CJUE | CONCLUSIONS DU 16 AVRIL 2026 | C-205/25 | BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT │
VIE PRIVÉE NUMERIQUE: VOS DONNÉES, VOTRE DOSSIER
QUAND LES GENDARMES DU RGPD SONT EUX-MÊMES RAPPELÉS À L’EXIGENCE DE TRANSPARENCE FACE AUX CITOYENS
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
Affaire : C-205/25, Joachim Lindenberg c. Bayerisches Landesamt für Datenschutzaufsicht
Juridiction de renvoi : Bayerisches Verwaltungsgericht Ansbach (Allemagne), ordonnance du 19 février 2025
Enregistrement CJUE : 17 mars 2025
Conclusions AG : ECLI:EU:C:2026:312 — 16 avril 2026
Articles RGPD en jeu : art. 4 (pts 7 et 21), art. 15, art. 23, art. 77
1. Contexte et enjeu
M. Lindenberg, journaliste spécialisé en protection des données, a déposé une réclamation auprès du Landesamt (autorité de contrôle bavaroise pour le secteur privé) contre un tiers en mai 2022. Le Landesamt a instruit la réclamation et constaté des violations. M. Lindenberg a demandé, en octobre 2022, accès à ses propres données à caractère personnel figurant dans le dossier de la procédure (art. 15 RGPD). Le Landesamt a refusé, en invoquant l’article 20, paragraphe 2, du Bayerisches Datenschutzgesetz (BayDSG) : « Il n’y a pas de droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle. »
L’enjeu est structurel : l’autorité qui contrôle le respect du RGPD est-elle, elle aussi, soumise au RGPD en tant que responsable du traitement vis-à-vis des personnes dont elle traite les données dans le cadre de ses procédures de contrôle ?
2. Questions préjudicielles
Question 1 — L’article 15, combiné avec l’article 4, point 7, du RGPD, doit-il être interprété en ce sens qu’une autorité de contrôle qui traite des données à caractère personnel dans le cadre d’une procédure de réclamation (art. 77 RGPD) est en même temps responsable du traitement et donc tenue au droit d’accès de l’article 15 à l’égard du réclamant ?
Question 2 (conditionnelle) — L’article 23 du RGPD s’oppose-t-il à une disposition nationale comme l’article 20, paragraphe 2, du BayDSG, qui exclut purement et simplement tout droit d’accès aux dossiers et fichiers des autorités de contrôle ?
3. Analyse de la première question
Position du Landesamt : la qualité d’autorité de contrôle (art. 4, pt 21) et celle de responsable du traitement (art. 4, pt 7) seraient mutuellement exclusives ; les droits du réclamant sont épuisés par les articles 77 et 78 du RGPD.
Position de la juridiction de renvoi : la définition fonctionnelle du responsable du traitement (art. 4, pt 7) ne comporte aucune exclusion pour les autorités publiques, et notamment pas pour les autorités de contrôle de la protection des données. Une autorité de contrôle traite nécessairement les données du réclamant (nom, coordonnées, réclamation, échanges) dans le cadre de la procédure. L’objectif de l’article 15 RGPD — vérifier la licéité du traitement — s’applique avec une pertinence accrue quand le responsable du traitement est précisément chargé de veiller au respect du RGPD.
La Cour a par ailleurs jugé (SCHUFA Holding, C-26/22 et C-64/22, EU:C:2023:958, pts 58 ss.) que le droit de réclamation n’est pas un simple droit de pétition — infirmant ainsi l’un des fondements de l’exposé des motifs du BayDSG.
4. Analyse de la seconde question : proportionnalité et exigences formelles
Deux séries d’objections s’élèvent contre l’article 20, paragraphe 2, du BayDSG au regard de l’article 23 du RGPD.
Sur le fond : l’article 23, paragraphe 1, exige que toute limitation soit une mesure « nécessaire et proportionnée dans une société démocratique » pour atteindre un objectif légitime. Les objectifs avancés par le Landesamt (confidentialité, indépendance, bon fonctionnement) sont soit déjà couverts par d’autres dispositions du RGPD (art. 15, § 4 ; art. 54, § 2), soit non démontrés (aucun autre Land ne dispose d’une telle clause sans dysfonctionnement constaté). L’exclusion totale est disproportionnée par rapport à ces objectifs.
Sur la forme : l’article 23, paragraphe 2, du RGPD impose que les mesures législatives restrictives indiquent notamment l’étendue de la limitation (sous c)), les risques pour les droits et libertés (sous g)) et le droit à l’information de la personne concernée (sous h)). L’article 20, paragraphe 2, du BayDSG est silencieux sur tous ces points — contrairement à l’article 10 du même BayDSG, qui satisfait explicitement à ces exigences dans un contexte différent.
5. Conclusions de l’Avocat général (16 avril 2026, ECLI:EU:C:2026:312)
L’Avocat général répond affirmativement aux deux questions préjudicielles, en substance :
-
Une autorité de contrôle est un responsable du traitement au sens de l’article 4, point 7, du RGPD à l’égard des données du réclamant qu’elle traite dans le cadre de la procédure de réclamation ; elle est donc débitrice du droit d’accès de l’article 15.
-
Une exclusion nationale totale et inconditionnelle du droit d’accès aux dossiers de l’autorité de contrôle, telle que celle prévue à l’article 20, paragraphe 2, du BayDSG, ne satisfait pas aux conditions substantielles et formelles de l’article 23 du RGPD et doit être écartée en vertu du principe de primauté du droit de l’Union.
6. Perspectives procédurales et pratiques
L’affaire est pendante devant la Cour ; aucun arrêt n’a encore été rendu au 26 mai 2026. La formation de jugement n’est pas encore déterminée. Les conclusions de l’Avocat général orientent fortement le sens de l’arrêt à venir, sans le prédéterminer formellement.
Pour les autorités de contrôle : si la Cour confirme les conclusions de l’AG, toute exclusion nationale totale du droit d’accès aux dossiers de l’autorité de contrôle sera incompatible avec le RGPD. Les autorités devront réviser leurs dispositions nationales d’adaptation et mettre en place des procédures d’accès conformes à l’article 15, assorties des limitations proportionnées autorisées par l’article 23.
Pour les réclamants : le droit d’accès aux données à caractère personnel les concernant dans les dossiers des autorités de contrôle sera reconnu, sous réserve des limitations strictement nécessaires et proportionnées — notamment la protection des données des tiers (art. 15, § 4) et la confidentialité des enquêtes en cours (art. 23, § 1, d)).
Pour les États membres : un réexamen des législations nationales d’adaptation comportant des clauses d’exclusion ou de limitation analogues s’impose, en France comme dans d’autres États membres de l’Union.
POINTS ESSENTIELS
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats