CJUE | CONCLUSIONS DU 5 MARS 2026 | C-5/25 | PILEV │
« À QUEL PEUPLE APPARTENEZ-VOUS ? »
UNE QUESTION POSÉE À LA BARRE À CHAQUE PRÉVENU EN BULGARIE. LIGNE ROUGE POUR LA CJUE !
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I.
Lindenberg c. Landesamt — l’autorité de contrôle face à son propre miroir de protection des données
L’affaire C-205/25 Bayerisches Landesamt für Datenschutzaufsicht (ci-après « Landesamt »), enregistrée à la Cour de justice de l’Union européenne le 17 mars 2025 à la suite d’une ordonnance de renvoi du Bayerisches Verwaltungsgericht Ansbach (tribunal administratif bavarois d’Ansbach) du 19 février 2025, soulève une question d’une profondeur systémique rarement atteinte depuis l’entrée en application du RGPD : l’autorité nationale de contrôle de la protection des données, lorsqu’elle instruite une réclamation déposée par une personne concernée en vertu de l’article 77 du règlement (UE) 2016/679, est-elle elle-même soumise, à l’égard de cette personne, au droit d’accès garanti par l’article 15 du même règlement ? Et si oui, une disposition nationale qui supprime purement et simplement ce droit d’accès aux dossiers et fichiers de l’autorité de contrôle est-elle compatible avec l’article 23 du RGPD ?
La tension constitutive de cette affaire est d’une remarquable netteté : elle met en scène une autorité publique dont la mission cardinale est d’imposer aux autres opérateurs le respect des droits fondamentaux garantis par le RGPD, et qui se retrouve, précisément dans l’exercice de cette mission, à se présenter comme dispensée des obligations que ce même règlement impose à tout « responsable du traitement ». L’enjeu n’est pas simplement procédural : il touche à la cohérence architecturale du régime européen de protection des données, à la question de savoir si les gardiens du règlement en sont eux-mêmes les sujets, et au test de proportionnalité que doit satisfaire toute limitation nationale au droit d’accès.
Le requérant, M. Joachim Lindenberg, journaliste et blogueur spécialisé en protection des données, a introduit auprès du Landesamt, le 13 mai 2022, une réclamation au titre de l’article 77 du RGPD contre un tiers. Le Landesamt a ouvert une procédure de contrôle, a constaté des violations de la protection des données commises par le tiers visé et l’a informé que celui-ci serait verbalisé en cas de nouvelles infractions. M. Lindenberg a alors demandé, le 11 octobre 2022, communication de détails supplémentaires sur les mesures prises, puis, le même jour, accès complet à ses données à caractère personnel au sens de l’article 15, paragraphes 1 et 3, du RGPD. Par décision du 20 octobre 2022, le Landesamt a rejeté cette demande en se prévalant de l’article 20, paragraphe 2, du Bayerisches Datenschutzgesetz (BayDSG), qui dispose, dans une formule lapidaire : « Il n’y a pas de droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle. » M. Lindenberg a formé un recours devant le tribunal administratif d’Ansbach. Le 23 février 2024, le Landesamt lui a accordé un accès électronique au dossier sans toutefois reconnaître d’obligation légale en ce sens. Le litige s’est donc recentré sur la seule déclaration d’illégalité de la décision de rejet du 20 octobre 2022.
Face à ces faits, la juridiction de renvoi a identifié deux questions préjudicielles dont la structure en cascade conditionne leur pertinence respective : la première — si une autorité de contrôle peut être simultanément « autorité de contrôle » au sens de l’article 4, point 21, et « responsable du traitement » au sens de l’article 4, point 7, du RGPD, et donc tenue au droit d’accès de l’article 15 — conditionne la seconde — si l’article 23 du RGPD s’oppose à l’exclusion totale opérée par l’article 20, paragraphe 2, du BayDSG.
II.
Le cadre normatif national : l’article 20, paragraphe 2, du BayDSG comme nœud gordien
La loi bavaroise sur la protection des données (Bayerisches Datenschutzgesetz, BayDSG) contient, à son article 20, des dispositions relatives à la saisine des autorités de contrôle « concernant l’article 77 du RGPD ». Le paragraphe 1 confirme que toute personne peut s’adresser aux autorités de contrôle et que cette saisine ne doit pas lui porter préjudice — transposition directe de l’article 77, paragraphe 2, du RGPD. Le paragraphe 2, en revanche, est une disposition d’exclusion absolue : « Il n’y a pas de droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle. »
L’exposé des motifs législatif invoque l’article 23 du RGPD comme base juridique, mais sans référence explicite à l’un quelconque des objectifs énumérés à l’article 23, paragraphe 1, sous a) à j), du règlement. Il se contente d’indiquer que la disposition « souligne la finalité de traitement spécifique des informations obtenues dans l’exercice des missions de contrôle en matière de protection des données ». Le Landesamt défend, quant à lui, plusieurs objectifs : garantir la confidentialité aux responsables du traitement et aux sous-traitants, protéger l’indépendance totale des autorités de contrôle, manifester l’obligation de confidentialité de l’article 54, paragraphe 2, du RGPD, et protéger les droits des tiers au-delà de ce que permet déjà l’article 15, paragraphe 4, du RGPD. Il rattache ces objectifs aux alinéas c), e), h) et i) de l’article 23, paragraphe 1, du RGPD.
Deux particularités aggravent la portée de cette disposition. Premièrement, son champ d’application est interprété par le Landesamt lui-même et par la juridiction de renvoi comme s’étendant non seulement aux dossiers de réclamation au titre de l’article 77 du RGPD, mais à l’ensemble des données collectées et traitées dans le cadre de toute activité du Landesamt. Deuxièmement, le BayDSG ne prévoit aucune dérogation à cette exclusion totale — contrairement à d’autres autorités de contrôle allemandes des Länder qui ne disposent d’aucune disposition comparable sans que leur fonctionnement en soit entravé, comme le souligne expressis verbis la juridiction de renvoi.
La comparaison interne révèle, à cet égard, une incohérence normative caractérisée : l’article 10 du BayDSG, qui concerne la limitation du droit d’accès en cas de transmission de données à des autorités répressives ou de renseignement, prévoit une procédure détaillée respectant formellement les exigences de l’article 23, paragraphe 2, du RGPD — avec indication des motifs dans le dossier, notification à la personne concernée et communication complète à l’autorité de contrôle sur demande. Le paragraphe 2 de l’article 20, en revanche, ne contient aucune de ces garanties procédurales. Le législateur bavarois a donc montré qu’il connaît les exigences formelles imposées par l’article 23, paragraphe 2, pour s’en passer précisément là où il accorde à la limitation le champ le plus large.
III.
La première question préjudicielle : l’autorité de contrôle comme responsable du traitement
La première question soumet à la Cour un problème de qualification juridique d’une portée structurelle : une autorité de contrôle de la protection des données, qui traite nécessairement des données à caractère personnel dans le cadre d’une procédure de réclamation au titre de l’article 77 du RGPD — notamment les données du réclamant lui-même — peut-elle être en même temps un « responsable du traitement » au sens de l’article 4, point 7, du RGPD, débiteur à l’égard de cette personne d’un droit d’accès au titre de l’article 15 ?
Deux conceptions s’affrontent. La première, défendue par le Landesamt et par une partie de la doctrine (Engelbrecht in Schröder, BayDSG, art. 20, pt. 20 ; VG München, ordonnance du 24 mars 2021, M 13 K 20.6765), soutient que lorsqu’une autorité de contrôle agit dans le cadre d’une procédure de réclamation, elle le fait exclusivement en sa qualité d’« autorité de contrôle » au sens de l’article 4, point 21, et que les droits et obligations applicables sont épuisés par les articles 77 et 78 du RGPD. Sur ce raisonnement, la qualité d’autorité de contrôle et celle de responsable du traitement seraient mutuellement exclusives au regard du même traitement de données.
La seconde conception — celle à laquelle adhère la juridiction de renvoi et qui paraît plus conforme à l’architecture du RGPD — repose sur la constatation que la notion de « responsable du traitement » est définie de manière fonctionnelle par l’article 4, point 7, comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Rien dans cette définition ne précise que les autorités publiques ne peuvent pas être responsables du traitement pour les données qu’elles traitent dans l’exercice de leurs propres missions. Au contraire, l’article 4, point 7, utilise expressément le terme « autorité publique », ce qui confirme leur soumission possible à ce régime. Par ailleurs, le considérant 63 du RGPD indique que le droit d’accès a pour finalité première de permettre à la personne concernée de « vérifier la licéité » du traitement — finalité qui s’applique avec une force particulière lorsque le responsable du traitement est précisément l’autorité chargée de faire respecter ce même RGPD.
La thèse de l’exclusivité des qualifications se heurte en outre à l’économie du RGPD : de nombreuses dispositions du règlement imposent des obligations aux autorités de contrôle en tant que telles (sécurité des systèmes d’information, tenue de registres des activités de traitement, désignation d’un délégué à la protection des données en vertu de l’article 37), ce qui présuppose précisément qu’elles sont aussi des responsables du traitement. La Cour a d’ailleurs, dans son arrêt du 7 décembre 2023, SCHUFA Holding — Libération de reliquat de dette (C-26/22 et C-64/22, EU:C:2023:958, pts. 58 et suiv.), précisé que le droit d’introduire une réclamation au titre de l’article 77 n’est pas un simple équivalent du droit de pétition — distinction qui sape l’une des justifications centrales de l’article 20, paragraphe 2, du BayDSG.
Les conclusions de l’Avocat général présentées le 16 avril 2026 (ECLI:EU:C:2026:312) traitent de cette question avec l’autorité attendue, orientant la Cour vers une réponse affirmative à la première question, au prix d’un examen des conditions dans lesquelles la double qualité peut être reconnue et des conséquences procédurales qui en découlent.
IV.
La seconde question préjudicielle : l’article 23 du RGPD à l’épreuve du BayDSG
La seconde question ne se pose qu’en cas de réponse affirmative à la première. Elle interroge la conformité de l’article 20, paragraphe 2, du BayDSG à l’article 23 du RGPD, qui autorise les États membres à restreindre par voie législative la portée des obligations et des droits prévus aux articles 12 à 22 du règlement, sous réserve que cette restriction « respecte l’essence des libertés et droits fondamentaux et constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir » l’un des objectifs énumérés de l’article 23, paragraphe 1, sous a) à j).
La juridiction de renvoi identifie un double problème, substantiel et formel, qui permet d’articuler l’analyse en deux plans distincts.
Sur le fond — La juridiction d’Ansbach doute que l’article 20, paragraphe 2, du BayDSG soit apte à garantir l’un des objectifs de l’article 23, paragraphe 1. L’exposé des motifs se contente de pointer une « finalité de traitement spécifique » sans rattacher celle-ci à un objectif précis de la liste limitative. La juridiction de renvoi examine ensuite chacune des justifications avancées par le Landesamt :
— Confidentialité envers les responsables du traitement et les sous-traitants : cette confidentialité est d’ores et déjà protégée par l’article 15, paragraphe 4, du RGPD, qui exclut du champ du droit d’accès les données à caractère personnel concernant des tiers. Une exclusion totale et non différenciée va donc bien au-delà de ce qui est nécessaire.
— Indépendance des autorités de contrôle : le droit d’accès d’une personne concernée aux données la concernant ne compromet pas l’indépendance de l’autorité de contrôle dans l’exercice de sa mission. L’indépendance concerne le rapport aux pouvoirs politiques et économiques, non la soumission au droit commun de la protection des données.
— Bon fonctionnement des autorités de contrôle : la juridiction relève que d’autres autorités de contrôle des Länder ne disposent pas d’une telle exclusion sans que leur fonctionnement en soit affecté. L’argument est empiriquement réfuté.
— Droits des tiers (art. 23, § 1, i, du RGPD) : déjà protégés par l’article 15, paragraphe 4, du RGPD, comme le reconnaît le Landesamt lui-même.
— Obligation de confidentialité des membres de l’autorité de contrôle (art. 54, § 2, du RGPD) : cette obligation porte sur le secret professionnel à l’égard des tiers, non sur la possibilité pour la personne concernée d’accéder à ses propres données.
Le bilan du contrôle de proportionnalité est sans ambiguïté : les objectifs protégés ne sont couverts par la disposition qu’à la marge, tandis que la restriction porte sur un droit fondamental garanti par l’article 8, paragraphe 2, deuxième phrase, de la Charte des droits fondamentaux de l’Union européenne. Le caractère absolu et non différencié de l’exclusion — sans clause de sauvegarde, sans mécanisme de pondération, sans faculté de dérogation dans des cas particuliers — la rend disproportionnée par rapport aux objectifs qu’elle entend servir.
Sur la forme — L’article 23, paragraphe 2, du RGPD exige que les mesures législatives nationales restrictives contiennent, « le cas échéant », des dispositions spécifiques notamment sur : l’étendue des limitations (sous c)) ; les risques pour les droits et libertés des personnes concernées (sous g)) ; le droit des personnes concernées d’être informées de la limitation (sous h)). L’article 20, paragraphe 2, du BayDSG est muet sur tous ces points. Il ne nomme pas l’article 15 du RGPD, n’indique pas que les droits d’accès sont limités, ne prévoir aucune notification à la personne concernée. La comparaison avec l’article 10 du BayDSG — qui satisfait précisément à ces exigences dans un contexte de limitation différent — démontre que le législateur bavarois connaît et sait transposer ces prescriptions formelles. Son silence à l’article 20, paragraphe 2, apparaît donc comme un déficit délibéré ou, à tout le moins, comme une négligence normative caractérisée.
V.
Les conclusions de l’Avocat général du 16 avril 2026 (ECLI:EU:C:2026:312)
Les conclusions présentées le 16 avril 2026 constituent la pièce centrale du dossier au stade actuel. L’Avocat général y aborde de front la double question préjudicielle en procédant à un examen systématique des dispositions du RGPD pertinentes.
Sur la première question, les conclusions s’inscrivent dans la logique fonctionnelle de la définition du responsable du traitement et confirment que la qualité d’autorité de contrôle n’est pas exclusive de celle de responsable du traitement dès lors que l’autorité en cause détermine les finalités et les moyens du traitement des données d’un réclamant dans le cadre de la procédure de réclamation. Le fait qu’une autorité traite les données d’autrui dans l’exercice de son contrôle ne la soustrait pas, pour autant, à l’obligation de respecter les droits fondamentaux des personnes dont elle traite les données dans ce cadre.
Sur la seconde question, l’Avocat général mobilise le test classique de proportionnalité de l’article 23, paragraphe 1, du RGPD, lu à la lumière du considérant 73 et de l’article 52, paragraphe 1, de la Charte. Il conclut que l’exclusion totale et générale prévue par l’article 20, paragraphe 2, du BayDSG ne satisfait pas aux exigences de nécessité et de proportionnalité requises, dans la mesure où elle va au-delà de ce qui est nécessaire pour atteindre les objectifs légitimes susceptibles d’être identifiés — lesquels sont, au demeurant, déjà couverts par d’autres mécanismes du RGPD — et dans la mesure où elle ne satisfait pas aux exigences formelles de l’article 23, paragraphe 2, du règlement.
La nature des conclusions — dans lesquelles l’Avocat général ne recommande pas à la Cour une réponse fermée mais oriente son raisonnement — laisse anticiper que la formation de jugement, quel que soit son format (chambre ou grande chambre), s’attachera à préciser les conditions exactes dans lesquelles une limitation nationale du droit d’accès peut être validement opposée à la personne qui a introduit la réclamation, tout en laissant une marge d’appréciation aux États membres sur les modalités concrètes de cette limitation.
VI.
Portée systémique et rayonnement doctrinal de l’affaire
L’affaire C-205/25 dépasse très largement son cadre bavarois. Elle pose, de manière frontale, la question de l’auto-exemption des gardiens du règlement. Si la Cour répond affirmativement aux deux questions — ce qu’annoncent les conclusions de l’Avocat général —, elle consacrera un principe de symétrie fondamental : toute entité qui traite des données à caractère personnel est soumise au RGPD en tant que responsable du traitement, quels que soient sa mission institutionnelle et son rang dans la hiérarchie normative de la protection des données. Les autorités de contrôle ne sont pas au-dessus du droit qu’elles font appliquer.
Cette solution, si elle est adoptée, aura des incidences immédiates sur l’ensemble des législations nationales d’adaptation du RGPD dans les vingt-sept États membres. Toute disposition nationale qui soustrait une autorité de contrôle au droit d’accès des personnes dont elle traite les données devra être réexaminée à l’aune du triptyque : aptitude à atteindre un objectif légitime de l’article 23, paragraphe 1 ; nécessité et proportionnalité dans une société démocratique ; respect des garanties formelles de l’article 23, paragraphe 2.
Elle entre en résonance avec la jurisprudence récente de la Cour sur le droit d’accès de l’article 15 du RGPD, marquée par un mouvement constant d’extension du champ de ce droit et de restriction des possibilités de le limiter : arrêt du 26 octobre 2023, MK c. WB, C-307/22 (droit d’accès aux données médicales) ; arrêt du 11 juillet 2024, MK c. WB, C-461/22 (accès aux données collectées par un curateur) ; arrêt du 19 mars 2026, Brillen Rottler, C-526/24 (abus de droit en matière d’accès).
Elle entre également en dialogue avec l’affaire parallèle C-185/25, Waldfelber, renvoyée par l’Oberster Gerichtshof autrichien le 7 mars 2025, qui interroge également l’étendue du droit d’accès garanti par l’article 15 du RGPD, ainsi qu’avec l’affaire T-183/23, Ballmann c. Comité européen de la protection des données (ECLI:EU:T:2025:735), dans laquelle le Tribunal a examiné le refus d’accès opposé à l’auteur d’une réclamation au dossier préparatoire à une décision contraignante du CEPD — problématique conceptuellement très proche au niveau institutionnel.
La dimension institutionnelle est également notable : si les autorités de contrôle nationales sont des responsables du traitement à l’égard des réclamants, la question se posera inévitablement de savoir si le Comité européen de la protection des données (CEPD) l’est également lorsqu’il traite des données dans le cadre des procédures de l’article 60 ou 65 du RGPD — ce que l’affaire T-183/23 effleure déjà.
Du point de vue du droit processuel national, l’affaire a une incidence directe sur les États membres dont la législation d’adaptation comporte des clauses d’exclusion ou de limitation du droit d’accès analogues à l’article 20, paragraphe 2, du BayDSG. En France, par exemple, la loi « Informatique et Libertés » (LIL) telle que modifiée par l’ordonnance n° 2018-1125 du 12 décembre 2018 comporte, à son article 88, des limitations du droit d’accès applicables aux traitements mis en œuvre par la CNIL dans le cadre de ses missions de contrôle. La conformité de ces limitations à l’article 23 du RGPD, telle qu’interprété par la Cour dans l’affaire C-205/25, devra faire l’objet d’un examen sérieux.
Enfin, l’affaire projette une lumière critique sur la cohérence interne du RGPD lui-même : si les autorités de contrôle peuvent limiter ou exclure le droit d’accès de leurs propres réclamants, elles opèrent un traitement de données pour lequel elles ne respecteraient pas les obligations qu’elles sont précisément chargées de faire respecter chez les autres — une contradiction que la Cour aura l’occasion de résoudre par une solution d’une portée proprement constitutionnelle dans l’architecture du droit européen des données personnelles.
POINTS ESSENTIELS
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats