CJUE | Conclusions du 23 octobre 2025 | C-258/23 | Imagens Médicas Integradas │ CONSEILS

---

CONSEILS AUX RESPONSABLES DE TRAITEMENT — ENTREPRISES SUSCEPTIBLES DE FAIRE L’OBJET D’UNE INSPECTION DE CONCURRENCE

---

A. ANTICIPATION ET PRÉPARATION PRÉALABLE À TOUTE INSPECTION

 

La préparation en amont d’une inspection de concurrence constitue le premier impératif stratégique. L’affaire C-258/23 rappelle avec force que les autorités nationales de concurrence disposent de pouvoirs de saisie étendus incluant la messagerie électronique et l’ensemble des fichiers numériques stockés sur les systèmes de l’entreprise. Cette réalité impose aux entreprises, et à leurs DPO et avocats, de mettre en place un cadre de gouvernance robuste avant toute inspection.

Il convient en premier lieu de documenter scrupuleusement la cartographie des données traitées au sein de l’entreprise : quelles données sont stockées sur quels systèmes, quelles messageries professionnelles sont utilisées, quels serveurs hébergent les archives électroniques, quelles politiques de rétention des données sont appliquées. Cette cartographie permettra, en cas d’inspection, de dialoguer utilement avec les agents de l’autorité de concurrence sur le périmètre de la saisie et de contester toute saisie excédant ce périmètre.

Il est recommandé de mettre en place une procédure interne d’urgence (« dawn raid procedure ») documentée et régulièrement testée, définissant les responsabilités de chaque acteur — direction juridique, DPO, conseil externe — en cas d’inspection surprise. Cette procédure doit notamment prévoir les modalités d’information immédiate du conseil externe et du DPO, les vérifications à opérer sur le fondement juridique de l’inspection et sur les modalités de la saisie, et les mesures à prendre pour préserver les droits de l’entreprise et des personnes concernées.

La séparation des communications personnelles et professionnelles dans les systèmes informatiques de l’entreprise constitue une mesure de bonne pratique essentielle, que l’affaire C-258/23 vient opportunément rappeler. Dans la mesure où les messageries professionnelles peuvent contenir des communications à caractère personnel des employés — qui bénéficient d’une protection autonome au titre de l’article 7 de la Charte — la confusion entre communications personnelles et professionnelles aggrave les risques d’ingérence disproportionnée lors d’une saisie. La mise en place de comptes de messagerie séparés ou de dossiers identifiés comme personnels, assortie d’une politique claire d’utilisation des outils informatiques professionnels, réduit l’exposition aux saisies excessives.

---

B. CONDUITE À TENIR LORS DE L’INSPECTION

 

Dès le début de l’inspection, l’entreprise doit impérativement vérifier la régularité formelle du mandat présenté par les agents de l’autorité de concurrence : identité de l’autorité ayant délivré le mandat (ministère public, juge, ou autorité administrative), périmètre précis de l’inspection, objet de l’enquête tel que défini dans le mandat. Toute discordance entre le périmètre autorisé et les actes effectivement réalisés lors de l’inspection doit être consignée dans un procès-verbal contradictoire.

L’entreprise a le droit — et le devoir dans l’intérêt des personnes concernées — de contester le périmètre de toute saisie manifestement excessive. L’Avocat Général Medina a expressément rappelé dans ses Conclusions Avocat Général 2025 que la licéité d’une saisie est conditionnée à ce que « le périmètre de celle-ci soit déterminé par référence à l’objet de l’enquête ». Toute saisie d’une ampleur dépassant cet objet — par exemple, la copie indiscriminée de l’ensemble des archives de messagerie sans filtrage préalable — doit faire l’objet d’une protestation formelle consignée au procès-verbal et d’un recours devant la juridiction compétente.

Le DPO doit être immédiatement informé et associé à la conduite de l’inspection. Sa présence lors des opérations de saisie est essentielle pour veiller au respect des obligations découlant du RGPD : minimisation des données, sécurité du traitement, droits des personnes concernées. Il devra notamment documenter la nature et le volume des données saisies, afin de permettre l’exercice ultérieur des droits des personnes concernées et d’alimenter un éventuel recours contre la saisie.

---

C. VOIES DE RECOURS ET DROITS POST-INSPECTION

 

L’Avocat Général Medina a clairement indiqué que la compatibilité d’un régime d’inspection avec les articles 7 et 8 de la Charte est conditionnée à l’existence d’un recours juridictionnel effectif permettant de contester a posteriori la légalité de la saisie. Les entreprises et leurs conseils doivent donc connaître et utiliser ces voies de recours, qui varient selon les États membres.

En droit portugais, le recours est formé devant le Tribunal da Concorrência, Regulação e Supervisão, juridiction de renvoi dans l’affaire C-258/23. En droit français, les entreprises peuvent contester la régularité des opérations de visite et saisie devant le premier président de la cour d’appel. En droit allemand et dans d’autres États membres, les voies de recours sont analogues. Il importe de respecter scrupuleusement les délais de recours, qui sont en général brefs, et de constituer sans délai un dossier de pièces documentant les irrégularités constatées lors de l’inspection.

Les données saisies mais non pertinentes pour l’enquête — c’est-à-dire celles dépassant le périmètre défini par l’objet de l’inspection — doivent faire l’objet d’une demande de restitution ou de destruction. Cette demande peut être fondée à la fois sur les règles procédurales nationales régissant l’inspection et sur les droits reconnus par le RGPD, notamment le droit à l’effacement prévu à l’article 17 dans l’hypothèse où le traitement serait dépourvu de base légale.

---

D. OBLIGATIONS EN MATIÈRE DE NOTIFICATION ET D’INFORMATION DES PERSONNES CONCERNÉES

 

L’inspection et la saisie subséquente de données à caractère personnel soulèvent la question des obligations d’information des personnes concernées — employés, dirigeants, tiers correspondants — dont les données ont été collectées. Le RGPD impose en principe une obligation d’information des personnes concernées (articles 13 et 14 du RGPD), qui peut toutefois être limitée ou différée lorsque l’information est susceptible de compromettre l’enquête en cours (article 23, §1, sous d), du RGPD).

La politique pratique recommandée consiste à différer l’information des personnes concernées jusqu’à ce que l’autorité de concurrence ait levé toute obligation de confidentialité pesant sur l’entreprise, puis à procéder à l’information dans les meilleurs délais, en précisant la nature des données saisies, l’autorité destinataire et les droits dont disposent les personnes concernées pour contester le traitement.

---

CONSEILS AUX PERSONNES CONCERNÉES — EMPLOYÉS ET TIERS DONT LES DONNÉES ONT ÉTÉ SAISIES

---

A. DROITS FONDAMENTAUX APPLICABLES

 

Les personnes physiques dont les communications et les données ont été saisies dans le cadre d’une inspection de concurrence bénéficient d’une protection autonome au titre des articles 7 et 8 de la Charte. Cette protection est distincte de celle de l’entreprise faisant l’objet de l’enquête : l’employé dont la messagerie professionnelle a été saisie est lui-même une personne concernée, titulaire de droits propres au regard du RGPD, indépendamment des droits de son employeur.

---

B. DROIT D’ACCÈS ET DROITS D’OPPOSITION

 

Le droit d’accès aux données prévu à l’article 15 du RGPD permet à toute personne concernée de savoir quelles données la concernant ont été saisies et sont traitées par l’autorité de concurrence. L’exercice de ce droit à l’égard de l’autorité de concurrence peut toutefois être limité ou refusé lorsque les données concernées font l’objet d’une enquête en cours, conformément à l’article 23 du RGPD. Cette limitation doit cependant être prévue par la loi nationale et respecter le principe de proportionnalité.

Le droit à la limitation du traitement prévu à l’article 18 du RGPD permet à la personne concernée de demander que ses données ne soient pas exploitées au-delà du périmètre strictement nécessaire à l’enquête, dans l’attente d’une décision judiciaire sur la légalité de la saisie. Ce droit peut être exercé utilement lorsque la personne concernée a connaissance de la saisie et dispose d’éléments permettant de contester la régularité de celle-ci.

---

C. RECOURS DEVANT LES AUTORITÉS DE CONTRÔLE ET LES JURIDICTIONS

 

Les personnes concernées disposent de la faculté de déposer une réclamation auprès de l’autorité de protection des données compétente (en Portugal, la Comissão Nacional de Proteção de Dados — CNPD) si elles estiment que le traitement de leurs données dans le cadre de l’inspection est contraire au RGPD. La CNPD peut, sur la base de cette réclamation, diligenter une enquête et, le cas échéant, adresser des injonctions à l’autorité de concurrence.

Elles disposent également d’un droit au recours juridictionnel effectif devant les juridictions nationales compétentes, conformément à l’article 79 du RGPD et à l’article 47 de la Charte. Ce recours peut tendre à la constatation de l’illicéité du traitement, à la restitution ou destruction des données saisies irrégulièrement, et à la réparation du préjudice subi conformément à l’article 82 du RGPD.

Il est vivement conseillé aux personnes concernées dont les communications personnelles auraient été saisies dans le cadre d’une inspection ciblant leur employeur de se constituer un conseil propre, distinct de celui de l’entreprise, dont les intérêts peuvent diverger des leurs sur la question de la légalité de la saisie.

---

 
 
 

---

POINTS ESSENTIELS

---

L’affaire C-258/23 Imagens Médicas Integradas soulève, dans le cadre d’une inspection de concurrence conduite par l’Autoridade da Concorrência portugaise sur la base d’un simple mandat du ministère public, la question fondamentale de savoir si les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne — protégeant respectivement le droit au respect des communications et le droit à la protection des données à caractère personnel — imposent l’autorisation judiciaire préalable d’un juge comme condition de validité de la saisie de courriers électroniques et de documents professionnels dans le cadre d’une enquête pour infraction aux articles 101 et 102 TFUE ;

l’Avocate générale Medina, dans deux séries de conclusions successives d’une densité analytique remarquable — les premières du 20 juin 2024 (ECLI:EU:C:2024:537) portant sur l’article 7 de la Charte, les secondes du 23 octobre 2025 (ECLI:EU:C:2025:814) portant sur l’article 8 de la Charte — y répond par la négative en soutenant, dans le sillage de l’arrêt Nexans France et Nexans/Commission (C-606/18 P, EU:C:2020:913) et en dépit de la jurisprudence strasbourgeoise Colas Est c. France allant en sens contraire, que ni l’article 7 ni l’article 8 de la Charte n’imposent une telle autorisation préalable dès lors que le droit national garantit un recours juridictionnel effectif permettant aux personnes concernées de contester a posteriori la légalité de la saisie, que le périmètre de celle-ci est strictement délimité par l’objet de l’enquête et que les données ne sont exploitées qu’aux seules fins de cette dernière, l’Avocat Général ajoutant que le RGPD — applicable aux traitements de données à caractère personnel réalisés dans le cadre de l’inspection, sur le fondement des bases de licéité de l’article 6, §1, sous c) et e) — n’exige pas davantage un tel contrôle préalable, solution pragmatique mais susceptible d’être infléchie par la Cour au regard du critère de nécessité absolue dégagé dans l’arrêt Comdribus (C-371/24, EU:C:2026:219) et des exigences de cohérence entre la Charte et l’article 8 CEDH que commande l’article 52, §3, de la Charte, l’arrêt attendu étant appelé à constituer une référence normative de premier rang pour les autorités nationales de concurrence, les entreprises exposées aux inspections et l’ensemble des praticiens du droit de la concurrence et de la protection des données.

RENVOI PRÉJUDICIEL – INFRACTION AUX RÈGLES DE LA CONCURRENCE – SAISIE DE DOCUMENTS PROFESSIONNELS – MANDAT DÉLIVRÉ PAR LE MINISTÈRE PUBLIC – CHARTE DES DROITS FONDAMENTAUX – ARTICLE 8 – ATTEINTE AU DROIT AU RESPECT DES DONNÉES À CARACTÈRE PERSONNEL – AUTORISATION JUDICIAIRE PRÉALABLE