CJUE | CONCLUSIONS DU 23 OCTOBRE 2025 | C-258/23 | IMAGENS MÉDICAS INTEGRADAS │
L’AVOCATE GENERALE CONSIDERE INUTILE DE SOLLICITER LE JUGE PREALABLEMENT A LA SAISINE DE VOS E-MAILS DANS LE CADRE D ‘UNE ENQUÊTE ANTITRUST: EST-CE BIEN COMPATIBLE AVEC LE RESPECT DE VOS DROITS FONDAMENTAUX ?
LE RESPECT AU DROIT À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL N’EXIGERAIT PAS L’AUTORISATION PRÉALABLE D’UNE AUTORITÉ JUDICIAIRE DANS DES ENQUÊTES SUR LA CONCURRENCE
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
PRÉSENTATION ANALYTIQUE DE LA JURISPRUDENCE MOBILISÉE
A. JURISPRUDENCE DE LA COUR DE JUSTICE DE L’UNION EUROPÉENNE
1. CJUE, C-94/00, Roquette Frères, arrêt du 22 octobre 2002, EU:C:2002:603
Cet arrêt fondateur en matière d’inspections de la Commission européenne constitue le premier précédent dans lequel la Cour a posé l’obligation, pour la Commission, d’obtenir une autorisation judiciaire nationale lorsque l’entreprise visée s’oppose à l’inspection. La Cour y a affirmé que « le juge national, lorsqu’il est saisi d’une demande d’autorisation d’inspection, doit s’assurer que les mesures coercitives envisagées ne sont pas arbitraires ou disproportionnées par rapport à l’objet de l’inspection ». L’arrêt Roquette Frères est cité dans les conclusions Avocat Général 2024 comme le précédent de référence sur le contrôle judiciaire des inspections de concurrence, l’Avocat Général soulignant toutefois que cette obligation d’autorisation judiciaire est limitée aux hypothèses de refus d’accès et ne constitue pas une exigence générale du droit de l’Union.
2. CJUE, C-606/18 P, Nexans France et Nexans/Commission, arrêt du 16 novembre 2020, EU:C:2020:913
Arrêt de première importance dans la jurisprudence sur les inspections de la Commission, Nexans a validé la saisie de données électroniques (copies de disques durs) sans exiger d’autorisation judiciaire préalable, à la condition que des garanties procédurales suffisantes soient assurées. L’Avocat Général Medina s’appuie explicitement sur cet arrêt dans ses Conclusions Avocat Général 2024 pour étayer la thèse selon laquelle « la licéité d’une saisie de données électroniques ne requiert pas, en droit de l’Union, l’autorisation préalable d’un juge », dès lors que les personnes concernées disposent d’une voie de recours effective pour contester la légalité de la saisie a posteriori.
3. CJUE, C-511/18, C-512/18 et C-520/18, La Quadrature du Net e.a., arrêt du 6 octobre 2020, EU:C:2020:791
Cet arrêt de grande chambre a précisé les conditions dans lesquelles les États membres peuvent déroger aux droits fondamentaux en matière de protection des données dans les domaines de la sécurité nationale et de la lutte contre la criminalité. La Cour y a affirmé avec force que les dérogations aux droits fondamentaux garantis par la directive 2002/58/CE et le RGPD doivent être « strictement nécessaires » et « proportionnées », et qu’elles doivent être soumises à un contrôle effectif, notamment par une autorité indépendante ou un juge. L’Avocat Général Medina cite cet arrêt dans ses Conclusions Avocat Général 2025 pour délimiter les contours du principe de proportionnalité applicable aux ingérences dans les droits fondamentaux garantis par la Charte, tout en soulignant que le contexte des enquêtes de concurrence diffère significativement du contexte de la surveillance étatique visé par l’arrêt La Quadrature du Net.
4. CJUE, C-371/24, Comdribus, arrêt du 19 mars 2026, EU:C:2026:219
Bien que rendu postérieurement aux secondes conclusions de l’Avocat Général Medina, cet arrêt est d’une pertinence directe pour l’affaire C-258/23. La Cour y a jugé que la collecte de données biométriques par une autorité de police dans le cadre d’une enquête pénale « ne peut être justifiée que par une nécessité absolue », critère plus exigeant que la simple proportionnalité. L’arrêt Comdribus soulève la question de savoir si ce critère de nécessité absolue est transposable aux inspections de concurrence impliquant la saisie de données à caractère personnel — question que la Cour devra trancher dans son arrêt C-258/23.
5. CJUE, C-470/21, La Quadrature du Net e.a. (Données personnelles et lutte contre la contrefaçon), arrêt du 30 avril 2024, EU:C:2024:370
Cet arrêt précise les conditions d’accès aux données de connexion dans le cadre de la lutte contre la contrefaçon en ligne, affirmant que « l’accès à des données à caractère personnel susceptibles de révéler des informations sensibles sur la vie privée des personnes doit, en principe, être subordonné à un contrôle préalable effectué par un tribunal ou par une autorité administrative indépendante ». Bien que rendu dans un contexte différent, cet arrêt est susceptible d’exercer une influence significative sur le raisonnement de la Cour dans l’affaire C-258/23, en faveur d’une exigence de contrôle préalable pour les saisies de données particulièrement intrusives.
6. CJUE, C-413/23, CEPD/CRU (données pseudonymisées), arrêt du 4 septembre 2025, EU:C:2025:645
Cet arrêt récent de la Cour précise la notion de données à caractère personnel dans le contexte d’un transfert de données pseudonymisées à des tiers. Il est pertinent pour l’affaire C-258/23 dans la mesure où il confirme que la pseudonymisation ne fait pas disparaître la qualification de données à caractère personnel lorsque le destinataire dispose des moyens raisonnablement susceptibles d’être utilisés pour réidentifier les personnes concernées — ce qui est le cas des autorités de concurrence disposant d’un accès complet aux données saisies.
7. CJUE, C-655/23, Quirin Privatbank, arrêt du 4 septembre 2025, EU:C:2025:655
Cet arrêt traite du droit à la cessation d’un traitement illicite et du droit à réparation du dommage moral en cas de traitement illicite de données à caractère personnel. Il est cité en complément dans les Conclusions Avocat Général 2025 pour rappeler que le traitement de données collectées de façon illicite — hypothèse qui se poserait en cas de saisie réalisée en violation des droits fondamentaux — ouvre droit à réparation au titre de l’article 82 du RGPD.
B. JURISPRUDENCE DE LA COUR EUROPÉENNE DES DROITS DE L’HOMME
8. CEDH, 16 avril 2002, Colas Est et autres c. France, Req. n° 37971/97
Arrêt de référence en matière de perquisitions dans des locaux professionnels. La Cour EDH a jugé que des visites domiciliaires et saisies réalisées sans autorisation judiciaire préalable, dans le cadre d’une enquête de concurrence conduite par le Conseil de la concurrence français, violaient l’article 8 CEDH. L’Avocat Général Medina en fait mention dans ses conclusions, tout en soulignant que la Cour de justice n’est pas liée par la jurisprudence strasbourgeoise mais doit tenir compte du niveau de protection que celle-ci assure, conformément à l’article 52, §3, de la Charte.
9. CEDH, 28 septembre 1995, Procola c. Luxembourg, et jurisprudence sur l’indépendance des autorités
L’indépendance du ministère public par rapport au pouvoir judiciaire est une question centrale dans l’affaire C-258/23, au regard de la jurisprudence de Strasbourg sur les garanties d’indépendance et d’impartialité requises des autorités chargées d’autoriser des ingérences dans les droits fondamentaux.
TABLEAU RÉCAPITULATIF
| Référence | Affaire | Date | Objet | Pertinence dans C-258/23 | § des conclusions |
|---|---|---|---|---|---|
| EU:C:2002:603 | C-94/00, Roquette Frères | 22/10/2002 | Autorisation judiciaire des inspections de la Commission — refus d’accès | Précédent fondateur sur le contrôle judiciaire des inspections ; autorisation exigée uniquement en cas de refus | Concl. Avocat Général 2024, § sur le contrôle judiciaire |
| EU:C:2020:913 | C-606/18 P, Nexans France et Nexans/Commission | 16/11/2020 | Saisie de données électroniques lors d’une inspection de la Commission | Valide la saisie de données numériques sans autorisation préalable ; contrôle a posteriori suffisant | Concl. Avocat Général 2024, § sur la licéité de la saisie |
| EU:C:2020:791 | C-511/18, C-512/18, C-520/18, La Quadrature du Net | 06/10/2020 | Dérogations aux droits fondamentaux en matière de données dans la sécurité nationale | Critères de proportionnalité et de contrôle indépendant ; contexte distinct mais principes transposables | Concl. Avocat Général 2025, § sur la proportionnalité |
| EU:C:2024:370 | C-470/21, La Quadrature du Net (contrefaçon) | 30/04/2024 | Accès aux données de connexion dans la lutte contre la contrefaçon | « Contrôle préalable en principe requis pour données révélant informations sensibles » | Concl. Avocat Général 2025, § sur l’autorisation préalable |
| EU:C:2025:645 | C-413/23, CEPD/CRU | 04/09/2025 | Données pseudonymisées — notion de données à caractère personnel | Confirme que la pseudonymisation ne fait pas disparaître la qualification de DCP | Concl. Avocat Général 2025, § sur la qualification des données saisies |
| EU:C:2025:655 | C-655/23, Quirin Privatbank | 04/09/2025 | Cessation du traitement illicite ; dommage moral art. 82 RGPD | Traitement illicite ouvre droit à réparation | Concl. Avocat Général 2025, § sur les conséquences d’une saisie illicite |
| EU:C:2026:219 | C-371/24, Comdribus | 19/03/2026 | Collecte données biométriques — nécessité absolue — Directive 2016/680 | Critère de nécessité absolue pour les ingérences dans les DCP — potentiellement transposable | Postérieur aux conclusions ; pertinent pour l’arrêt attendu |
| CEDH, Req. 37971/97 | Colas Est c. France | 16/04/2002 | Perquisition sans autorisation judiciaire dans cadre enquête concurrence — art. 8 CEDH | Violation art. 8 CEDH par absence d’autorisation préalable — prise en compte au titre art. 52 § 3 Charte | Concl. Avocat Général 2024, § sur l’articulation Charte/CEDH |
JURISPRUDENCE COMPLÉMENTAIRE PERTINENTE (NON CITÉE MAIS ÉCLAIRANTE)
| Référence | Affaire | Date | Pertinence |
|---|---|---|---|
| EU:C:2020:559 | C-311/18, Schrems II | 16/07/2020 | Exigences en matière de contrôle préalable des transferts de données — autorisation judiciaire préalable dans certains contextes de surveillance |
| EU:C:2021:1003 | C-543/14 P, Deutsche Telekom/Commission | 22/06/2021 | Saisie de données électroniques lors d’inspection Commission — confirmation Nexans |
| EU:C:2023:547 | C-807/21, Deutsche Wohnen | 05/12/2023 | Conditions d’imputabilité des violations RGPD aux personnes morales — base de licéité |
| EU:T:2025:831 | T-553/23, Latombe/Commission | 03/09/2025 | Cadre EU-USA : absence d’autorisation préalable ne viole pas les droits fondamentaux si garanties substantielles assurées |
| CEDH, Buck c. Allemagne | 28/04/2005 | Req. n° 41604/98 | Perquisition dans locaux professionnels — exigence de garanties procédurales suffisantes |
POINTS ESSENTIELS
L’affaire C-258/23 Imagens Médicas Integradas soulève, dans le cadre d’une inspection de concurrence conduite par l’Autoridade da Concorrência portugaise sur la base d’un simple mandat du ministère public, la question fondamentale de savoir si les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne — protégeant respectivement le droit au respect des communications et le droit à la protection des données à caractère personnel — imposent l’autorisation judiciaire préalable d’un juge comme condition de validité de la saisie de courriers électroniques et de documents professionnels dans le cadre d’une enquête pour infraction aux articles 101 et 102 TFUE ;
l’Avocate générale Medina, dans deux séries de conclusions successives d’une densité analytique remarquable — les premières du 20 juin 2024 (ECLI:EU:C:2024:537) portant sur l’article 7 de la Charte, les secondes du 23 octobre 2025 (ECLI:EU:C:2025:814) portant sur l’article 8 de la Charte — y répond par la négative en soutenant, dans le sillage de l’arrêt Nexans France et Nexans/Commission (C-606/18 P, EU:C:2020:913) et en dépit de la jurisprudence strasbourgeoise Colas Est c. France allant en sens contraire, que ni l’article 7 ni l’article 8 de la Charte n’imposent une telle autorisation préalable dès lors que le droit national garantit un recours juridictionnel effectif permettant aux personnes concernées de contester a posteriori la légalité de la saisie, que le périmètre de celle-ci est strictement délimité par l’objet de l’enquête et que les données ne sont exploitées qu’aux seules fins de cette dernière, l’Avocat Général ajoutant que le RGPD — applicable aux traitements de données à caractère personnel réalisés dans le cadre de l’inspection, sur le fondement des bases de licéité de l’article 6, §1, sous c) et e) — n’exige pas davantage un tel contrôle préalable, solution pragmatique mais susceptible d’être infléchie par la Cour au regard du critère de nécessité absolue dégagé dans l’arrêt Comdribus (C-371/24, EU:C:2026:219) et des exigences de cohérence entre la Charte et l’article 8 CEDH que commande l’article 52, §3, de la Charte, l’arrêt attendu étant appelé à constituer une référence normative de premier rang pour les autorités nationales de concurrence, les entreprises exposées aux inspections et l’ensemble des praticiens du droit de la concurrence et de la protection des données.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats