CJUE | CONCLUSIONS DU 5 MARS 2026 | C-5/25 | PILEV │
« À QUEL PEUPLE APPARTENEZ-VOUS ? » : UNE QUESTION POSÉE À LA BARRE À CHAQUE PRÉVENU EN BULGARIE. LIGNE ROUGE POUR LA CJUE !
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
2. LE MOTIF TENANT À LA DÉFINITION DU RESPONSABLE DU TRAITEMENT
La première question préjudicielle : le tribunal d’Ansbach observe que l’article 4, point 7, du RGPD définit le responsable du traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». L’autorité de contrôle, lorsqu’elle traite des données à caractère personnel dans le cadre de l’instruction d’une réclamation, détermine elle-même les finalités (instruction de la plainte, archivage, communication avec le réclamant) et les moyens (systèmes de gestion des dossiers, protocoles d’archivage, canaux de communication) de ce traitement. Partant, rien dans le texte du règlement ne semble exclure que l’autorité de contrôle soit, à ce titre, qualifiée de responsable du traitement.
Le tribunal relève cependant une tension apparente avec l’architecture institutionnelle du RGPD, qui confère aux autorités de contrôle une mission de supervision sur les responsables du traitement et les sous-traitants. La reconnaissance de la double qualité — autorité de contrôle et simultanément responsable du traitement — soulève la question de savoir si une telle construction juridique est cohérente avec les principes de séparation des fonctions et d’indépendance des autorités de contrôle garantis par l’article 52 du RGPD. Le tribunal conclut toutefois que cette tension, pour réelle qu’elle soit sur le plan institutionnel, ne suffit pas à exclure la qualification de responsable du traitement dès lors que les conditions matérielles posées par l’article 4, point 7, sont réunies.
3. LES MOTIFS RELATIFS À LA LIMITATION PRÉVUE À L’ARTICLE 20(2) DU BAYDSG
Concernant la seconde question préjudicielle, le tribunal d’Ansbach examine les fondements invoqués par le législateur bavarois pour justifier l’exclusion totale du droit d’accès aux dossiers des autorités de contrôle. L’exposé des motifs de la loi bavaroise (LT-Drucksachen 17/19628, p. 42 et suiv.) indique que cette disposition se fonde sur l’article 58, §4, du RGPD, qui autorise les États membres à arrêter des règles procédurales spécifiques, et sur l’article 47, §4, de la directive 2016/680. La juridiction de renvoi doute cependant que ces dispositions constituent une base juridique suffisante pour une exclusion absolue et inconditionnelle du droit d’accès garanti par l’article 15 du RGPD.
Le tribunal observe que l’article 23, §1, du RGPD encadre strictement les possibilités de restriction des droits des personnes concernées par voie de mesures législatives nationales. Ces restrictions doivent : respecter l’essence des libertés et droits fondamentaux ; constituer une mesure nécessaire et proportionnée dans une société démocratique ; poursuivre l’un des objectifs limitativement énumérés à l’article 23, §1, sous a) à j) — parmi lesquels figurent notamment la prévention et la détection d’infractions pénales, la protection de l’indépendance de la justice ou la protection des droits et libertés d’autrui. Par ailleurs, l’article 23, §2, du RGPD exige que les mesures législatives de restriction contiennent « des dispositions spécifiques relatives au moins, le cas échéant : a) aux finalités du traitement ou des catégories de traitement ; b) aux catégories de données à caractère personnel concernées ; […] d) aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites […] ».
4. L’INSUFFISANCE DES JUSTIFICATIONS AVANCÉES PAR LE LAND DE BAVIÈRE
Le tribunal administratif bavarois d’Ansbach relève que l’article 20, §2, du BayDSG ne satisfait pas aux exigences de l’article 23, §2, du RGPD. La disposition ne contient aucune indication quant aux finalités spécifiques poursuivies par la restriction, ne distingue pas entre les catégories de données concernées, ne prévoit pas de garanties procédurales compensatoires pour les personnes dont les droits sont ainsi restreints, et ne fixe pas de limites temporelles à l’exclusion qu’elle institue. L’exposé des motifs de la loi assimile la procédure de réclamation à une procédure parlementaire de pétition et en déduit l’absence de droit d’accès subjectif à l’intervention de l’autorité de contrôle — raisonnement que la juridiction de renvoi considère comme insuffisant pour justifier une telle restriction au regard des exigences du droit de l’Union.
La juridiction d’Ansbach note en outre que l’article 58, §4, du RGPD — sur lequel le législateur bavarois prétend notamment fonder la disposition litigieuse — habilite les États membres à arrêter des règles procédurales concernant les pouvoirs des autorités de contrôle, mais ne saurait être interprété comme autorisant une restriction générale des droits substantiels des personnes concernées au-delà du cadre strict défini à l’article 23. Cette disposition serait donc appliquée ultra vires par le législateur bavarois si elle devait servir de fondement à l’exclusion totale du droit d’accès de l’article 15 du RGPD.
5. L’ARGUMENT TIRÉ DE LA JURISPRUDENCE DE LA COUR SUR LES RESTRICTIONS AUX DROITS
Le tribunal d’Ansbach invoque également la jurisprudence de la Cour relative aux restrictions aux droits des personnes concernées, en soulignant que la Cour a systématiquement rappelé l’exigence de proportionnalité et l’obligation pour les États membres de démontrer la nécessité de chaque restriction dans une société démocratique. La réduction à néant d’un droit fondamental garanti par le RGPD et par l’article 8 de la Charte des droits fondamentaux de l’Union européenne ne saurait se concevoir sans une justification circonstanciée et sans l’établissement de garanties compensatoires adéquates. Or, l’article 20, §2, du BayDSG ne contient aucun élément de ce type : il se borne à énoncer, de manière laconique et sans nuance, l’inexistence de tout droit d’accès ou de consultation, privant ainsi intégralement la personne concernée de la protection substantielle que lui confère l’article 15 du RGPD.
6. L’ÉVOLUTION DU LITIGE ET LE MAINTIEN DE L’INTÉRÊT À AGIR
La juridiction de renvoi prend acte du fait que le Landesamt a finalement accordé au requérant, le 23 février 2024, un accès électronique au dossier de la procédure de contrôle — sans pour autant reconnaître une obligation légale en ce sens. Cette évolution ne prive pas le requérant de son intérêt à obtenir la constatation de l’illégalité de la décision initiale de refus du 20 octobre 2022, dès lors que la question du fondement juridique de ce refus conserve une portée pratique et juridique réelle. La juridiction d’Ansbach conclut que le RGPD est susceptible de s’opposer à l’article 20, §2, du BayDSG, mais qu’elle ne peut trancher cette question sans l’éclairage de la Cour de justice, compte tenu de l’absence de précédent jurisprudentiel établi sur ce point précis et de la nécessité d’une interprétation uniforme dans l’ensemble des États membres.
POINTS ESSENTIELS
L’affaire C-5/25 Pilev — renvoi préjudiciel bulgare du Sofiyski gradski sad du 7 janvier 2025, portant sur la conformité de l’article 272, §1, du code de procédure pénale bulgare (NPK) avec la directive (UE) 2016/680 — soulève une question inédite et fondamentale :
Les juridictions pénales nationales sont-elles soumises aux obligations de protection des données de la directive 2016/680 lorsqu’elles procèdent, dans l’exercice de leur fonction juridictionnelle, à la vérification d’identité de la personne poursuivie en audience publique ?
Dans ses conclusions du 5 mars 2026 (ECLI:EU:C:2026:167), l’Avocat général Spielmann répond positivement aux deux conditions d’applicabilité — ratione personae, les juridictions pénales étant des « autorités publiques compétentes » au sens de l’article 3, §7, de la directive, et ratione materiae, la notion de « poursuites » devant être entendue de manière large et finaliste pour englober les traitements effectués par une juridiction dans le cadre d’une procédure juridictionnelle pénale — avant de conclure à l’incompatibilité de l’article 272, §1, du NPK avec les articles 4, §1, sous c), 8, §1, et 10 de la directive 2016/680, au motif que la collecte systématique, lors de l’identification de l’accusé, de données relatives au lieu de naissance, à la nationalité, au lieu de résidence, à la formation, à la situation familiale, au casier judiciaire et, surtout, au « peuple d’appartenance » — donnée révélant l’origine raciale ou ethnique de la personne poursuivie et soumise à la condition de nécessité absolue de l’article 10, que le droit bulgare lui-même prohibe de collecter dans le cadre judiciaire (art. 8, § 2, ZSV) — excède ce qui est strictement nécessaire à l’identification certaine de la personne comparaissant, laquelle peut être assurée par les seuls trois noms, date de naissance et numéro civil unique ;
Cet arrêt attendu, qui confirmerait et prolongerait la jurisprudence Inspektor v Inspektorata kam Visshia sadeben savet (C-180/21) et Comdribus (C-371/24, 19 mars 2026) sur la nécessité absolue à l’article 10 de la directive, constituerait un apport structurant pour l’ensemble des systèmes procéduraux pénaux des États membres, en imposant un test de proportionnalité rigoureux à toute collecte de données d’identification en audience et en renforçant la protection de la dignité et des droits fondamentaux des personnes poursuivies face aux pratiques de collecte systématique héritées de traditions procédurales antérieures à l’entrée en vigueur du droit européen de la protection des données.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats