CJUE | CONCLUSIONS DU 5 MARS 2026 | C-5/25 | PILEV │
« À QUEL PEUPLE APPARTENEZ-VOUS ? »
UNE QUESTION POSÉE À LA BARRE À CHAQUE PRÉVENU EN BULGARIE. LIGNE ROUGE POUR LA CJUE !
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I.
Objet et contexte
M. Joachim Lindenberg, journaliste spécialisé en protection des données, a introduit une réclamation auprès du Bayerisches Landesamt für Datenschutzaufsicht (Landesamt) au titre de l’article 77 du RGPD le 13 mai 2022. À la suite de cette réclamation, il a demandé accès à son dossier sur le fondement de l’article 15 du RGPD. Le Landesamt a opposé un refus total en invoquant l’article 20, paragraphe 2, du BayDSG, qui exclut expressément tout droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle bavaroises. Ultérieurement contraint par la voie contentieuse d’accorder un accès électronique au dossier, le Landesamt a néanmoins refusé de reconnaître l’illégalité de son refus initial, maintenant ainsi le litige vivant.
Le Bayerisches Verwaltungsgericht Ansbach a sursis à statuer et soumis deux questions préjudicielles à la Cour, portant respectivement sur la qualification du Landesamt comme responsable du traitement au sens de l’article 4, point 7, du RGPD, et sur la compatibilité de la restriction nationale avec le droit d’accès de l’article 15 RGPD lu à la lumière de l’article 23 du même règlement et de l’article 8, paragraphe 2, de la Charte.
II.
Les deux questions préjudicielles
La première question porte sur la qualification de l’autorité de contrôle comme responsable du traitement lorsqu’elle traite des données à caractère personnel dans le cadre d’une procédure de réclamation introduite en vertu de l’article 77 du RGPD. L’Avocat général Norkus propose de répondre positivement : le Landesamt, en constituant un dossier, en collectant et en traitant des données relatives au réclamant et à la procédure, détermine les finalités et les moyens du traitement et revêt donc bien la qualité de responsable du traitement. Aucune disposition du RGPD n’exempte les autorités de contrôle de cette qualification pour les traitements qu’elles opèrent dans le cadre de leurs missions.
La seconde question porte sur la compatibilité de l’article 20, paragraphe 2, du BayDSG — qui exclut totalement tout droit d’accès aux dossiers des autorités de contrôle — avec l’article 15 du RGPD, interprété à la lumière de l’article 23 du RGPD et de l’article 8, paragraphe 2, de la Charte. L’Avocat général propose de répondre que le droit de l’Union s’oppose à une telle restriction totale et absolue, qui ne respecte pas l’essence du droit fondamental d’accès garanti par la Charte, ne satisfait pas aux conditions cumulatives de nécessité et de proportionnalité exigées par l’article 23 du RGPD, et ne contient pas les garanties spécifiques imposées par l’article 23, paragraphe 2, du RGPD.
III.
L’analyse de l’Avocat général sur les limitations au droit d’accès
L’Avocat général reconnaît que des considérations légitimes peuvent justifier des restrictions au droit d’accès de la personne concernée aux données contenues dans le dossier d’une procédure de contrôle : protection des données des tiers, préservation de l’efficacité des enquêtes, prévention des risques d’entrave. Ces objectifs trouvent un ancrage dans les points c), e), h) et i) de l’article 23, paragraphe 1, du RGPD. Cependant, la restriction doit être proportionnée et ne peut pas exclure totalement le droit d’accès. Des mécanismes moins radicaux — accès partiel, accès différé, caviardage, contrôle juridictionnel — permettraient d’atteindre les objectifs poursuivis sans anéantir le droit fondamental.
L’article 20, paragraphe 2, du BayDSG est en outre formellement défaillant au regard des exigences de l’article 23, paragraphe 2, du RGPD, qui impose que les mesures de limitation législative contiennent des dispositions spécifiques sur la nature des données, la portée des restrictions, les garanties contre les abus, les personnes responsables, la durée de conservation et l’information des personnes concernées. La disposition bavaroise, en une seule phrase lapidaire, ne satisfait à aucune de ces exigences. Ce double vice — fond et forme — condamne la restriction au regard du droit de l’Union.
IV.
Portée et enjeux systémiques
L’affaire C-205/25 préfigure une clarification décisive sur le statut des autorités de contrôle comme responsables du traitement vis-à-vis des personnes dont elles traitent les données dans le cadre de leurs missions. La réponse de la Cour constituera un jalon jurisprudentiel qui s’inscrira dans la continuité des arrêts Nowak (C-434/16), Österreichische Datenschutzbehörde et CRIF (C-487/21), et Agentsia po vpisvaniyata (C-200/23), en précisant l’étendue du droit d’accès dans un contexte institutionnel inédit : celui où le responsable du traitement est précisément l’entité chargée de faire respecter le RGPD. La cohérence de l’édifice normatif européen de protection des données est en jeu, car admettre que les gardiens du RGPD soient eux-mêmes soustraits à ses exigences fondamentales serait gravement attentatoire à la crédibilité du système.
POINTS ESSENTIELS
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats