CJUE | CONCLUSIONS DU 16 AVRIL 2026 | C-205/25 | BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT │
VIE PRIVÉE NUMERIQUE: VOS DONNÉES, VOTRE DOSSIER
QUAND LES GENDARMES DU RGPD SONT EUX-MÊMES RAPPELÉS À L’EXIGENCE DE TRANSPARENCE FACE AUX CITOYENS
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
1. PRÉSENTATION GÉNÉRALE
Les conclusions de l’Avocat Général Norkus et la demande de décision préjudicielle du Bayerisches Verwaltungsgericht Ansbach mobilisent un ensemble de précédents jurisprudentiels portant principalement sur : (1) la définition fonctionnelle du responsable du traitement ; (2) le statut et les obligations des autorités de contrôle ; (3) les conditions de limitation des droits des personnes concernées ; (4) l’effectivité du droit d’accès. Le tableau ci-dessous recense l’ensemble de la jurisprudence identifiée dans les sources disponibles avec les références et extraits pertinents.
L’analyse des questions préjudicielles soumises dans l’affaire C-205/25 requiert la mobilisation de plusieurs dispositions cardinales du règlement UE 2016/679. L’article 4, point 7, définit la notion de responsable du traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». L’article 4, point 21, définit l’autorité de contrôle comme « une autorité publique indépendante instituée par un État membre conformément à l’article 51 ». L’article 15, §1, consacre le droit d’accès en prévoyant que « la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données » ainsi qu’une série d’informations relatives aux caractéristiques du traitement. L’article 15, §3, dispose que « le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement ».
L’article 23, §1, du RGPD stipule que « le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du règlement correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir » l’un des objectifs limitativement énumérés. L’article 23, §2, précise les mentions minimales obligatoires que doivent contenir de telles mesures législatives de restriction. L’article 51 du RGPD instaure la mission de supervision des autorités de contrôle. L’article 52 garantit leur indépendance. L’article 57 définit leurs missions, et l’article 58, §4, prévoit que « les États membres peuvent prévoir que leur autorité de contrôle dispose de pouvoirs supplémentaires […] » et que « l’exercice de ces pouvoirs ne compromet pas l’effectivité […] » du mécanisme de cohérence. L’article 77 consacre le droit de toute personne concernée d’introduire une réclamation auprès d’une autorité de contrôle.
2. LA JURISPRUDENCE SUR LA NOTION DE RESPONSABLE DU TRAITEMENT
La Cour de justice a progressivement élargi la portée de la notion de responsable du traitement au sens de l’article 4, point 7, du RGPD pour y inclure des entités qui, tout en n’ayant pas un accès direct à l’ensemble des données traitées, exercent une influence déterminante sur la fixation des finalités et des moyens du traitement. Dans l’arrêt du 7 mars 2024, IAB Europe (C-604/22, EU:C:2024:214), la Cour a jugé qu’une organisation sectorielle qui n’avait pas elle-même accès aux données personnelles traitées par ses membres pouvait néanmoins être qualifiée de responsable conjoint du traitement dès lors qu’elle participait à la détermination des finalités et des moyens du traitement par l’élaboration d’un cadre normatif auquel ses membres adhéraient. Dans l’arrêt du 27 février 2025, Amt der Tiroler Landesregierung (C-638/23, EU:C:2025:127), la Cour a précisé que la désignation directe du responsable du traitement par le droit national était possible et que l’absence de personnalité juridique propre de l’entité désignée ne faisait pas obstacle à cette qualification dès lors que cette entité déterminait effectivement les finalités et les moyens du traitement.
Dans l’arrêt du 30 avril 2025, Inspektorat kam Visshia sadeben savet (C-313/23, EU:C:2025:303), la Cour a appliqué l’article 4, point 7, du RGPD à un organe judiciaire, confirmant que la nature institutionnelle d’une entité n’emporte pas son exclusion de la qualification de responsable du traitement, sous réserve que les conditions matérielles de la définition soient satisfaites. Cet arrêt revêt une importance particulière pour l’affaire C-205/25, dès lors qu’il établit le principe selon lequel une autorité publique — fût-elle dotée de missions de contrôle ou de supervision — peut simultanément être un responsable du traitement dans le cadre de ses opérations internes de traitement de données à caractère personnel.
3. LA JURISPRUDENCE SUR LE CHAMP D’APPLICATION DU RGPD ET LES EXCLUSIONS
L’arrêt du 16 janvier 2024, Österreichische Datenschutzbehörde (C-33/22, EU:C:2024:46), constitue un précédent direct et déterminant pour l’affaire C-205/25. La Cour y a jugé qu’une commission d’enquête instituée par le parlement d’un État membre « doit en principe respecter le règlement général sur la protection des données », écartant ainsi l’argument selon lequel les activités de contrôle ou d’investigation parlementaire relèveraient de l’exclusion prévue à l’article 2, §2, sous a), du RGPD relative aux activités qui ne relèvent pas du champ d’application du droit de l’Union. La Cour avait précisé que l’exception de l’article 2, §2, sous a), doit être interprétée de manière stricte et qu’elle ne couvre que les activités propres à la nature de l’État, à l’exclusion des activités ordinaires de traitement de données effectuées par les autorités publiques dans l’exercice de leurs fonctions courantes. L’enseignement de cet arrêt est transposable à la situation d’une autorité de contrôle de la protection des données qui traite des données personnelles dans le cadre de la gestion administrative de réclamations : cette activité de traitement relève du champ d’application ordinaire du RGPD.
4. LA JURISPRUDENCE SUR LES RESTRICTIONS AUX DROITS DES PERSONNES CONCERNÉES
L’arrêt du 26 septembre 2024, Land Hessen (C-768/21, EU:C:2024:786) a réaffirmé que les autorités de contrôle disposent d’une marge d’appréciation dans le choix des mesures correctrices à adopter en cas de violation du RGPD, mais que cette marge ne saurait aller jusqu’à priver les personnes concernées de l’accès aux voies de droit et aux protections que le règlement leur garantit. Dans l’arrêt du 9 janvier 2025, Mousse (C-394/23, EU:C:2025:2), la Cour a rappelé le principe de minimisation des données et le droit d’opposition, soulignant que le traitement de données à caractère personnel doit être limité à ce qui est strictement nécessaire aux finalités poursuivies. Le principe de proportionnalité joue ainsi un rôle central dans l’évaluation de la légitimité des restrictions apportées aux droits des personnes concernées.
La jurisprudence relative à l’article 23 du RGPD s’est progressivement consolidée autour de l’idée que les restrictions nationales aux droits des personnes concernées doivent satisfaire à des exigences cumulatives de nécessité, de proportionnalité, de légalité formelle et de contenu minimum. Dans l’arrêt du 27 février 2025, Dun & Bradstreet Austria (C-203/22, EU:C:2025:117), la Cour a précisé les conditions dans lesquelles le secret des affaires, invoqué par un responsable du traitement comme motif de restriction à l’accès prévu à l’article 15, §1, sous h), du RGPD, pouvait être légitimement opposé à la personne concernée qui cherchait à comprendre la logique sous-jacente d’une décision fondée sur un profilage automatisé. La Cour y a souligné que le droit d’accès ne peut être réduit à néant, même si certaines informations peuvent être occultées pour des raisons légitimes, et que des alternatives moins restrictives doivent être envisagées avant de procéder à une exclusion totale.
5. LA JURISPRUDENCE SUR L’INDÉPENDANCE ET LES COMPÉTENCES DES AUTORITÉS DE CONTRÔLE
La Cour a eu l’occasion de préciser l’étendue des compétences des autorités de contrôle et les limites de leur autonomie procédurale dans plusieurs arrêts récents. Dans l’arrêt du 29 janvier 2025, Data Protection Commission / Comité européen de la protection des données (T-70/23, EU:T:2025:116), le Tribunal a statué sur la compétence du Comité européen de la protection des données à donner instruction à une autorité de contrôle chef de file d’élargir le champ de son enquête, affirmant que l’autonomie procédurale des autorités nationales de contrôle s’exerce dans le cadre strict du mécanisme de cohérence prévu par le RGPD. Cette jurisprudence du Tribunal illustre la tension entre l’autonomie institutionnelle des autorités de contrôle et les obligations substantielles que le RGPD leur impose — tension que l’affaire C-205/25 porte à un niveau supplémentaire en questionnant la compatibilité entre l’indépendance procédurale que revendique le Landesamt et les droits substantiels que le RGPD garantit aux personnes concernées qui interagissent avec lui.
6. LES TEXTES NORMATIFS DU DROIT PRIMAIRE DE L’UNION
L’article 8 de la Charte des droits fondamentaux de l’Union européenne consacre le droit de toute personne à la protection des données à caractère personnel la concernant et le droit de toute personne d’accéder aux données collectées la concernant et d’en obtenir la rectification. Ce droit fondamental, qui revêt une valeur normative supérieure dans la hiérarchie des normes de l’Union, ne peut être restreint que dans le respect des conditions prévues à l’article 52, §1, de la Charte, lequel exige que toute limitation soit « prévue par la loi », « respecte le contenu essentiel » dudit droit et soit « nécessaire » et « répond[e] effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui ». L’article 47 de la Charte, relatif au droit à un recours effectif, commande en outre que les personnes dont les droits garantis par le droit de l’Union ont été violés aient accès à un tribunal effectif — ce qui implique que les restrictions au droit d’accès ne sauraient priver le requérant des éléments nécessaires à la conduite d’un recours juridictionnel efficace contre les décisions qui l’affectent directement.
7. LES AFFAIRES PARALLÈLES ET LES PERSPECTIVES COMPARATIVES
L’affaire C-205/25 s’inscrit dans un courant plus large de questionnements préjudiciels relatifs aux droits procéduraux des personnes concernées dans le cadre de procédures administratives impliquant des données personnelles. L’affaire C-185/25, Waldfelber (demande de décision préjudicielle présentée par l’Oberster Gerichtshof autrichien le 7 mars 2025), porte sur l’interprétation de l’article 15, §1, du RGPD et de la notion de données à caractère personnel au sens de l’article 4, point 1. L’affaire C-273/25, Erser (demande de décision préjudicielle présentée par le Landgericht Erfurt le 8 avril 2025), soulève des questions relatives à l’article 8 et à l’article 82 du RGPD dans le contexte des demandes de dommages et intérêts. Ces affaires convergent vers une interrogation centrale sur les droits des personnes concernées à l’information et à la transparence, dont l’affaire C-205/25 constitue un cas limite et paradigmatique, en ce qu’elle implique précisément l’entité chargée de faire respecter ces droits.
TABLEAU RÉCAPITULATIF DE LA JURISPRUDENCE
| Référence | Intitulé | Date | Extrait pertinent / Paragraphes | Pertinence pour C-205/25 |
|---|---|---|---|---|
| C-518/07 | Commission c. République fédérale d’Allemagne | 9 mars 2010 | Indépendance totale des autorités de contrôle ; incompatibilité de tout contrôle gouvernemental sur l’exercice des missions de supervision. Juge que l’indépendance des autorités de contrôle est un principe fondamental du droit de l’Union | Définit le principe d’indépendance des autorités de contrôle dont la Cour devra délimiter la portée en C-205/25 |
| C-614/10 | Commission c. République d’Autriche | 16 octobre 2012 | Précise les exigences d’indépendance des autorités de contrôle au sens de la directive 95/46/CE ; l’indépendance ne saurait être interprétée comme une exemption de tout contrôle | Complément de C-518/07 sur l’étendue de l’indépendance institutionnelle |
| C-33/22 | Österreichische Datenschutzbehörde | 16 janvier 2024 | « Une commission d’enquête parlementaire doit en principe respecter le règlement général sur la protection des données » ; l’article 2, §2, sous a), RGPD excluant les activités de sécurité nationale ne couvre pas les commissions d’enquête parlementaires | Précédent direct : une entité publique exerçant des fonctions de contrôle est soumise au RGPD en tant que responsable du traitement ; analogue à la situation d’une autorité de contrôle DPD |
| C-768/21 | Land Hessen | 26 septembre 2024 | « L’article 57, §1, sous a) et f), et l’article 58, §2, RGPD ne s’opposent pas à ce que l’autorité de contrôle dispose d’une marge d’appréciation pour décider de l’opportunité d’une mesure corrective » ; délimitation des pouvoirs des autorités de contrôle | Précise la marge d’appréciation des autorités de contrôle ; utile pour apprécier si cette marge s’étend à la gestion des données des réclamants |
| C-638/23 | Amt der Tiroler Landesregierung | 27 février 2025 | « L’article 4, point 7, RGPD doit être interprété en ce sens qu’une entité administrative auxiliaire, dépourvue de personnalité juridique, peut néanmoins être qualifiée de responsable du traitement si elle détermine les finalités et les moyens du traitement » | Renforce la définition fonctionnelle du responsable du traitement ; pertinent pour qualifier l’autorité de contrôle en tant que responsable lorsqu’elle traite des données de réclamants |
| C-313/23 | Inspektorat kam Visshia sadeben savet | 30 avril 2025 | Portant sur l’accès d’un organe judiciaire aux données relatives aux comptes bancaires de magistrats ; article 4, point 7, RGPD (notion de responsable du traitement) ; article 51 RGPD (notion d’autorité de contrôle) | Précédent immédiatement pertinent : définit les conditions dans lesquelles une entité publique est simultanément responsable du traitement et autorité de supervision |
| C-203/22 | Dun & Bradstreet Austria | 27 février 2025 | « Article 15, §1, sous h), RGPD : la personne concernée a droit à ce que lui soient communiquées les informations utiles concernant la logique sous-jacente au profilage » ; droit d’accès étendu | Définit la portée extensive du droit d’accès au titre de l’article 15 RGPD |
| C-394/23 | Mousse c. CNIL et SNCF Connect | 9 janvier 2025 | « L’article 5, §1, sous c), RGPD (minimisation des données) s’applique à la collecte de données relatives à la civilité » ; le droit d’opposition de l’article 21 RGPD est conditionnel | Précise le périmètre des droits des personnes concernées au regard du principe de minimisation |
| C-65/23 | K GmbH (MK) | 19 décembre 2024 | « L’article 88, §1 et 2, RGPD relatif au traitement de données dans le cadre des relations de travail doit respecter les articles 5, 6 et 9 RGPD » ; marge d’appréciation des parties à une convention collective | Pertinent sur le principe selon lequel les dérogations nationales au RGPD doivent respecter les dispositions fondamentales du règlement |
| C-247/23 | Deldits | 13 mars 2025 | « La rectification de données relatives à l’identité de genre ne peut être subordonnée à la preuve d’un traitement chirurgical » ; portée du droit de rectification (article 16 RGPD) ; principe d’exactitude (article 5, §1, sous d) | Précise l’effectivité des droits des personnes concernées et l’impossibilité de soumettre leur exercice à des conditions disproportionnées |
| C-33/22 | Österreichische Datenschutzbehörde | 16 janvier 2024 | « L’article 77 RGPD confère un droit direct à toute personne d’introduire une réclamation ; l’autorité de contrôle est tenue de procéder à des recherches appropriées et, le cas échéant, de rendre une décision susceptible de recours » (§ considérant clé) | Pertinent pour la définition des obligations de l’autorité de contrôle saisie d’une réclamation au titre de l’article 77 RGPD |
| C-56/21 | Vilniaus miesto savivaldybės administracija | (voir contexte fonds) | Définit les critères de qualification de responsable conjoint du traitement au sens de l’article 26, §1, RGPD | Éclaire la distinction entre responsable unique et responsable conjoint dans le contexte des entités publiques |
| C-604/22 | IAB Europe | 7 mars 2024 | « Une organisation sectorielle normative peut être qualifiée de responsable conjoint du traitement même si elle n’a pas accès elle-même aux données traitées par ses membres » ; notion de responsable du traitement fondée sur la détermination des finalités et des moyens | Renforce la définition fonctionnelle et extensive du responsable du traitement, applicable à des entités qui n’accèdent pas directement aux données |
| C-383/23 | ILVA | 13 février 2025 | « L’article 83, §§ 4 à 9, RGPD : notion d’entreprise au sens du droit de la concurrence ; calcul de l’amende sur la base du chiffre d’affaires global du groupe » | Précise les modalités de sanction en matière de RGPD ; utile pour contextualiser l’enjeu de l’effectivité des pouvoirs des autorités de contrôle |
| T-354/22 | Bindl c. Commission européenne | 8 janvier 2025 | « Le Tribunal condamne la Commission à payer des dommages et intérêts à un visiteur de son site Internet en raison du transfert de données à caractère personnel aux États-Unis » ; règlement (UE) 2018/1725 ; notion de transfert ; lien de causalité ; préjudice moral | Pertinent sur les obligations des institutions de l’Union en tant que responsables du traitement et sur la responsabilité en cas de violation ; régime comparable à celui applicable aux autorités de contrôle nationales |
| C-413/23 P | CEPD c. CRU | 6 février 2025 (concl. Avocat Général) | « La Cour précise la portée de la notion de données à caractère personnel dans le contexte d’un transfert de données pseudonymisées à des tiers » ; règlement (UE) 2018/1725 ; article 15, §1, sous d) | Pertinent sur la définition du droit d’accès dans le contexte d’institutions et organes de l’Union qui traitent des données personnelles dans l’exercice de fonctions de régulation |
| C-562/21 P | Meta Platforms Ireland (affaires jointes) | — | Mécanisme de contrôle de la cohérence (article 65 RGPD) ; notion d’acte attaquable ; notion d’affectation directe | Pertinent sur le contrôle juridictionnel des décisions des autorités de contrôle et du CEPD |
| C-319/20 | Meta Platforms Ireland c. Verbraucherzentrale Bundesverband | 28 avril 2022 | « Les associations de défense des consommateurs peuvent exercer des actions représentatives contre des atteintes à la protection des données à caractère personnel » ; article 80, §2, RGPD | Pertinent sur l’étendue des voies de recours ouvertes aux personnes concernées et aux associations en cas de violation du RGPD |
DISPOSITIONS NORMATIVES DE RÉFÉRENCE CITÉES DANS L’AFFAIRE
| Disposition | Objet |
|---|---|
| Art. 4, pt 7, RGPD | Définition du responsable du traitement |
| Art. 4, pt 21, RGPD | Définition de l’autorité de contrôle |
| Art. 5, §1, a), RGPD | Principe de transparence |
| Art. 8, §2, Charte UE | Droit d’accès aux données collectées |
| Art. 15 RGPD | Droit d’accès de la personne concernée |
| Art. 23 RGPD | Limitations aux droits des personnes concernées par mesure législative nationale |
| Art. 51 RGPD | Statut des autorités de contrôle |
| Art. 52 RGPD | Indépendance des autorités de contrôle |
| Art. 57 RGPD | Missions des autorités de contrôle |
| Art. 58 RGPD | Pouvoirs des autorités de contrôle |
| Art. 77 RGPD | Droit d’introduire une réclamation auprès d’une autorité de contrôle |
| Art. 16 TFUE | Base juridique de la protection des données en droit de l’Union |
| Art. 8, §3, Charte UE | Supervision du respect de la protection des données par une autorité indépendante |
| Art. 20, §2, BayDSG | Disposition nationale excluant tout droit d’accès aux dossiers des autorités de contrôle en Bavière |
POINTS ESSENTIELS
L’affaire C-205/25 — demande de décision préjudicielle présentée le 17 mars 2025 par le Bayerisches Verwaltungsgericht Ansbach dans le litige opposant le journaliste Joachim Lindenberg au Bayerisches Landesamt für Datenschutzaufsicht — pose à la Cour de justice une question d’une acuité institutionnelle inédite dans l’architecture du RGPD;
Une autorité de contrôle au sens de l’article 4, point 21, du règlement UE 2016/679, lorsqu’elle traite des données à caractère personnel d’un réclamant dans le cadre d’une procédure de réclamation introduite conformément à l’article 77, endosse-t-elle simultanément, à l’égard de ces mêmes données, la qualité de responsable du traitement au sens de l’article 4, point 7, et est-elle en conséquence tenue de satisfaire aux demandes d’accès présentées par la personne concernée au titre de l’article 15 — et, si tel est le cas, une disposition nationale telle que l’article 20, §2, du BayDSG, qui exclut purement et simplement tout droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle, est-elle compatible avec l’article 23 du RGPD qui subordonne toute restriction aux droits des personnes concernées à des exigences cumulatives de légalité formelle, de nécessité, de proportionnalité et de contenu minimum obligatoire comprenant des garanties compensatoires ?
La double qualité revendiquée de facto par le Landesamt — autorité de supervision et, simultanément, entité se soustrayant aux obligations substantielles qu’elle est précisément chargée de faire respecter — met en tension irréductible le principe d’effectivité des droits fondamentaux à la protection des données garanti par l’article 8 de la Charte et le droit à un recours effectif de l’article 47, avec l’autonomie procédurale des autorités de contrôle dans la gestion de leurs dossiers d’instruction ;
L’enjeu de l’arrêt dépasse le seul Land de Bavière pour concerner l’ensemble des vingt-sept autorités nationales de contrôle et le Contrôleur européen de la protection des données, en posant les fondements normatifs de leur accountability institutionnelle propre au regard du droit de l’Union, à une époque où la crédibilité de tout le système de supervision de la protection des données personnelles dépend précisément de la capacité de ces institutions à démontrer qu’elles se soumettent, dans leurs traitements internes, aux mêmes exigences de transparence, de licéité et de respect des droits des personnes concernées qu’elles imposent aux responsables du traitement et sous-traitants relevant de leur compétence.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats