CJUE | CONCLUSIONS DU 5 MARS 2026 | C-5/25 | PILEV │
« À QUEL PEUPLE APPARTENEZ-VOUS ? » : UNE QUESTION POSÉE À LA BARRE À CHAQUE PRÉVENU EN BULGARIE. LIGNE ROUGE POUR LA CJUE !
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
2. LES IMPLICATIONS POUR LA VALIDITÉ DES LÉGISLATIONS NATIONALES DE RESTRICTION
La seconde question préjudicielle de l’affaire C-205/25 soulève la question de la validité de l’article 20, §2, du BayDSG. Si la Cour juge cette disposition incompatible avec l’article 23 du RGPD, l’impact ira bien au-delà du seul Land de Bavière. Des dispositions équivalentes — exluant tout ou partie du droit d’accès aux dossiers des autorités de contrôle — existent dans d’autres législations nationales de transposition ou de mise en œuvre du RGPD à travers l’Union. La décision de la Cour incitera les législateurs nationaux à réexaminer leurs dispositions procédurales relatives aux droits des personnes concernées dans le cadre des procédures de réclamation et d’investigation, pour s’assurer qu’elles satisfont aux exigences cumulatives de l’article 23 du RGPD : poursuite d’un objectif légitime, nécessité, proportionnalité, et contenu minimum obligatoire incluant des garanties compensatoires.
Cette portée normative est renforcée par le fait que l’article 23 du RGPD constitue une clause d’habilitation à géométrie variable, dont les limites n’ont pas encore été entièrement définies par la jurisprudence de la Cour. L’affaire C-205/25 offre l’opportunité à la Cour de préciser ces limites dans un contexte particulièrement sensible — celui des restrictions apportées aux droits des personnes concernées par des autorités qui sont précisément chargées de garantir l’exercice de ces mêmes droits. Une interprétation rigoureuse de l’article 23 dans ce contexte enverrait un signal fort à l’ensemble des législateurs nationaux : les restrictions aux droits fondamentaux à la protection des données ne sauraient être conçues comme des mesures d’exclusion absolue, mais doivent au contraire s’insérer dans un cadre normatif précis, proportionné et assorti de garanties effectives.
3. LE PRINCIPE DE COHÉRENCE ET L’APPLICATION TRANSVERSALE À L’ENSEMBLE DES AUTORITÉS DE L’UNION
L’une des contributions doctrinales les plus importantes que pourrait apporter l’arrêt de la Cour dans l’affaire C-205/25 est la consécration explicite du principe selon lequel les autorités de contrôle sont elles-mêmes soumises aux règles qu’elles sont chargées de faire respecter, dans la mesure où elles réalisent des opérations de traitement relevant du champ d’application du RGPD. Ce principe de cohérence — qui veut que le garant d’un droit en soit lui-même le premier sujet — est fondamental pour la crédibilité institutionnelle de l’ensemble du système de protection des données personnelles dans l’Union. Si les autorités de contrôle étaient fondées à se soustraire aux obligations du RGPD dans leurs traitements internes, au motif de leur statut institutionnel ou de l’efficacité de leur mission de supervision, cela créerait un précédent normatif particulièrement préoccupant, de nature à affaiblir la confiance des personnes concernées dans les institutions chargées de protéger leurs droits fondamentaux.
La portée de cette problématique dépasse le cadre du RGPD et rejoint des questions plus larges relative à l’accountability institutionnelle des autorités de régulation dans l’espace numérique européen. Avec le développement du règlement sur les services numériques (DSA), du règlement sur les marchés numériques (DMA) et du règlement sur l’intelligence artificielle (AI Act), l’Union crée de multiples instances de supervision dotées de pouvoirs d’enquête et de sanction. La question de savoir dans quelle mesure ces autorités sont elles-mêmes soumises aux droits substantiels qu’elles administrent se posera avec une intensité croissante. L’affaire C-205/25 constitue, à cet égard, un précédent fondateur dont les enseignements sont susceptibles d’irradier bien au-delà du seul domaine de la protection des données personnelles.
4. LA TENSION ENTRE EFFICACITÉ DE LA SUPERVISION ET DROITS PROCÉDURAUX
L’arrêt attendu devra nécessairement arbitrer entre deux impératifs légitimes et concurrents. D’un côté, les autorités de contrôle ont besoin d’une certaine confidentialité procédurale pour mener à bien leurs enquêtes de manière efficace : la divulgation prématurée d’informations relatives à une investigation en cours pourrait compromettre l’instruction, alerter les responsables du traitement mis en cause, permettre des destructions de preuves ou exposer des sources confidentielles. De l’autre, les personnes concernées par les traitements réalisés par les autorités de contrôle — en premier lieu les réclamants — ne peuvent être intégralement dépouillées de leurs droits fondamentaux au nom de l’efficacité institutionnelle.
La solution la plus équilibrée, que les enseignements de la jurisprudence de la Cour sur les restrictions au titre de l’article 23 permettent de dessiner, consisterait à reconnaître que les autorités de contrôle sont bien des responsables du traitement à l’égard des données des réclamants, tout en admettant que des restrictions limitées et ciblées au droit d’accès peuvent être justifiées — à condition que ces restrictions soient fondées sur une base légale précise, limitées dans leur portée temporelle et matérielle, accompagnées de garanties compensatoires adéquates, et soumises à un contrôle juridictionnel effectif. Cette approche correspond à la logique de l’article 23 du RGPD, qui n’interdit pas toute restriction mais en soumet la légitimité à un cadre normatif exigeant.
5. LES EFFETS EN DROIT FRANÇAIS ET SUR LES PRATIQUES DE LA CNIL
En droit français, la portée de l’affaire C-205/25 est directement tangible. La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle que modifiée pour assurer la transposition du RGPD, contient des dispositions relatives à la procédure de plainte devant la CNIL (articles 23 à 25 de la loi Informatique et Libertés). L’article 22-1 de cette loi dispose que la CNIL peut limiter certains droits des personnes concernées dans le cadre de ses procédures d’instruction. La conformité de ces dispositions avec les exigences de l’article 23 du RGPD, telles que la Cour pourrait les préciser dans son arrêt à venir dans l’affaire C-205/25, devra être vérifiée. En particulier, si l’arrêt exige que les restrictions soient assorties de garanties compensatoires explicites et d’une information aux personnes concernées sur les motifs du refus d’accès, les procédures internes de la CNIL devront être revues en conséquence.
La CNIL, dans son rôle d’autorité de contrôle chef de file pour de nombreux responsables du traitement établis en France, est également exposée aux conséquences de l’arrêt dans l’affaire C-205/25 dans le cadre du mécanisme de guichet unique. Les réclamations transnationales introduites auprès de la CNIL conformément à l’article 77 du RGPD génèrent des traitements de données concernant des réclamants de différents États membres. Si la Cour reconnaît que l’autorité de contrôle chef de file est responsable du traitement de ces données, les droits des réclamants ressortissants d’autres États membres devront être garantis dans les mêmes conditions que ceux des ressortissants français — ce qui implique une harmonisation effective des pratiques procédurales entre les vingt-sept autorités nationales de contrôle.
6. LA CONTRIBUTION À LA THÉORIE GÉNÉRALE DES DROITS D’ACCÈS DANS LE RGPD
Sur le plan doctrinal, l’affaire C-205/25 apporte une contribution substantielle à la théorie générale des droits d’accès tels que consacrés à l’article 15 du RGPD. Elle soulève en effet la question de la portée universelle du droit d’accès : ce droit peut-il être opposé à tout responsable du traitement, y compris à une autorité publique dotée d’une mission de supervision, ou bien existe-t-il des catégories d’entités institutionnelles qui, par leur nature même, échappent à l’application de ce droit fondamental ? La réponse que la Cour apportera à cette question tracera les contours définitifs du champ d’application subjectif de l’article 15 et précisera les limites des exclusions implicites que certains acteurs institutionnels ont tendance à revendiquer.
L’affaire illustre également la dialectique entre le droit d’accès en tant que droit individuel et le principe de transparence en tant que droit collectif. La transparence des traitements opérés par les autorités de contrôle dans le cadre de leurs procédures de réclamation n’intéresse pas seulement les individus directement concernés, mais aussi la collectivité dans son ensemble, dans la mesure où elle conditionne la confiance du public dans les institutions de protection des données. En reconnaissant — ou en refusant — la pleine applicabilité du droit d’accès de l’article 15 aux traitements réalisés par les autorités de contrôle, la Cour contribuera à définir les standards de gouvernance démocratique auxquels ces institutions doivent se soumettre dans l’exercice de leurs missions.
POINTS ESSENTIELS
L’affaire C-5/25 Pilev — renvoi préjudiciel bulgare du Sofiyski gradski sad du 7 janvier 2025, portant sur la conformité de l’article 272, §1, du code de procédure pénale bulgare (NPK) avec la directive (UE) 2016/680 — soulève une question inédite et fondamentale :
Les juridictions pénales nationales sont-elles soumises aux obligations de protection des données de la directive 2016/680 lorsqu’elles procèdent, dans l’exercice de leur fonction juridictionnelle, à la vérification d’identité de la personne poursuivie en audience publique ?
Dans ses conclusions du 5 mars 2026 (ECLI:EU:C:2026:167), l’Avocat général Spielmann répond positivement aux deux conditions d’applicabilité — ratione personae, les juridictions pénales étant des « autorités publiques compétentes » au sens de l’article 3, §7, de la directive, et ratione materiae, la notion de « poursuites » devant être entendue de manière large et finaliste pour englober les traitements effectués par une juridiction dans le cadre d’une procédure juridictionnelle pénale — avant de conclure à l’incompatibilité de l’article 272, §1, du NPK avec les articles 4, §1, sous c), 8, §1, et 10 de la directive 2016/680, au motif que la collecte systématique, lors de l’identification de l’accusé, de données relatives au lieu de naissance, à la nationalité, au lieu de résidence, à la formation, à la situation familiale, au casier judiciaire et, surtout, au « peuple d’appartenance » — donnée révélant l’origine raciale ou ethnique de la personne poursuivie et soumise à la condition de nécessité absolue de l’article 10, que le droit bulgare lui-même prohibe de collecter dans le cadre judiciaire (art. 8, § 2, ZSV) — excède ce qui est strictement nécessaire à l’identification certaine de la personne comparaissant, laquelle peut être assurée par les seuls trois noms, date de naissance et numéro civil unique ;
Cet arrêt attendu, qui confirmerait et prolongerait la jurisprudence Inspektor v Inspektorata kam Visshia sadeben savet (C-180/21) et Comdribus (C-371/24, 19 mars 2026) sur la nécessité absolue à l’article 10 de la directive, constituerait un apport structurant pour l’ensemble des systèmes procéduraux pénaux des États membres, en imposant un test de proportionnalité rigoureux à toute collecte de données d’identification en audience et en renforçant la protection de la dignité et des droits fondamentaux des personnes poursuivies face aux pratiques de collecte systématique héritées de traditions procédurales antérieures à l’entrée en vigueur du droit européen de la protection des données.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats