CJUE | CONCLUSIONS DU 16 AVRIL 2026 | C-205/25 | BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT │
VIE PRIVÉE NUMERIQUE: VOS DONNÉES, VOTRE DOSSIER
QUAND LES GENDARMES DU RGPD SONT EUX-MÊMES RAPPELÉS À L’EXIGENCE DE TRANSPARENCE FACE AUX CITOYENS
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
2. LA DÉCISION ADMINISTRATIVE DE REFUS
Par courrier électronique et décision du 20 octobre 2022, le Landesamt a rejeté la demande d’accès formulée au titre de l’article 15, paragraphes 1 et 3, du RGPD. Pour motiver ce refus, l’autorité de contrôle s’est fondée sur l’article 20, §2, du Bayerisches Datenschutzgesetz (BayDSG), dont la teneur est la suivante : « Il n’y a pas de droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle ». Cette disposition, adoptée par le législateur bavarois dans le cadre de ses compétences résiduelles en matière de procédure administrative de réclamation, opère ainsi une exclusion totale et inconditionnelle du droit d’accès garanti par le RGPD, sans qu’aucune distinction ne soit opérée quant à la nature des données en cause, à la catégorie de la personne concernée ou aux circonstances particulières de l’espèce.
3. LA PROCÉDURE DEVANT LE BAYERISCHES VERWALTUNGSGERICHT ANSBACH
Le 6 décembre 2022, par mémoire de son mandataire, le requérant a formé contre cette décision de refus un recours devant le Bayerisches Verwaltungsgericht Ansbach (tribunal administratif bavarois d’Ansbach), en demandant en premier lieu qu’il soit ordonné au Landesamt de lui fournir une copie de toutes les données du dossier de la procédure de réclamation engagée le 13 mai 2022. Prenant acte de l’évolution du litige, et notamment du fait que le Landesamt avait entre-temps, le 23 février 2024, accordé un accès électronique au dossier de la procédure de contrôle déclenchée par la réclamation — sans toutefois reconnaître une obligation légale en ce sens —, le requérant a recentré ses prétentions pour demander uniquement que soit constatée l’illégalité de la décision du Landesamt du 20 octobre 2022 rejetant sa demande d’accès. C’est dans ce contexte que le tribunal administratif bavarois d’Ansbach a estimé que la résolution du litige dépendait de l’interprétation du droit de l’Union et a décidé, par ordonnance du 19 février 2025, de saisir la Cour de justice à titre préjudiciel sur le fondement de l’article 267 TFUE.
4. LE CADRE JURIDIQUE NATIONAL APPLICABLE
Le cadre juridique national pertinent comprend, d’une part, les dispositions du Bundesdatenschutzgesetz (BDSG), dont l’article 40 attribue aux autorités de contrôle des Länder la compétence de contrôler, dans le champ d’application du RGPD, l’application des règles relatives à la protection des données auprès des entités non publiques. D’autre part, les dispositions du BayDSG — loi du Land de Bavière, applicable exclusivement sur le territoire de ce Land — régissent les modalités concrètes de l’exercice des droits des personnes concernées et de la procédure de réclamation devant le Landesamt. L’article 10 du BayDSG, relatif au droit d’accès de la personne concernée concernant l’article 15 du RGPD, prévoit notamment des hypothèses dans lesquelles la personne concernée n’est pas informée lorsque cela risquerait de compromettre le bon accomplissement de missions de prévention de menaces ou la prévention et la détection d’infractions pénales, ou lorsque cela porterait atteinte à la sécurité publique ou à l’ordre public. L’article 18 du BayDSG établit le Landesamt en tant qu’autorité de contrôle au sens de l’article 51 du RGPD et de l’article 40 du BDSG pour les entités non publiques en Bavière.
L’article 20 du BayDSG, intitulé « Saisine des autorités de contrôle (concernant l’article 77 du RGPD) », dispose en son paragraphe 1er que toute personne peut s’adresser aux autorités de contrôle pour faire valoir que ses droits ont été violés lors du traitement de ses données à caractère personnel, et que cette saisine ne doit pas porter préjudice à la personne concernée. Son §2 constitue la disposition litigieuse : « Il n’y a pas de droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle ». L’exposé des motifs de la loi bavaroise (LT-Drucksachen 17/19628, p. 42 et suiv.) précise que ce §2 contient des dispositions relatives à la limitation des droits à la protection des données et autres droits d’accès et de consultation, adoptées dans le cadre de l’article 58, §4, du RGPD et de l’article 47, §4, de la directive 2016/680.
5. LES QUESTIONS PRÉJUDICIELLES SOUMISES À LA COUR
La juridiction de renvoi a soumis à la Cour les deux questions préjudicielles suivantes :
Première question : « L’article 15, lu en combinaison avec l’article 4, point 7, du règlement UE 2016/679, doit-il être interprété en ce sens qu’une autorité de contrôle au sens de l’article 4, point 21, dudit règlement, qui agit dans le cadre d’une procédure de réclamation au titre de l’article 77 de ce règlement introduite par une personne concernée, est en même temps responsable du traitement au sens de l’article 15, lu en combinaison avec l’article 4, point 7, de ce règlement et donc tenue d’accorder à cette personne l’accès aux données la concernant et aux informations conformément à l’article 15 du règlement ? »
Deuxième question : « En cas de réponse affirmative à la première question — le droit de l’Union, et en particulier l’article 23 du règlement UE 2016/679, doit-il être interprété en ce sens qu’il s’oppose à une disposition nationale, telle que l’article 20, §2, du Bayerisches Datenschutzgesetz, qui exclut purement et simplement un droit d’accès et de consultation des dossiers et fichiers des autorités de contrôle au sens de l’article 4, point 21, du règlement 2016/679 ? »
6. LES DONNÉES TRAITÉES DANS LE DOSSIER DE RÉCLAMATION
Les données à caractère personnel que le requérant cherche à obtenir au titre de l’article 15 du RGPD comprennent l’ensemble des informations que le Landesamt a collectées, générées, enregistrées ou traitées à son égard dans le cadre de la procédure de réclamation ouverte le 13 mai 2022. Il s’agit notamment : de l’identité et des coordonnées du réclamant telles qu’enregistrées par l’autorité ; des données relatives au contenu de la réclamation déposée ; des notes, analyses et appréciations internes élaborées par les agents du Landesamt en lien avec la réclamation ; des correspondances électroniques échangées avec le requérant ; ainsi que de toute autre information permettant d’identifier l’auteur de la réclamation et le suivi réservé à celle-ci. Ces données satisfont à la définition posée par l’article 4, point 1, du RGPD, qui entend par « données à caractère personnel » « toute information se rapportant à une personne physique identifiée ou identifiable », et leur traitement par le Landesamt dans le cadre de ses missions constitutives de réclamation relève sans équivoque du champ d’application matériel du règlement tel que défini à son article 2, §1.
POINTS ESSENTIELS
L’affaire C-205/25 — demande de décision préjudicielle présentée le 17 mars 2025 par le Bayerisches Verwaltungsgericht Ansbach dans le litige opposant le journaliste Joachim Lindenberg au Bayerisches Landesamt für Datenschutzaufsicht — pose à la Cour de justice une question d’une acuité institutionnelle inédite dans l’architecture du RGPD;
Une autorité de contrôle au sens de l’article 4, point 21, du règlement UE 2016/679, lorsqu’elle traite des données à caractère personnel d’un réclamant dans le cadre d’une procédure de réclamation introduite conformément à l’article 77, endosse-t-elle simultanément, à l’égard de ces mêmes données, la qualité de responsable du traitement au sens de l’article 4, point 7, et est-elle en conséquence tenue de satisfaire aux demandes d’accès présentées par la personne concernée au titre de l’article 15 — et, si tel est le cas, une disposition nationale telle que l’article 20, §2, du BayDSG, qui exclut purement et simplement tout droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle, est-elle compatible avec l’article 23 du RGPD qui subordonne toute restriction aux droits des personnes concernées à des exigences cumulatives de légalité formelle, de nécessité, de proportionnalité et de contenu minimum obligatoire comprenant des garanties compensatoires ?
La double qualité revendiquée de facto par le Landesamt — autorité de supervision et, simultanément, entité se soustrayant aux obligations substantielles qu’elle est précisément chargée de faire respecter — met en tension irréductible le principe d’effectivité des droits fondamentaux à la protection des données garanti par l’article 8 de la Charte et le droit à un recours effectif de l’article 47, avec l’autonomie procédurale des autorités de contrôle dans la gestion de leurs dossiers d’instruction ;
L’enjeu de l’arrêt dépasse le seul Land de Bavière pour concerner l’ensemble des vingt-sept autorités nationales de contrôle et le Contrôleur européen de la protection des données, en posant les fondements normatifs de leur accountability institutionnelle propre au regard du droit de l’Union, à une époque où la crédibilité de tout le système de supervision de la protection des données personnelles dépend précisément de la capacité de ces institutions à démontrer qu’elles se soumettent, dans leurs traitements internes, aux mêmes exigences de transparence, de licéité et de respect des droits des personnes concernées qu’elles imposent aux responsables du traitement et sous-traitants relevant de leur compétence.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats