CJUE | CONCLUSIONS DU 5 MARS 2026 | C-5/25 | PILEV │
« À QUEL PEUPLE APPARTENEZ-VOUS ? » : UNE QUESTION POSÉE À LA BARRE À CHAQUE PRÉVENU EN BULGARIE. LIGNE ROUGE POUR LA CJUE !
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
2. LA DÉCISION ADMINISTRATIVE DE REFUS
Par courrier électronique et décision du 20 octobre 2022, le Landesamt a rejeté la demande d’accès formulée au titre de l’article 15, paragraphes 1 et 3, du RGPD. Pour motiver ce refus, l’autorité de contrôle s’est fondée sur l’article 20, §2, du Bayerisches Datenschutzgesetz (BayDSG), dont la teneur est la suivante : « Il n’y a pas de droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle ». Cette disposition, adoptée par le législateur bavarois dans le cadre de ses compétences résiduelles en matière de procédure administrative de réclamation, opère ainsi une exclusion totale et inconditionnelle du droit d’accès garanti par le RGPD, sans qu’aucune distinction ne soit opérée quant à la nature des données en cause, à la catégorie de la personne concernée ou aux circonstances particulières de l’espèce.
3. LA PROCÉDURE DEVANT LE BAYERISCHES VERWALTUNGSGERICHT ANSBACH
Le 6 décembre 2022, par mémoire de son mandataire, le requérant a formé contre cette décision de refus un recours devant le Bayerisches Verwaltungsgericht Ansbach (tribunal administratif bavarois d’Ansbach), en demandant en premier lieu qu’il soit ordonné au Landesamt de lui fournir une copie de toutes les données du dossier de la procédure de réclamation engagée le 13 mai 2022. Prenant acte de l’évolution du litige, et notamment du fait que le Landesamt avait entre-temps, le 23 février 2024, accordé un accès électronique au dossier de la procédure de contrôle déclenchée par la réclamation — sans toutefois reconnaître une obligation légale en ce sens —, le requérant a recentré ses prétentions pour demander uniquement que soit constatée l’illégalité de la décision du Landesamt du 20 octobre 2022 rejetant sa demande d’accès. C’est dans ce contexte que le tribunal administratif bavarois d’Ansbach a estimé que la résolution du litige dépendait de l’interprétation du droit de l’Union et a décidé, par ordonnance du 19 février 2025, de saisir la Cour de justice à titre préjudiciel sur le fondement de l’article 267 TFUE.
4. LE CADRE JURIDIQUE NATIONAL APPLICABLE
Le cadre juridique national pertinent comprend, d’une part, les dispositions du Bundesdatenschutzgesetz (BDSG), dont l’article 40 attribue aux autorités de contrôle des Länder la compétence de contrôler, dans le champ d’application du RGPD, l’application des règles relatives à la protection des données auprès des entités non publiques. D’autre part, les dispositions du BayDSG — loi du Land de Bavière, applicable exclusivement sur le territoire de ce Land — régissent les modalités concrètes de l’exercice des droits des personnes concernées et de la procédure de réclamation devant le Landesamt. L’article 10 du BayDSG, relatif au droit d’accès de la personne concernée concernant l’article 15 du RGPD, prévoit notamment des hypothèses dans lesquelles la personne concernée n’est pas informée lorsque cela risquerait de compromettre le bon accomplissement de missions de prévention de menaces ou la prévention et la détection d’infractions pénales, ou lorsque cela porterait atteinte à la sécurité publique ou à l’ordre public. L’article 18 du BayDSG établit le Landesamt en tant qu’autorité de contrôle au sens de l’article 51 du RGPD et de l’article 40 du BDSG pour les entités non publiques en Bavière.
L’article 20 du BayDSG, intitulé « Saisine des autorités de contrôle (concernant l’article 77 du RGPD) », dispose en son paragraphe 1er que toute personne peut s’adresser aux autorités de contrôle pour faire valoir que ses droits ont été violés lors du traitement de ses données à caractère personnel, et que cette saisine ne doit pas porter préjudice à la personne concernée. Son §2 constitue la disposition litigieuse : « Il n’y a pas de droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle ». L’exposé des motifs de la loi bavaroise (LT-Drucksachen 17/19628, p. 42 et suiv.) précise que ce §2 contient des dispositions relatives à la limitation des droits à la protection des données et autres droits d’accès et de consultation, adoptées dans le cadre de l’article 58, §4, du RGPD et de l’article 47, §4, de la directive 2016/680.
5. LES QUESTIONS PRÉJUDICIELLES SOUMISES À LA COUR
La juridiction de renvoi a soumis à la Cour les deux questions préjudicielles suivantes :
Première question : « L’article 15, lu en combinaison avec l’article 4, point 7, du règlement UE 2016/679, doit-il être interprété en ce sens qu’une autorité de contrôle au sens de l’article 4, point 21, dudit règlement, qui agit dans le cadre d’une procédure de réclamation au titre de l’article 77 de ce règlement introduite par une personne concernée, est en même temps responsable du traitement au sens de l’article 15, lu en combinaison avec l’article 4, point 7, de ce règlement et donc tenue d’accorder à cette personne l’accès aux données la concernant et aux informations conformément à l’article 15 du règlement ? »
Deuxième question : « En cas de réponse affirmative à la première question — le droit de l’Union, et en particulier l’article 23 du règlement UE 2016/679, doit-il être interprété en ce sens qu’il s’oppose à une disposition nationale, telle que l’article 20, §2, du Bayerisches Datenschutzgesetz, qui exclut purement et simplement un droit d’accès et de consultation des dossiers et fichiers des autorités de contrôle au sens de l’article 4, point 21, du règlement 2016/679 ? »
6. LES DONNÉES TRAITÉES DANS LE DOSSIER DE RÉCLAMATION
Les données à caractère personnel que le requérant cherche à obtenir au titre de l’article 15 du RGPD comprennent l’ensemble des informations que le Landesamt a collectées, générées, enregistrées ou traitées à son égard dans le cadre de la procédure de réclamation ouverte le 13 mai 2022. Il s’agit notamment : de l’identité et des coordonnées du réclamant telles qu’enregistrées par l’autorité ; des données relatives au contenu de la réclamation déposée ; des notes, analyses et appréciations internes élaborées par les agents du Landesamt en lien avec la réclamation ; des correspondances électroniques échangées avec le requérant ; ainsi que de toute autre information permettant d’identifier l’auteur de la réclamation et le suivi réservé à celle-ci. Ces données satisfont à la définition posée par l’article 4, point 1, du RGPD, qui entend par « données à caractère personnel » « toute information se rapportant à une personne physique identifiée ou identifiable », et leur traitement par le Landesamt dans le cadre de ses missions constitutives de réclamation relève sans équivoque du champ d’application matériel du règlement tel que défini à son article 2, §1.
POINTS ESSENTIELS
L’affaire C-5/25 Pilev — renvoi préjudiciel bulgare du Sofiyski gradski sad du 7 janvier 2025, portant sur la conformité de l’article 272, §1, du code de procédure pénale bulgare (NPK) avec la directive (UE) 2016/680 — soulève une question inédite et fondamentale :
Les juridictions pénales nationales sont-elles soumises aux obligations de protection des données de la directive 2016/680 lorsqu’elles procèdent, dans l’exercice de leur fonction juridictionnelle, à la vérification d’identité de la personne poursuivie en audience publique ?
Dans ses conclusions du 5 mars 2026 (ECLI:EU:C:2026:167), l’Avocat général Spielmann répond positivement aux deux conditions d’applicabilité — ratione personae, les juridictions pénales étant des « autorités publiques compétentes » au sens de l’article 3, §7, de la directive, et ratione materiae, la notion de « poursuites » devant être entendue de manière large et finaliste pour englober les traitements effectués par une juridiction dans le cadre d’une procédure juridictionnelle pénale — avant de conclure à l’incompatibilité de l’article 272, §1, du NPK avec les articles 4, §1, sous c), 8, §1, et 10 de la directive 2016/680, au motif que la collecte systématique, lors de l’identification de l’accusé, de données relatives au lieu de naissance, à la nationalité, au lieu de résidence, à la formation, à la situation familiale, au casier judiciaire et, surtout, au « peuple d’appartenance » — donnée révélant l’origine raciale ou ethnique de la personne poursuivie et soumise à la condition de nécessité absolue de l’article 10, que le droit bulgare lui-même prohibe de collecter dans le cadre judiciaire (art. 8, § 2, ZSV) — excède ce qui est strictement nécessaire à l’identification certaine de la personne comparaissant, laquelle peut être assurée par les seuls trois noms, date de naissance et numéro civil unique ;
Cet arrêt attendu, qui confirmerait et prolongerait la jurisprudence Inspektor v Inspektorata kam Visshia sadeben savet (C-180/21) et Comdribus (C-371/24, 19 mars 2026) sur la nécessité absolue à l’article 10 de la directive, constituerait un apport structurant pour l’ensemble des systèmes procéduraux pénaux des États membres, en imposant un test de proportionnalité rigoureux à toute collecte de données d’identification en audience et en renforçant la protection de la dignité et des droits fondamentaux des personnes poursuivies face aux pratiques de collecte systématique héritées de traditions procédurales antérieures à l’entrée en vigueur du droit européen de la protection des données.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats