CJUE | CONCLUSIONS DU 16 AVRIL 2026 | C-205/25 | BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT │
VIE PRIVÉE NUMERIQUE: VOS DONNÉES, VOTRE DOSSIER
QUAND LES GENDARMES DU RGPD SONT EUX-MÊMES RAPPELÉS À L’EXIGENCE DE TRANSPARENCE FACE AUX CITOYENS
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
CONSEILS AUX RESPONSABLES DE TRAITEMENT
A. AUDIT IMMÉDIAT DE LA CONFORMITÉ DES PROCÉDURES INTERNES
Les conclusions de l’Avocat Général Norkus constituent pour tout responsable de traitement — personne morale privée ou autorité publique — un signal d’alarme à ne pas sous-estimer. Le principe central que la Cour sera appelée à consacrer est celui de l’universalité de l’opposabilité du droit d’accès de l’article 15 du RGPD : aucune entité traitant des données à caractère personnel ne peut, au seul motif de sa nature organique ou de sa mission statutaire, s’exonérer des obligations qui découlent de cette disposition. Pour les responsables de traitement qui accueillent ou instruisent des réclamations ou des plaintes formulées par des personnes concernées — autorités de régulation, organismes de médiation, instances disciplinaires, ordres professionnels, mais également toute entreprise disposant d’une procédure interne de traitement des griefs — l’obligation d’identifier clairement leur qualité de responsable du traitement à l’égard des données collectées dans ce cadre s’impose sans exception.
Il est fortement conseillé, dans l’attente de l’arrêt de la Cour, de procéder à un inventaire des catégories de données traitées dans le cadre des procédures internes de réclamation, de médiation ou de signalement, et de vérifier que ces traitements figurent au registre des activités de traitement (article 30 du RGPD). Cet inventaire devra distinguer, d’une part, les données relatives à l’auteur de la réclamation, et, d’autre part, les données relatives aux tiers mentionnés dans le dossier (mis en cause, témoins, co-contractants). Cette distinction est déterminante pour la gestion des demandes d’accès ultérieures : seules les données portant sur l’auteur de la demande peuvent lui être communiquées, les données relatives aux tiers devant faire l’objet d’une occultation systématique (article 15, §4, du RGPD).
B. RÉVISION DES CLAUSES DE LIMITATION ET DES POLITIQUES DE CONFIDENTIALITÉ
Si la législation nationale applicable au responsable de traitement comporte une disposition limitant ou excluant le droit d’accès dans un contexte procédural ou réglementaire particulier, il y a lieu de vérifier sans délai que cette disposition satisfait aux conditions cumulatives de l’article 23 du RGPD, telles qu’elles sont précisées par l’Avocat Général Norkus dans ses conclusions : nécessité, proportionnalité, et présence de dispositions spécifiques portant notamment sur l’objet de la limitation, l’étendue de celle-ci, les risques pour les droits et libertés des personnes concernées et l’obligation d’information de la personne concernée quant à l’existence de la limitation (article 23, §2, sous g) et h)). Toute clause de limitation qui ne satisfait pas à ces exigences cumulatives est susceptible d’être déclarée incompatible avec le RGPD à la suite de l’arrêt attendu dans l’affaire C-205/25, ce qui exposerait le responsable de traitement à un risque de mise en cause par les autorités de contrôle nationales.
Il est donc recommandé de revoir les mentions d’information (article 13 et 14 du RGPD) et les politiques de confidentialité, afin d’y intégrer une information claire sur les droits des personnes concernées dont les données sont traitées dans le cadre de procédures internes de réclamation ou d’enquête, et notamment sur les éventuelles limitations applicables et les voies de recours disponibles.
MISE EN PLACE D’UNE PROCÉDURE DE TRAITEMENT DES DEMANDES D’ACCÈS SPÉCIFIQUE AU CONTEXTE DES DOSSIERS DE RÉCLAMATION
L’enjeu pratique le plus immédiat de l’affaire C-205/25 réside dans la nécessité d’adapter les procédures de réponse aux demandes d’accès lorsque celles-ci portent sur des dossiers de réclamation ou d’enquête en cours ou clôturés. Les responsables de traitement devront être en mesure de traiter ces demandes dans le délai d’un mois prévu par l’article 12, §3, du RGPD, tout en procédant à l’occultation des données relatives aux tiers. Cette contrainte opérationnelle impose la mise en place d’une procédure dédiée, distincte de la procédure générale de traitement des demandes d’accès, impliquant a minima : (i) l’identification du volume de données concernées dans le dossier ; (ii) l’évaluation de la nécessité d’occulter certains éléments ; (iii) la production d’un document expurgé ou d’une synthèse ; (iv) la motivation écrite de tout refus ou de toute limitation partielle de l’accès.
Il est également conseillé de former les équipes juridiques et conformité à la gestion de ces situations particulières, en insistant sur le fait que le droit d’accès dans ce contexte spécifique n’est pas un droit absolu — la jurisprudence Brillen Rottler (C-526/24, EU:C:2026:216) autorisant le refus des demandes manifestement abusives — mais qu’il demeure un droit fondamental pleinement opposable dont le refus injustifié engage la responsabilité civile du responsable de traitement au titre de l’article 82 du RGPD.
VIGILANCE RENFORCÉE POUR LES DPA NATIONALES ET AUTORITÉS SECTORIELLES
Les autorités de protection des données (DPA) et, par extension, toute autorité sectorielle investie de pouvoirs d’enquête et de contrôle sur des tiers, doivent impérativement tirer les conséquences pratiques de la solution annoncée dans les conclusions de l’Avocat Général Norkus, sans attendre la décision finale de la Cour. Les DPA nationales qui n’auraient pas encore mis en place une procédure formalisée de traitement des demandes d’accès formulées par les auteurs de réclamations sont exposées, dès à présent, à des recours en carence ou à des plaintes croisées dirigées contre elles devant d’autres autorités de contrôle — notamment dans le cadre du mécanisme de cohérence prévu par les articles 60 à 66 du RGPD. La désignation en leur sein d’un point de contact dédié chargé des demandes d’accès dans le contexte des procédures de réclamation, ainsi que la rédaction d’une politique interne documentée sur ce sujet, constituent des mesures de précaution minimales que toute DPA sérieuse devrait adopter sans délai.
CONSEILS AUX PERSONNES CONCERNÉES
A. EXERCER SANS ATTENDRE LE DROIT D’ACCÈS AUPRÈS DE L’AUTORITÉ DE CONTRÔLE
Les personnes ayant déposé une réclamation auprès d’une autorité de contrôle nationale — DPA, mais également toute autorité sectorielle ou de régulation — disposent, selon les conclusions de l’Avocat Général Norkus, d’un droit d’accès pleinement opposable à ces autorités au titre de l’article 15 du RGPD. Ce droit leur permet d’obtenir, dans un délai d’un mois, communication des données à caractère personnel les concernant détenues dans le dossier de réclamation : données d’identification, données relatives aux circonstances de la réclamation, données échangées entre l’autorité et le responsable du traitement mis en cause, et toute information susceptible de renseigner sur le cours de la procédure.
Il est conseillé d’exercer ce droit par écrit, en visant expressément l’article 15 du RGPD et en précisant le numéro ou la référence du dossier de réclamation concerné. La demande doit être adressée non pas à la direction chargée de l’instruction de la réclamation, mais au délégué à la protection des données (DPO) de l’autorité concernée, lorsqu’un tel délégué a été désigné — ce qui est le cas pour l’ensemble des DPA nationales en application de l’article 37, §1, sous a), du RGPD. En l’absence de réponse dans le délai d’un mois, ou en cas de réponse insuffisante ou de refus non motivé, la personne concernée dispose d’un recours juridictionnel au titre de l’article 79, §1, du RGPD devant la juridiction compétente.
B. IDENTIFIER ET CONTESTER LES LIMITATIONS ILLÉGALES
Si l’autorité de contrôle oppose à la demande d’accès une disposition nationale qui exclut purement et simplement l’accès aux dossiers de réclamation — à l’instar de l’article 20, §2, du BayDSG dans l’affaire C-205/25 — cette limitation est susceptible d’être déclarée incompatible avec l’article 23 du RGPD par la Cour dans son arrêt à venir. Il est conseillé de ne pas accepter un tel refus sans en contester le fondement juridique, en soulevant expressément l’incompatibilité alléguée de la disposition nationale avec l’article 23 du RGPD, et en sollicitant une motivation détaillée du refus conformément à l’article 12, §4, du RGPD, qui impose au responsable du traitement d’informer la personne concernée des « motifs du refus » et de sa possibilité d’introduire une réclamation ou un recours juridictionnel.
Dans les États membres dont le droit national contient des dispositions comparables à l’article 20, §2, du BayDSG, la personne concernée peut, dans le cadre d’un recours juridictionnel, soulever une question préjudicielle ou demander au juge national d’écarter l’application de la disposition nationale incompatible avec le droit de l’Union, conformément au principe de primauté du droit de l’Union européenne (CJCE, 15 juillet 1964, Costa c/ ENEL, C-6/64, EU:C:1964:66).
DOCUMENTER LES VIOLATIONS ET PRÉSERVER LES DROITS À RÉPARATION
Toute violation du droit d’accès — refus illégal, réponse hors délai, communication incomplète ou inexacte — constitue une violation du RGPD susceptible d’ouvrir droit à réparation au titre de l’article 82, §1, du RGPD, qui prévoit que « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement […] réparation du préjudice subi ». La jurisprudence de la Cour a précisé, dans l’arrêt du 4 mai 2023, Österreichische Post (C-300/21, EU:C:2023:370), que la simple violation du RGPD ne suffit pas à établir le droit à réparation : un dommage réel, fût-il uniquement moral, doit être établi. Il est donc conseillé de documenter précisément les circonstances du refus ou de la violation (date de la demande, date et contenu de la réponse ou du refus, préjudice subi — notamment perte de contrôle sur les données, impossibilité de vérifier la licéité du traitement, atteinte à la réputation).
La demande de réparation peut être introduite soit par la voie d’une réclamation auprès d’une autre autorité de contrôle (article 77 du RGPD), soit par la voie d’un recours juridictionnel (article 79 du RGPD), soit par la combinaison des deux, sans préjudice de l’un par l’autre (article 80 du RGPD). Dans l’hypothèse où l’auteur de la réclamation est domicilié dans un État membre autre que l’Allemagne, il peut saisir la DPA de son État membre de résidence habituelle, qui dispose alors d’une compétence pour traiter la réclamation dirigée contre l’autorité bavaroise.
VIGILANCE FACE AU RISQUE D’ABUS DE DROIT
Les conclusions de l’Avocat Général Norkus dans l’affaire C-205/25 doivent être lues en parallèle avec l’arrêt Brillen Rottler du 19 mars 2026 (C-526/24, EU:C:2026:216), dans lequel la Cour a admis qu’une demande d’accès peut être qualifiée d’abusive et refusée si elle est introduite « dans le seul but de demander ensuite une réparation pour prétendue violation du RGPD », et ce dès la première demande si les circonstances le démontrent. Les personnes concernées sont invitées à s’assurer que leurs demandes d’accès sont motivées par une finalité légitime — vérification de la licéité du traitement, exercice d’un droit de défense, information sur le cours de la procédure — et non par la seule perspective d’obtenir une indemnisation. Un exercice abusif du droit d’accès non seulement prive la personne de la protection accordée par le RGPD, mais peut, dans certaines circonstances, exposer celle-ci à des conséquences procédurales défavorables.
POINTS ESSENTIELS
L’affaire C-205/25 — demande de décision préjudicielle présentée le 17 mars 2025 par le Bayerisches Verwaltungsgericht Ansbach dans le litige opposant le journaliste Joachim Lindenberg au Bayerisches Landesamt für Datenschutzaufsicht — pose à la Cour de justice une question d’une acuité institutionnelle inédite dans l’architecture du RGPD;
Une autorité de contrôle au sens de l’article 4, point 21, du règlement UE 2016/679, lorsqu’elle traite des données à caractère personnel d’un réclamant dans le cadre d’une procédure de réclamation introduite conformément à l’article 77, endosse-t-elle simultanément, à l’égard de ces mêmes données, la qualité de responsable du traitement au sens de l’article 4, point 7, et est-elle en conséquence tenue de satisfaire aux demandes d’accès présentées par la personne concernée au titre de l’article 15 — et, si tel est le cas, une disposition nationale telle que l’article 20, §2, du BayDSG, qui exclut purement et simplement tout droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle, est-elle compatible avec l’article 23 du RGPD qui subordonne toute restriction aux droits des personnes concernées à des exigences cumulatives de légalité formelle, de nécessité, de proportionnalité et de contenu minimum obligatoire comprenant des garanties compensatoires ?
La double qualité revendiquée de facto par le Landesamt — autorité de supervision et, simultanément, entité se soustrayant aux obligations substantielles qu’elle est précisément chargée de faire respecter — met en tension irréductible le principe d’effectivité des droits fondamentaux à la protection des données garanti par l’article 8 de la Charte et le droit à un recours effectif de l’article 47, avec l’autonomie procédurale des autorités de contrôle dans la gestion de leurs dossiers d’instruction ;
L’enjeu de l’arrêt dépasse le seul Land de Bavière pour concerner l’ensemble des vingt-sept autorités nationales de contrôle et le Contrôleur européen de la protection des données, en posant les fondements normatifs de leur accountability institutionnelle propre au regard du droit de l’Union, à une époque où la crédibilité de tout le système de supervision de la protection des données personnelles dépend précisément de la capacité de ces institutions à démontrer qu’elles se soumettent, dans leurs traitements internes, aux mêmes exigences de transparence, de licéité et de respect des droits des personnes concernées qu’elles imposent aux responsables du traitement et sous-traitants relevant de leur compétence.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats