalité de son refus initial. M. Lindenberg a persisté dans sa demande de constatation de l’illégalité du refus originel. La juridiction de renvoi, le Bayerisches Verwaltungsgericht Ansbach (tribunal administratif bavarois d’Ansbach), estimant que la résolution du litige supposait une interprétation des dispositions pertinentes du RGPD et un examen de la conformité de la législation bavaroise au droit de l’Union, a décidé de surseoir à statuer et de soumettre deux questions préjudicielles à la Cour.
LE CADRE JURIDIQUE PLURICOUCHE
Le cadre normatif mobilisé dans cette affaire est d’une densité remarquable. Au niveau du droit de l’Union, la Cour est invitée à interpréter l’article 4, points 7 et 21, ainsi que les articles 15, 23, 51, 57, 58 et 77 du RGPD, l’ensemble devant être lu à la lumière des articles 7, 8 et 52 de la Charte des droits fondamentaux, ainsi que de l’article 16 TFUE. Il faut également prendre en compte l’article 8, §2, de la Charte, qui consacre le droit de toute personne d’accéder aux données collectées la concernant — disposition dont la portée dans ce contexte spécifique constitue l’un des enjeux majeurs de la procédure.
Au niveau du droit national allemand, l’article 20 du BayDSG est la disposition pivot. Son §1 consacre le droit de toute personne de saisir les autorités de contrôle pour faire valoir la violation de ses droits lors du traitement de ses données à caractère personnel, sans préjudice pour la personne concernée. Son §2, en revanche, dispose qu’il n’existe aucun droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle. L’articulation de ces deux paragraphes est au cœur du litige : en reconnaissant le droit de se plaindre tout en niant le droit d’accès aux dossiers de la procédure ouverte à la suite de cette plainte, le législateur bavarois a créé une tension normative que le droit de l’Union est appelé à résoudre.
L’Avocat général Norkus souligne avec précision que l’interprétation des dispositions pertinentes du RGPD doit s’effectuer à la lumière de l’économie générale du règlement et de ses objectifs, qui consistent à assurer un niveau élevé et cohérent de protection des données à caractère personnel et à garantir l’effectivité des droits des personnes concernées. Il convient notamment d’examiner si une autorité de contrôle, lorsqu’elle traite des données à caractère personnel dans le cadre d’une procédure de réclamation, revêt elle-même la qualité de responsable du traitement au sens du RGPD, et si, dans l’affirmative, elle est assujettie aux obligations d’accès prévues par ce règlement.
LA QUALITÉ DE RESPONSABLE DU TRAITEMENT DE L’AUTORITÉ DE CONTRÔLE
La première question préjudicielle soumise à la Cour porte sur la qualification de l’autorité de contrôle en tant que responsable du traitement au sens de l’article 4, point 7, du RGPD, lorsqu’elle traite des données à caractère personnel dans le cadre d’une procédure de réclamation introduite en vertu de l’article 77 du RGPD. La réponse à cette question conditionne l’ensemble du raisonnement, car c’est uniquement si le Landesamt peut être qualifié de responsable du traitement qu’il serait soumis à l’obligation de donner accès aux données, conformément à l’article 15 du RGPD.
L’Avocat général Norkus développe une analyse convaincante en faveur de la qualification positive. En vertu de l’article 4, point 7, du RGPD, est qualifié de responsable du traitement « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Or, lorsque le Landesamt traite des données à caractère personnel dans le cadre d’une procédure de réclamation — en constituant un dossier, en collectant des informations sur le réclamant et sur la personne mise en cause, en prenant des décisions sur la base de ces données —, il détermine bien les finalités (instruction de la réclamation, exercice de ses missions légales) et les moyens (modalités de collecte, d’enregistrement et d’utilisation des données). Il remplit donc les critères de la définition à titre de responsable du traitement.
Cette qualification n’est pas sans conséquences sur la cohérence du système RGPD. L’article 51 du RGPD confie aux autorités de contrôle le soin de surveiller l’application du règlement. L’article 57 énumère leurs missions et l’article 58 leurs pouvoirs correcteurs. Il serait paradoxal que des entités chargées de veiller au respect du RGPD soient elles-mêmes soustraites à ses exigences lorsqu’elles traitent des données dans le cadre de leurs missions. L’Avocat général retient que les autorités de contrôle ne bénéficient d’aucune immunité générale à l’égard des obligations que le RGPD impose aux responsables du traitement, et ce même lorsqu’elles agissent dans l’exercice de leurs prérogatives de puissance publique en matière de contrôle et de sanction.
Il importe en outre de souligner l’articulation avec l’article 4, point 21, du RGPD, qui définit les « autorités de contrôle » comme des autorités publiques indépendantes. L’Avocat général précise que la qualité d’autorité de contrôle n’est pas incompatible avec celle de responsable du traitement ; ces deux qualités relèvent de registres différents : la première définit le rôle institutionnel de l’entité dans l’architecture de la gouvernance des données en Europe, tandis que la seconde détermine sa responsabilité dans les opérations de traitement qu’elle effectue pour son propre compte. Rien dans le RGPD ne soustrait les autorités de contrôle à la qualification de responsable du traitement lorsqu’elles traitent des données dans le cadre de leurs activités opérationnelles.
LE DROIT D’ACCÈS DE L’ARTICLE 15 RGPD FACE AUX DONNÉES CONTENUES DANS LE DOSSIER D’UNE PROCÉDURE DE RÉCLAMATION
La deuxième question préjudicielle est la plus délicate. Elle porte sur le point de savoir si le droit de l’Union s’oppose à une réglementation nationale — en l’occurrence l’article 20, §2, du BayDSG — qui exclut tout droit d’accès au dossier d’une autorité de contrôle au titre de l’article 15 du RGPD, lorsque ce dossier est constitué dans le cadre d’une procédure de réclamation introduite par la personne qui exerce le droit d’accès.
L’article 15 du RGPD confère à la personne concernée un droit d’accès à ses propres données à caractère personnel traitées par le responsable du traitement. Ce droit est fondamental : il permet à la personne de vérifier la licéité du traitement, de connaître les données qui la concernent, leurs destinataires, et de faire valoir, le cas échéant, ses droits de rectification, d’effacement ou d’opposition. L’article 8, §2, de la Charte consacre au rang de droit fondamental le droit d’accès aux données collectées.
L’Avocat général Norkus examine avec soin la question de la licéité d’une limitation aussi radicale que celle prévue par le BayDSG. Une limitation au droit d’accès prévu à l’article 15 du RGPD n’est admissible que dans le cadre strict de l’article 23 du RGPD, qui autorise les États membres à restreindre, par voie législative, la portée des obligations et des droits prévus par le règlement — notamment le droit d’accès — pour autant que cette restriction respecte l’essence des libertés et droits fondamentaux, soit nécessaire et proportionnée dans une société démocratique, et serve l’un des objectifs légitimes expressément énumérés à l’article 23, §1, du RGPD.
Pour être valide, une telle limitation doit donc réunir plusieurs conditions cumulatives. En premier lieu, elle doit être prévue par une mesure législative — condition satisfaite en l’espèce par l’article 20, §2, du BayDSG. En deuxième lieu, elle doit respecter l’essence du droit fondamental en cause — ce qui soulève des doutes sérieux lorsque la limitation est totale et absolue, comme en l’espèce, car une exclusion totale du droit d’accès ne saurait être considérée comme respectant l’essence de ce droit. En troisième lieu, elle doit être nécessaire et proportionnée dans une société démocratique pour garantir l’un des objectifs légitimes visés, parmi lesquels figurent notamment la sécurité nationale, la sûreté publique, la prévention et la détection d’infractions pénales, ou encore la protection des droits et libertés d’autrui.
L’Avocat général reconnaît que des considérations d’intérêt général peuvent justifier certaines limitations au droit d’accès d’un réclamant aux données contenues dans le dossier de sa propre procédure, notamment pour protéger l’efficacité des enquêtes en matière de protection des données, prévenir le risque d’entrave ou de pression sur la personne mise en cause ou sur des témoins, ou encore protéger les données à caractère personnel de tiers. Ces objectifs peuvent trouver un ancrage dans l’article 23, §1, sous c), e), h) et i) du RGPD. Cependant, une exclusion totale et absolue — ne souffrant aucune exception ni modulation —, telle que celle prévue par l’article 20, §2, du BayDSG, excède manifestement ce que le RGPD autorise. Elle viole le principe de proportionnalité, ne respecte pas l’essence du droit d’accès garanti par l’article 8, §2, de la Charte, et n’est pas strictement nécessaire.
TRANSPARENCE ADMINISTRATIVE VERSUS EFFICACITÉ DE L’ENQUÊTE
L’analyse de l’Avocat général s’enrichit d’une réflexion approfondie sur la tension entre deux impératifs que la Cour doit résoudre : d’un côté, l’exigence de transparence de l’action administrative, qui est un corollaire de l’État de droit et qui prend une dimension particulière lorsque l’administration traite des données personnelles du justiciable ; de l’autre, la nécessité de garantir l’efficacité des enquêtes en matière de protection des données, qui pourrait être compromise si les personnes concernées par les investigations avaient accès à l’intégralité des dossiers en temps réel.
L’Avocat général Norkus procède à cette mise en balance avec rigueur. Il commence par rappeler que M. Lindenberg est lui-même l’auteur de la réclamation — il est donc le réclamant, à l’origine de la procédure — et non la personne contre laquelle l’enquête a été diligentée. Cette distinction est fondamentale car elle modifie sensiblement l’équation en termes d’intérêts concurrents : accorder au réclamant l’accès à son propre dossier ne présente pas le même risque d’entrave à l’enquête que permettre à la personne mise en cause de connaître l’état d’avancement des investigations la concernant.
Il souligne ensuite que le droit d’accès prévu à l’article 15 du RGPD n’est pas un droit d’accès absolu à l’intégralité d’un dossier administratif. Son champ d’application est précisément délimité : il porte sur les données à caractère personnel de la personne concernée que traite le responsable du traitement. La question est donc de savoir quelles données à caractère personnel concernant M. Lindenberg sont contenues dans le dossier du Landesamt. Il peut notamment s’agir de ses données d’identification, des informations relatives à sa réclamation, des correspondances échangées avec lui, ou encore des données issues des vérifications opérées à son sujet. L’Avocat général considère que le droit d’accès de M. Lindenberg porte sur ces données-là, et non nécessairement sur l’intégralité du dossier, en particulier sur les données concernant les tiers.
Cette distinction entre le droit d’accès aux propres données et le droit d’accès à un dossier administratif complet est d’une importance capitale. Elle permet de trouver un équilibre raisonnable : reconnaître à M. Lindenberg l’accès aux données le concernant contenues dans le dossier du Landesamt, tout en maintenant les restrictions nécessaires pour protéger les données des tiers et l’efficacité des enquêtes en cours, ainsi qu’il ressort de la jurisprudence de la Cour sur le droit d’accès dans le contexte d’enquêtes administratives. Cette approche est cohérente avec la jurisprudence Nowak (C-434/16) où la Cour a reconnu l’étendue du droit d’accès aux données personnelles dans des contextes institutionnels complexes.
L’EXAMEN DE LA CONFORMITÉ DE L’ARTICLE 20 § 2 DU BAYDSG À L’ARTICLE 23 RGPD
L’article 23 du RGPD autorise les États membres à restreindre par voie législative la portée des obligations et des droits visés, notamment, aux articles 12 à 22 — ce qui inclut le droit d’accès de l’article 15 — ainsi qu’à l’article 34, et à certains aspects de l’article 5, lorsqu’une telle restriction « respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique » pour garantir l’un des objectifs visés à l’article 23, §1.
L’Avocat général développe un raisonnement en deux temps. Dans un premier temps, il recherche si la restriction opérée par l’article 20, §2, du BayDSG peut se rattacher à l’un des objectifs énumérés à l’article 23, §1, du RGPD. Plusieurs candidats sont envisageables : la sécurité publique [point b)], la prévention et la détection d’infractions pénales et l’exécution de sanctions pénales [point c)], d’autres objectifs d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important, y compris dans les domaines budgétaire, fiscal, de la santé publique et de la sécurité sociale [point e)], ou encore la protection de la personne concernée ou des droits et libertés d’autrui [point i)]. L’objectif le plus pertinent semble être la protection de l’efficacité du contrôle exercé par l’autorité de contrôle et la prévention des risques d’entrave aux enquêtes, qui pourrait se rattacher à l’objectif d’intérêt public général visé au point e) ou à la protection des droits d’autrui visée au point i).
Dans un second temps, l’Avocat général examine la nécessité et la proportionnalité de la mesure. C’est ici que la restriction bavaroise révèle son caractère disproportionné : l’exclusion totale de tout droit d’accès est une mesure d’une portée excessive au regard des objectifs poursuivis. Le droit de l’Union n’impose pas aux États membres de conférer aux personnes concernées un droit d’accès absolu à l’intégralité du dossier ; il leur permet de moduler ce droit en fonction des circonstances. Mais une exclusion totale va au-delà de ce qui est strictement nécessaire. Des mécanismes moins restrictifs pourraient atteindre les mêmes objectifs : accès partiel, accès différé (après clôture de l’enquête), caviardage des données relatives aux tiers, ou contrôle juridictionnel de la décision de refus.
L’Avocat général s’interroge également sur la conformité de la restriction bavaroise avec l’article 23, §2, du RGPD, qui exige que les mesures législatives visées au §1 contiennent des dispositions spécifiques relatives à la nature des données ou des traitements concernés, à la portée des limitations introduites, aux garanties destinées à prévenir les abus, aux personnes responsables du traitement, à la durée de conservation, aux risques pour les droits des personnes concernées, ainsi qu’au droit des personnes concernées d’être informées de la limitation. L’article 20, §2, du BayDSG est une disposition d’une concision radicale — une seule phrase — qui ne contient aucune des précisions requises par l’article 23, §2, du RGPD. Ce défaut de précision constitue un vice formel autonome, indépendamment du fond.
L’ARTICULATION AVEC LE DROIT D’ACCÈS AU DOSSIER RECONNU EN DROIT ADMINISTRATIF NATIONAL
Une dimension procédurale importante mérite d’être soulignée. L’affaire C-205/25 soulève implicitement la question des rapports entre le droit d’accès prévu par l’article 15 du RGPD et le droit d’accès au dossier reconnu en droit administratif national, notamment en droit allemand. En Allemagne, l’accès aux dossiers administratifs est régi par des règles spécifiques relevant du droit procédural administratif. Ces règles peuvent prévoir des droits d’accès plus étendus ou plus restreints que ceux garantis par l’article 15 du RGPD.
L’Avocat général Norkus précise que le droit d’accès prévu par l’article 15 du RGPD est autonome par rapport au droit d’accès aux dossiers administratifs. Il n’est ni subordonné à l’existence d’un tel droit dans l’ordre juridique national, ni limité par les restrictions que cet ordre peut apporter au droit d’accès aux dossiers. À l’inverse, le droit d’accès de l’article 15 du RGPD ne saurait être étendu par le droit national au-delà de ce que le règlement prévoit. Le RGPD constitue un cadre autonome et complet, qui prime sur les règles nationales de procédure administrative pour ce qui concerne l’accès aux données à caractère personnel traitées par les responsables du traitement.
Cette primauté a des conséquences pratiques importantes : une autorité de contrôle qui serait soumise, en vertu du droit national, à une obligation d’accès aux dossiers plus étendue que celle découlant de l’article 15 du RGPD devra également satisfaire à cette obligation nationale ; mais une restriction nationale comme celle de l’article 20, §2, du BayDSG, qui exclut totalement le droit d’accès aux dossiers des autorités de contrôle, ne saurait être invoquée pour s’affranchir des exigences du RGPD. Le droit de l’Union ne peut être relégué au second rang par une disposition de droit interne, fût-elle l’expression d’une tradition nationale en matière de protection du secret administratif.
LES QUESTIONS PRÉJUDICIELLES ET LA PROPOSITION DE RÉPONSE DE L’AVOCAT GÉNÉRAL
La juridiction de renvoi a soumis deux questions préjudicielles à la Cour. La première interroge la Cour sur la qualification de l’autorité de contrôle comme responsable du traitement lorsqu’elle traite des données dans le cadre d’une procédure de réclamation. La seconde demande si une réglementation nationale telle que l’article 20, §2, du BayDSG, qui exclut tout droit d’accès de la personne concernée au dossier de l’autorité de contrôle, est compatible avec l’article 15 du RGPD, lu à la lumière de l’article 23 du même règlement et de l’article 8, §2, de la Charte.
La première question : l’Avocat général Norkus propose à la Cour de répondre que l’article 4, point 7, du RGPD doit être interprété en ce sens qu’une autorité de contrôle doit être qualifiée de responsable du traitement lorsqu’elle traite des données à caractère personnel dans le cadre d’une procédure de réclamation introduite en vertu de l’article 77 du RGPD. Cette qualification entraîne l’assujettissement de l’autorité aux obligations générales d’un responsable du traitement, y compris l’obligation de donner accès aux données conformément à l’article 15 du RGPD.
La seconde question : l’Avocat général propose à la Cour de répondre que l’article 15 du RGPD, lu à la lumière des articles 8 et 52 de la Charte, s’oppose à une réglementation nationale qui exclut totalement et de manière absolue le droit de la personne concernée d’accéder à ses propres données à caractère personnel contenues dans le dossier d’une autorité de contrôle relatif à une procédure de réclamation introduite par cette même personne. Une telle exclusion ne constitue pas une limitation valide au sens de l’article 23 du RGPD, dès lors qu’elle ne respecte pas l’essence du droit fondamental d’accès garanti par l’article 8, §2, de la Charte, et qu’elle ne satisfait pas aux exigences de nécessité et de proportionnalité. Les États membres peuvent prévoir des limitations au droit d’accès dans ce contexte, mais ces limitations doivent être nécessaires et proportionnées, et comporter les garanties spécifiques requises par l’article 23, §2, du RGPD.
LES ENJEUX SYSTÉMIQUES ET LA PORTÉE DE LA QUESTION
Au-delà des circonstances particulières du litige, l’affaire C-205/25 soulève des enjeux systémiques considérables pour l’architecture de la gouvernance des données personnelles en Europe. Elle invite la Cour à se prononcer, pour la première fois de manière directe, sur le statut des autorités de contrôle en tant que responsables du traitement soumis aux obligations du RGPD, et sur les limites du pouvoir des États membres de restreindre le droit d’accès dans le contexte spécifique des procédures de contrôle.
Sur le premier point, la qualification de l’autorité de contrôle comme responsable du traitement n’est pas une évidence. Elle se heurte à une objection de principe : l’autorité de contrôle est précisément l’entité chargée de surveiller le respect du RGPD par les autres responsables du traitement. La soumettre elle-même aux obligations du règlement crée une forme de récursivité qui peut sembler paradoxale. L’Avocat général y répond de manière convaincante : le RGPD n’institue pas une exemption générale au profit des autorités de contrôle, et l’on ne saurait admettre qu’une entité soit moins soumise au droit de la protection des données du seul fait qu’elle est chargée d’en assurer le respect. Cette solution est d’ailleurs conforme à l’article 57, §1, sous a), du RGPD, selon lequel il incombe à chaque autorité de contrôle de « surveiller et appliquer le RGPD » — ce qui implique qu’elle-même respecte ce règlement dans ses propres opérations de traitement.
Sur le second point, la décision que rendra la Cour dans l’affaire C-205/25 apportera des clarifications décisives sur la validité des limitations nationales au droit d’accès dans le contexte des procédures de contrôle. La jurisprudence existante — notamment les arrêts Österreichische Datenschutzbehörde et CRIF (C-487/21), Nowak (C-434/16), ou encore Agentsia po vpisvaniyata (C-200/23) — offre des éléments utiles sur la portée du droit d’accès, mais n’a pas encore directement abordé le cas des données traitées par l’autorité de contrôle elle-même dans le cadre de ses missions de contrôle. L’affaire C-205/25 comble cette lacune jurisprudentielle.
LES IMPLICATIONS PRATIQUES POUR LES DPO ET LES RESPONSABLES DE CONFORMITÉ
Les questions posées dans l’affaire C-205/25 ont des répercussions concrètes importantes pour l’ensemble des acteurs de la protection des données. Pour les DPO et les responsables de conformité, la qualification des autorités de contrôle comme responsables du traitement emporte des conséquences directes : les autorités doivent disposer d’une base légale pour chaque traitement de données qu’elles effectuent dans le cadre de leurs missions, tenir un registre des activités de traitement conformément à l’article 30 du RGPD, et satisfaire aux obligations d’information des personnes concernées prévues par les articles 13 et 14 du RGPD.
Pour les réclamants, la décision de la Cour définira l’étendue de leur droit de regard sur le traitement de leurs propres données dans le cadre des procédures de contrôle. Elle déterminera notamment s’ils peuvent exiger de l’autorité de contrôle une copie de leurs données, connaître les destinataires auxquels ces données ont été communiquées, et être informés de la durée de conservation prévue. Ces informations sont d’une importance pratique considérable pour les personnes qui souhaitent suivre l’avancement de leur réclamation et vérifier que l’autorité traite leurs données de manière loyale et transparente.
Pour les autorités de contrôle elles-mêmes, la décision clarifiera l’étendue de leurs obligations en matière de protection des données dans le cadre de leurs activités opérationnelles. Elle pourrait nécessiter une révision des pratiques actuelles de nombreuses autorités nationales, qui ont pu adopter des politiques restrictives en matière d’accès aux dossiers dans le cadre des procédures de contrôle, sans nécessairement avoir vérifié leur conformité au RGPD. La décision de la Cour servira de référence pour l’ensemble des vingt-sept États membres et contribuera à l’harmonisation des pratiques au niveau européen.
LE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL DANS LE DOSSIER DE RÉCLAMATION
L’affaire C-205/25 soulève également des questions substantielles sur la nature des données à caractère personnel traitées par l’autorité de contrôle dans le cadre d’une procédure de réclamation. Ces données peuvent être de nature diverse : données d’identification du réclamant, données relatives à sa réclamation et aux faits qu’il dénonce, données issues des vérifications et investigations menées par l’autorité, correspondances entre l’autorité et le réclamant ou entre l’autorité et la personne mise en cause, décisions et mesures adoptées par l’autorité.
L’Avocat général Norkus attire l’attention sur le fait que le droit d’accès de l’article 15 du RGPD ne porte que sur les données à caractère personnel concernant la personne qui exerce le droit d’accès. En l’espèce, M. Lindenberg peut donc accéder aux données le concernant contenues dans le dossier du Landesamt, mais non aux données concernant le tiers mis en cause ou des tiers non parties à la procédure. Cette distinction est pratiquement difficile à opérer lorsque les données de la personne concernée et celles de tiers sont étroitement entremêlées dans le dossier, ce qui est souvent le cas dans les procédures de contrôle.
La Cour devra également se prononcer sur la portée de l’obligation de fournir une copie des données prévue à l’article 15, §3, du RGPD. Cette obligation, qui oblige le responsable du traitement à fournir une copie des données faisant l’objet d’un traitement, a une portée potentiellement très étendue dans le contexte d’un dossier de réclamation. Comme la Cour l’a précisé dans l’arrêt Österreichische Datenschutzbehörde et CRIF, la notion de « copie » au sens de l’article 15, §3, du RGPD doit être interprétée en ce sens que la personne concernée doit recevoir une reproduction fidèle de ses données, ce qui peut inclure des extraits de documents dans lesquels ces données apparaissent, pour autant que la copie soit nécessaire à l’effectivité du droit d’accès et ne porte pas atteinte aux droits et libertés d’autrui.
LA JURISPRUDENCE EXISTANTE MOBILISÉE PAR L’AVOCAT GÉNÉRAL
Les conclusions de l’Avocat général Norkus s’appuient sur un ensemble de références jurisprudentielles qui enrichissent l’analyse et éclairent la position adoptée. La Cour a déjà eu l’occasion de se prononcer sur la portée du droit d’accès de l’article 15 du RGPD dans divers contextes, et ces décisions antérieures constituent un cadre interprétatif utile pour l’affaire C-205/25.
L’arrêt Nowak (C-434/16) a affirmé que la notion de données à caractère personnel au sens du RGPD doit être interprétée largement, et inclut notamment les réponses écrites données par un candidat à un examen professionnel ainsi que les annotations de l’examinateur. Cet arrêt établit que des informations subjectives sous forme d’avis ou d’appréciations peuvent constituer des données à caractère personnel. Dans l’affaire C-205/25, les données contenues dans le dossier de réclamation — correspondances, appréciations, notes internes — sont susceptibles de relever de cette définition large.
L’arrêt Österreichische Datenschutzbehörde et CRIF (C-487/21) a précisé la portée de l’obligation de fournir une copie au titre de l’article 15, §3, du RGPD. La Cour a jugé que cette obligation doit permettre à la personne concernée d’exercer effectivement ses droits et de vérifier que ses données sont traitées de manière licite, et qu’elle peut inclure la fourniture de reproductions de documents dans lesquels les données à caractère personnel de la personne concernée apparaissent. Cette jurisprudence est directement applicable dans l’affaire C-205/25, où M. Lindenberg cherche précisément à obtenir une copie de son dossier auprès du Landesamt.
Plus récemment, l’arrêt Agentsia po vpisvaniyata (C-200/23) a confirmé que le droit d’accès garanti par l’article 15 du RGPD est un droit fondamental qui doit être interprété de manière à assurer son plein effet, et que les restrictions à ce droit doivent être strictement nécessaires et proportionnées. L’arrêt rendu dans l’affaire C-205/25 viendra compléter et préciser cette jurisprudence dans le contexte spécifique des données traitées par les autorités de contrôle dans l’exercice de leurs missions.
LA DIMENSION CONSTITUTIONNELLE ET LA CHARTE
L’Avocat général accorde une attention particulière à l’article 8 de la Charte des droits fondamentaux, qui garantit à toute personne le droit à la protection des données à caractère personnel la concernant et, en son §2, le droit de toute personne d’accéder aux données collectées la concernant. Ce droit fondamental s’applique pleinement dans le contexte de l’affaire C-205/25 : les données collectées par le Landesamt dans le cadre de la procédure de réclamation concernent M. Lindenberg, qui a le droit d’y accéder.
L’article 52, §1, de la Charte admet certes des limitations aux droits fondamentaux, à condition que ces limitations soient prévues par la loi, qu’elles respectent le contenu essentiel dudit droit et que, dans le respect du principe de proportionnalité, elles soient nécessaires et répondent effectivement à des objectifs d’intérêt général ou au besoin de protection des droits et libertés d’autrui. Cette disposition parallèle l’article 23 du RGPD mais opère à un niveau de hiérarchie normative supérieur : la validité d’une restriction nationale au droit d’accès doit être appréciée non seulement au regard de l’article 23 du RGPD, mais aussi à la lumière de l’article 52, §1, de la Charte.
L’Avocat général conclut que l’exclusion totale du droit d’accès prévue par l’article 20, §2, du BayDSG ne respecte pas le contenu essentiel du droit fondamental d’accès garanti par l’article 8, §2, de la Charte. Une limitation qui prive totalement la personne concernée de son droit d’accès porte atteinte à l’essence même de ce droit. Elle ne saurait être justifiée ni par l’article 23 du RGPD ni par l’article 52, §1, de la Charte. Cette incompatibilité est d’autant plus flagrante que les données en cause ont été collectées à l’occasion d’une procédure initiée par la personne concernée elle-même, qui ne peut donc se voir refuser l’accès à son propre dossier de réclamation.
POINTS ESSENTIELS
L’affaire C-205/25 — demande de décision préjudicielle présentée le 17 mars 2025 par le Bayerisches Verwaltungsgericht Ansbach dans le litige opposant le journaliste Joachim Lindenberg au Bayerisches Landesamt für Datenschutzaufsicht — pose à la Cour de justice une question d’une acuité institutionnelle inédite dans l’architecture du RGPD;
Une autorité de contrôle au sens de l’article 4, point 21, du règlement UE 2016/679, lorsqu’elle traite des données à caractère personnel d’un réclamant dans le cadre d’une procédure de réclamation introduite conformément à l’article 77, endosse-t-elle simultanément, à l’égard de ces mêmes données, la qualité de responsable du traitement au sens de l’article 4, point 7, et est-elle en conséquence tenue de satisfaire aux demandes d’accès présentées par la personne concernée au titre de l’article 15 — et, si tel est le cas, une disposition nationale telle que l’article 20, §2, du BayDSG, qui exclut purement et simplement tout droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle, est-elle compatible avec l’article 23 du RGPD qui subordonne toute restriction aux droits des personnes concernées à des exigences cumulatives de légalité formelle, de nécessité, de proportionnalité et de contenu minimum obligatoire comprenant des garanties compensatoires ?
La double qualité revendiquée de facto par le Landesamt — autorité de supervision et, simultanément, entité se soustrayant aux obligations substantielles qu’elle est précisément chargée de faire respecter — met en tension irréductible le principe d’effectivité des droits fondamentaux à la protection des données garanti par l’article 8 de la Charte et le droit à un recours effectif de l’article 47, avec l’autonomie procédurale des autorités de contrôle dans la gestion de leurs dossiers d’instruction ;
L’enjeu de l’arrêt dépasse le seul Land de Bavière pour concerner l’ensemble des vingt-sept autorités nationales de contrôle et le Contrôleur européen de la protection des données, en posant les fondements normatifs de leur accountability institutionnelle propre au regard du droit de l’Union, à une époque où la crédibilité de tout le système de supervision de la protection des données personnelles dépend précisément de la capacité de ces institutions à démontrer qu’elles se soumettent, dans leurs traitements internes, aux mêmes exigences de transparence, de licéité et de respect des droits des personnes concernées qu’elles imposent aux responsables du traitement et sous-traitants relevant de leur compétence.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats