CJUE | CONCLUSIONS DU 16 AVRIL 2026 | C-205/25 | BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT │
VIE PRIVÉE NUMERIQUE: VOS DONNÉES, VOTRE DOSSIER
QUAND LES GENDARMES DU RGPD SONT EUX-MÊMES RAPPELÉS À L’EXIGENCE DE TRANSPARENCE FACE AUX CITOYENS
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
2. LES IMPLICATIONS POUR LA VALIDITÉ DES LÉGISLATIONS NATIONALES DE RESTRICTION
La seconde question préjudicielle de l’affaire C-205/25 soulève la question de la validité de l’article 20, §2, du BayDSG. Si la Cour juge cette disposition incompatible avec l’article 23 du RGPD, l’impact ira bien au-delà du seul Land de Bavière. Des dispositions équivalentes — exluant tout ou partie du droit d’accès aux dossiers des autorités de contrôle — existent dans d’autres législations nationales de transposition ou de mise en œuvre du RGPD à travers l’Union. La décision de la Cour incitera les législateurs nationaux à réexaminer leurs dispositions procédurales relatives aux droits des personnes concernées dans le cadre des procédures de réclamation et d’investigation, pour s’assurer qu’elles satisfont aux exigences cumulatives de l’article 23 du RGPD : poursuite d’un objectif légitime, nécessité, proportionnalité, et contenu minimum obligatoire incluant des garanties compensatoires.
Cette portée normative est renforcée par le fait que l’article 23 du RGPD constitue une clause d’habilitation à géométrie variable, dont les limites n’ont pas encore été entièrement définies par la jurisprudence de la Cour. L’affaire C-205/25 offre l’opportunité à la Cour de préciser ces limites dans un contexte particulièrement sensible — celui des restrictions apportées aux droits des personnes concernées par des autorités qui sont précisément chargées de garantir l’exercice de ces mêmes droits. Une interprétation rigoureuse de l’article 23 dans ce contexte enverrait un signal fort à l’ensemble des législateurs nationaux : les restrictions aux droits fondamentaux à la protection des données ne sauraient être conçues comme des mesures d’exclusion absolue, mais doivent au contraire s’insérer dans un cadre normatif précis, proportionné et assorti de garanties effectives.
3. LE PRINCIPE DE COHÉRENCE ET L’APPLICATION TRANSVERSALE À L’ENSEMBLE DES AUTORITÉS DE L’UNION
L’une des contributions doctrinales les plus importantes que pourrait apporter l’arrêt de la Cour dans l’affaire C-205/25 est la consécration explicite du principe selon lequel les autorités de contrôle sont elles-mêmes soumises aux règles qu’elles sont chargées de faire respecter, dans la mesure où elles réalisent des opérations de traitement relevant du champ d’application du RGPD. Ce principe de cohérence — qui veut que le garant d’un droit en soit lui-même le premier sujet — est fondamental pour la crédibilité institutionnelle de l’ensemble du système de protection des données personnelles dans l’Union. Si les autorités de contrôle étaient fondées à se soustraire aux obligations du RGPD dans leurs traitements internes, au motif de leur statut institutionnel ou de l’efficacité de leur mission de supervision, cela créerait un précédent normatif particulièrement préoccupant, de nature à affaiblir la confiance des personnes concernées dans les institutions chargées de protéger leurs droits fondamentaux.
La portée de cette problématique dépasse le cadre du RGPD et rejoint des questions plus larges relative à l’accountability institutionnelle des autorités de régulation dans l’espace numérique européen. Avec le développement du règlement sur les services numériques (DSA), du règlement sur les marchés numériques (DMA) et du règlement sur l’intelligence artificielle (AI Act), l’Union crée de multiples instances de supervision dotées de pouvoirs d’enquête et de sanction. La question de savoir dans quelle mesure ces autorités sont elles-mêmes soumises aux droits substantiels qu’elles administrent se posera avec une intensité croissante. L’affaire C-205/25 constitue, à cet égard, un précédent fondateur dont les enseignements sont susceptibles d’irradier bien au-delà du seul domaine de la protection des données personnelles.
4. LA TENSION ENTRE EFFICACITÉ DE LA SUPERVISION ET DROITS PROCÉDURAUX
L’arrêt attendu devra nécessairement arbitrer entre deux impératifs légitimes et concurrents. D’un côté, les autorités de contrôle ont besoin d’une certaine confidentialité procédurale pour mener à bien leurs enquêtes de manière efficace : la divulgation prématurée d’informations relatives à une investigation en cours pourrait compromettre l’instruction, alerter les responsables du traitement mis en cause, permettre des destructions de preuves ou exposer des sources confidentielles. De l’autre, les personnes concernées par les traitements réalisés par les autorités de contrôle — en premier lieu les réclamants — ne peuvent être intégralement dépouillées de leurs droits fondamentaux au nom de l’efficacité institutionnelle.
La solution la plus équilibrée, que les enseignements de la jurisprudence de la Cour sur les restrictions au titre de l’article 23 permettent de dessiner, consisterait à reconnaître que les autorités de contrôle sont bien des responsables du traitement à l’égard des données des réclamants, tout en admettant que des restrictions limitées et ciblées au droit d’accès peuvent être justifiées — à condition que ces restrictions soient fondées sur une base légale précise, limitées dans leur portée temporelle et matérielle, accompagnées de garanties compensatoires adéquates, et soumises à un contrôle juridictionnel effectif. Cette approche correspond à la logique de l’article 23 du RGPD, qui n’interdit pas toute restriction mais en soumet la légitimité à un cadre normatif exigeant.
5. LES EFFETS EN DROIT FRANÇAIS ET SUR LES PRATIQUES DE LA CNIL
En droit français, la portée de l’affaire C-205/25 est directement tangible. La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle que modifiée pour assurer la transposition du RGPD, contient des dispositions relatives à la procédure de plainte devant la CNIL (articles 23 à 25 de la loi Informatique et Libertés). L’article 22-1 de cette loi dispose que la CNIL peut limiter certains droits des personnes concernées dans le cadre de ses procédures d’instruction. La conformité de ces dispositions avec les exigences de l’article 23 du RGPD, telles que la Cour pourrait les préciser dans son arrêt à venir dans l’affaire C-205/25, devra être vérifiée. En particulier, si l’arrêt exige que les restrictions soient assorties de garanties compensatoires explicites et d’une information aux personnes concernées sur les motifs du refus d’accès, les procédures internes de la CNIL devront être revues en conséquence.
La CNIL, dans son rôle d’autorité de contrôle chef de file pour de nombreux responsables du traitement établis en France, est également exposée aux conséquences de l’arrêt dans l’affaire C-205/25 dans le cadre du mécanisme de guichet unique. Les réclamations transnationales introduites auprès de la CNIL conformément à l’article 77 du RGPD génèrent des traitements de données concernant des réclamants de différents États membres. Si la Cour reconnaît que l’autorité de contrôle chef de file est responsable du traitement de ces données, les droits des réclamants ressortissants d’autres États membres devront être garantis dans les mêmes conditions que ceux des ressortissants français — ce qui implique une harmonisation effective des pratiques procédurales entre les vingt-sept autorités nationales de contrôle.
6. LA CONTRIBUTION À LA THÉORIE GÉNÉRALE DES DROITS D’ACCÈS DANS LE RGPD
Sur le plan doctrinal, l’affaire C-205/25 apporte une contribution substantielle à la théorie générale des droits d’accès tels que consacrés à l’article 15 du RGPD. Elle soulève en effet la question de la portée universelle du droit d’accès : ce droit peut-il être opposé à tout responsable du traitement, y compris à une autorité publique dotée d’une mission de supervision, ou bien existe-t-il des catégories d’entités institutionnelles qui, par leur nature même, échappent à l’application de ce droit fondamental ? La réponse que la Cour apportera à cette question tracera les contours définitifs du champ d’application subjectif de l’article 15 et précisera les limites des exclusions implicites que certains acteurs institutionnels ont tendance à revendiquer.
L’affaire illustre également la dialectique entre le droit d’accès en tant que droit individuel et le principe de transparence en tant que droit collectif. La transparence des traitements opérés par les autorités de contrôle dans le cadre de leurs procédures de réclamation n’intéresse pas seulement les individus directement concernés, mais aussi la collectivité dans son ensemble, dans la mesure où elle conditionne la confiance du public dans les institutions de protection des données. En reconnaissant — ou en refusant — la pleine applicabilité du droit d’accès de l’article 15 aux traitements réalisés par les autorités de contrôle, la Cour contribuera à définir les standards de gouvernance démocratique auxquels ces institutions doivent se soumettre dans l’exercice de leurs missions.
POINTS ESSENTIELS
L’affaire C-205/25 — demande de décision préjudicielle présentée le 17 mars 2025 par le Bayerisches Verwaltungsgericht Ansbach dans le litige opposant le journaliste Joachim Lindenberg au Bayerisches Landesamt für Datenschutzaufsicht — pose à la Cour de justice une question d’une acuité institutionnelle inédite dans l’architecture du RGPD;
Une autorité de contrôle au sens de l’article 4, point 21, du règlement UE 2016/679, lorsqu’elle traite des données à caractère personnel d’un réclamant dans le cadre d’une procédure de réclamation introduite conformément à l’article 77, endosse-t-elle simultanément, à l’égard de ces mêmes données, la qualité de responsable du traitement au sens de l’article 4, point 7, et est-elle en conséquence tenue de satisfaire aux demandes d’accès présentées par la personne concernée au titre de l’article 15 — et, si tel est le cas, une disposition nationale telle que l’article 20, §2, du BayDSG, qui exclut purement et simplement tout droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle, est-elle compatible avec l’article 23 du RGPD qui subordonne toute restriction aux droits des personnes concernées à des exigences cumulatives de légalité formelle, de nécessité, de proportionnalité et de contenu minimum obligatoire comprenant des garanties compensatoires ?
La double qualité revendiquée de facto par le Landesamt — autorité de supervision et, simultanément, entité se soustrayant aux obligations substantielles qu’elle est précisément chargée de faire respecter — met en tension irréductible le principe d’effectivité des droits fondamentaux à la protection des données garanti par l’article 8 de la Charte et le droit à un recours effectif de l’article 47, avec l’autonomie procédurale des autorités de contrôle dans la gestion de leurs dossiers d’instruction ;
L’enjeu de l’arrêt dépasse le seul Land de Bavière pour concerner l’ensemble des vingt-sept autorités nationales de contrôle et le Contrôleur européen de la protection des données, en posant les fondements normatifs de leur accountability institutionnelle propre au regard du droit de l’Union, à une époque où la crédibilité de tout le système de supervision de la protection des données personnelles dépend précisément de la capacité de ces institutions à démontrer qu’elles se soumettent, dans leurs traitements internes, aux mêmes exigences de transparence, de licéité et de respect des droits des personnes concernées qu’elles imposent aux responsables du traitement et sous-traitants relevant de leur compétence.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats