CJUE | CONCLUSIONS DU 16 AVRIL 2026 | C-205/25 | BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT │
VIE PRIVÉE NUMERIQUE: VOS DONNÉES, VOTRE DOSSIER
QUAND LES GENDARMES DU RGPD SONT EUX-MÊMES RAPPELÉS À L’EXIGENCE DE TRANSPARENCE FACE AUX CITOYENS
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
2. LE MOTIF TENANT À LA DÉFINITION DU RESPONSABLE DU TRAITEMENT
La première question préjudicielle : le tribunal d’Ansbach observe que l’article 4, point 7, du RGPD définit le responsable du traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». L’autorité de contrôle, lorsqu’elle traite des données à caractère personnel dans le cadre de l’instruction d’une réclamation, détermine elle-même les finalités (instruction de la plainte, archivage, communication avec le réclamant) et les moyens (systèmes de gestion des dossiers, protocoles d’archivage, canaux de communication) de ce traitement. Partant, rien dans le texte du règlement ne semble exclure que l’autorité de contrôle soit, à ce titre, qualifiée de responsable du traitement.
Le tribunal relève cependant une tension apparente avec l’architecture institutionnelle du RGPD, qui confère aux autorités de contrôle une mission de supervision sur les responsables du traitement et les sous-traitants. La reconnaissance de la double qualité — autorité de contrôle et simultanément responsable du traitement — soulève la question de savoir si une telle construction juridique est cohérente avec les principes de séparation des fonctions et d’indépendance des autorités de contrôle garantis par l’article 52 du RGPD. Le tribunal conclut toutefois que cette tension, pour réelle qu’elle soit sur le plan institutionnel, ne suffit pas à exclure la qualification de responsable du traitement dès lors que les conditions matérielles posées par l’article 4, point 7, sont réunies.
3. LES MOTIFS RELATIFS À LA LIMITATION PRÉVUE À L’ARTICLE 20(2) DU BAYDSG
Concernant la seconde question préjudicielle, le tribunal d’Ansbach examine les fondements invoqués par le législateur bavarois pour justifier l’exclusion totale du droit d’accès aux dossiers des autorités de contrôle. L’exposé des motifs de la loi bavaroise (LT-Drucksachen 17/19628, p. 42 et suiv.) indique que cette disposition se fonde sur l’article 58, §4, du RGPD, qui autorise les États membres à arrêter des règles procédurales spécifiques, et sur l’article 47, §4, de la directive 2016/680. La juridiction de renvoi doute cependant que ces dispositions constituent une base juridique suffisante pour une exclusion absolue et inconditionnelle du droit d’accès garanti par l’article 15 du RGPD.
Le tribunal observe que l’article 23, §1, du RGPD encadre strictement les possibilités de restriction des droits des personnes concernées par voie de mesures législatives nationales. Ces restrictions doivent : respecter l’essence des libertés et droits fondamentaux ; constituer une mesure nécessaire et proportionnée dans une société démocratique ; poursuivre l’un des objectifs limitativement énumérés à l’article 23, §1, sous a) à j) — parmi lesquels figurent notamment la prévention et la détection d’infractions pénales, la protection de l’indépendance de la justice ou la protection des droits et libertés d’autrui. Par ailleurs, l’article 23, §2, du RGPD exige que les mesures législatives de restriction contiennent « des dispositions spécifiques relatives au moins, le cas échéant : a) aux finalités du traitement ou des catégories de traitement ; b) aux catégories de données à caractère personnel concernées ; […] d) aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites […] ».
4. L’INSUFFISANCE DES JUSTIFICATIONS AVANCÉES PAR LE LAND DE BAVIÈRE
Le tribunal administratif bavarois d’Ansbach relève que l’article 20, §2, du BayDSG ne satisfait pas aux exigences de l’article 23, §2, du RGPD. La disposition ne contient aucune indication quant aux finalités spécifiques poursuivies par la restriction, ne distingue pas entre les catégories de données concernées, ne prévoit pas de garanties procédurales compensatoires pour les personnes dont les droits sont ainsi restreints, et ne fixe pas de limites temporelles à l’exclusion qu’elle institue. L’exposé des motifs de la loi assimile la procédure de réclamation à une procédure parlementaire de pétition et en déduit l’absence de droit d’accès subjectif à l’intervention de l’autorité de contrôle — raisonnement que la juridiction de renvoi considère comme insuffisant pour justifier une telle restriction au regard des exigences du droit de l’Union.
La juridiction d’Ansbach note en outre que l’article 58, §4, du RGPD — sur lequel le législateur bavarois prétend notamment fonder la disposition litigieuse — habilite les États membres à arrêter des règles procédurales concernant les pouvoirs des autorités de contrôle, mais ne saurait être interprété comme autorisant une restriction générale des droits substantiels des personnes concernées au-delà du cadre strict défini à l’article 23. Cette disposition serait donc appliquée ultra vires par le législateur bavarois si elle devait servir de fondement à l’exclusion totale du droit d’accès de l’article 15 du RGPD.
5. L’ARGUMENT TIRÉ DE LA JURISPRUDENCE DE LA COUR SUR LES RESTRICTIONS AUX DROITS
Le tribunal d’Ansbach invoque également la jurisprudence de la Cour relative aux restrictions aux droits des personnes concernées, en soulignant que la Cour a systématiquement rappelé l’exigence de proportionnalité et l’obligation pour les États membres de démontrer la nécessité de chaque restriction dans une société démocratique. La réduction à néant d’un droit fondamental garanti par le RGPD et par l’article 8 de la Charte des droits fondamentaux de l’Union européenne ne saurait se concevoir sans une justification circonstanciée et sans l’établissement de garanties compensatoires adéquates. Or, l’article 20, §2, du BayDSG ne contient aucun élément de ce type : il se borne à énoncer, de manière laconique et sans nuance, l’inexistence de tout droit d’accès ou de consultation, privant ainsi intégralement la personne concernée de la protection substantielle que lui confère l’article 15 du RGPD.
6. L’ÉVOLUTION DU LITIGE ET LE MAINTIEN DE L’INTÉRÊT À AGIR
La juridiction de renvoi prend acte du fait que le Landesamt a finalement accordé au requérant, le 23 février 2024, un accès électronique au dossier de la procédure de contrôle — sans pour autant reconnaître une obligation légale en ce sens. Cette évolution ne prive pas le requérant de son intérêt à obtenir la constatation de l’illégalité de la décision initiale de refus du 20 octobre 2022, dès lors que la question du fondement juridique de ce refus conserve une portée pratique et juridique réelle. La juridiction d’Ansbach conclut que le RGPD est susceptible de s’opposer à l’article 20, §2, du BayDSG, mais qu’elle ne peut trancher cette question sans l’éclairage de la Cour de justice, compte tenu de l’absence de précédent jurisprudentiel établi sur ce point précis et de la nécessité d’une interprétation uniforme dans l’ensemble des États membres.
POINTS ESSENTIELS
L’affaire C-205/25 — demande de décision préjudicielle présentée le 17 mars 2025 par le Bayerisches Verwaltungsgericht Ansbach dans le litige opposant le journaliste Joachim Lindenberg au Bayerisches Landesamt für Datenschutzaufsicht — pose à la Cour de justice une question d’une acuité institutionnelle inédite dans l’architecture du RGPD;
Une autorité de contrôle au sens de l’article 4, point 21, du règlement UE 2016/679, lorsqu’elle traite des données à caractère personnel d’un réclamant dans le cadre d’une procédure de réclamation introduite conformément à l’article 77, endosse-t-elle simultanément, à l’égard de ces mêmes données, la qualité de responsable du traitement au sens de l’article 4, point 7, et est-elle en conséquence tenue de satisfaire aux demandes d’accès présentées par la personne concernée au titre de l’article 15 — et, si tel est le cas, une disposition nationale telle que l’article 20, §2, du BayDSG, qui exclut purement et simplement tout droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle, est-elle compatible avec l’article 23 du RGPD qui subordonne toute restriction aux droits des personnes concernées à des exigences cumulatives de légalité formelle, de nécessité, de proportionnalité et de contenu minimum obligatoire comprenant des garanties compensatoires ?
La double qualité revendiquée de facto par le Landesamt — autorité de supervision et, simultanément, entité se soustrayant aux obligations substantielles qu’elle est précisément chargée de faire respecter — met en tension irréductible le principe d’effectivité des droits fondamentaux à la protection des données garanti par l’article 8 de la Charte et le droit à un recours effectif de l’article 47, avec l’autonomie procédurale des autorités de contrôle dans la gestion de leurs dossiers d’instruction ;
L’enjeu de l’arrêt dépasse le seul Land de Bavière pour concerner l’ensemble des vingt-sept autorités nationales de contrôle et le Contrôleur européen de la protection des données, en posant les fondements normatifs de leur accountability institutionnelle propre au regard du droit de l’Union, à une époque où la crédibilité de tout le système de supervision de la protection des données personnelles dépend précisément de la capacité de ces institutions à démontrer qu’elles se soumettent, dans leurs traitements internes, aux mêmes exigences de transparence, de licéité et de respect des droits des personnes concernées qu’elles imposent aux responsables du traitement et sous-traitants relevant de leur compétence.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats