CJUE | CONCLUSIONS DU 23 OCTOBRE 2025 | C-258/23 | IMAGENS MÉDICAS INTEGRADAS │
L’AVOCATE GENERALE CONSIDERE INUTILE DE SOLLICITER LE JUGE PREALABLEMENT A LA SAISINE DE VOS E-MAILS DANS LE CADRE D ‘UNE ENQUÊTE ANTITRUST: EST-CE BIEN COMPATIBLE AVEC LE RESPECT DE VOS DROITS FONDAMENTAUX ?
LE RESPECT AU DROIT À LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL N’EXIGERAIT PAS L’AUTORISATION PRÉALABLE D’UNE AUTORITÉ JUDICIAIRE DANS DES ENQUÊTES SUR LA CONCURRENCE
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
PORTÉE EN DROIT DE LA CONCURRENCE
A. LA CLARIFICATION DES POUVOIRS D’INSPECTION DES AUTORITÉS NATIONALES DE CONCURRENCE
La portée première de l’affaire C-258/23 s’inscrit dans le champ du droit de la concurrence et, plus précisément, dans celui des pouvoirs d’inspection des autorités nationales de concurrence (ANC) au sein du réseau européen de la concurrence. L’arrêt attendu de la Cour viendra préciser dans quelle mesure les ANC peuvent conduire des saisies de documents professionnels — et notamment de courriers électroniques — sans avoir à solliciter au préalable l’autorisation d’un juge.
Cette clarification revêt une importance pratique considérable. Les ANC des vingt-sept États membres opèrent dans des environnements procéduraux diversifiés : certaines sont soumises à une exigence d’autorisation judiciaire préalable (France, Allemagne notamment), d’autres bénéficient d’une autorisation du parquet suffisante (Portugal, comme en l’espèce), d’autres encore disposent de pouvoirs d’auto-autorisation. Une décision de la Cour consacrant l’absence d’exigence d’autorisation judiciaire préalable en droit de l’Union conforterait les systèmes fondés sur l’autorisation par le parquet et pourrait conduire les États membres ayant imposé une telle exigence à s’interroger sur la nécessité de la maintenir, sans pour autant les contraindre à l’abandonner.
La directive ECN+ (directive 2019/1/UE), qui harmonise les pouvoirs des ANC, demeure silencieuse sur la question de l’autorisation judiciaire préalable. L’arrêt C-258/23 remplira ainsi un vide normatif important dans l’architecture du droit européen de la concurrence, en articulant les exigences des droits fondamentaux avec les impératifs d’efficacité des enquêtes.
B. L’IMPACT SUR LES PRATIQUES D’INSPECTION À L’ÈRE NUMÉRIQUE
L’affaire C-258/23 se distingue des affaires d’inspection « classiques » en ce qu’elle porte spécifiquement sur la saisie de données numériques — courriers électroniques, fichiers informatiques — plutôt que sur des documents physiques. Cette spécificité n’est pas anodine : la saisie de données numériques est, par nature, susceptible d’affecter un volume considérable d’informations, dépassant souvent le périmètre strictement nécessaire à l’enquête. Une messagerie professionnelle contient ainsi, pêle-mêle, des échanges relatifs à l’objet de l’enquête, mais aussi des communications de nature personnelle, des données de santé, des informations confidentielles relatives à des tiers non impliqués dans l’enquête.
La portée de l’arrêt attendu s’étend donc bien au-delà du seul droit de la concurrence : il concernera l’ensemble des procédures administratives et pénales dans lesquelles des autorités publiques procèdent à des saisies de données numériques. Les principes que la Cour dégagera — notamment en matière de définition du périmètre de la saisie, de conditions d’exploitation des données et de voies de recours — auront vocation à rayonner dans l’ensemble de l’espace de liberté, de sécurité et de justice.
PORTÉE EN DROIT DE LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
A. L’ARTICULATION ENTRE LE RGPD ET LES POUVOIRS DE PUISSANCE PUBLIQUE
L’affaire C-258/23 soulève une question fondamentale d’articulation entre le RGPD — instrument de protection des droits des personnes physiques à l’égard du traitement de leurs données — et les pouvoirs de puissance publique des ANC. Le RGPD n’est pas neutre dans le contexte des enquêtes de concurrence : les données saisies sont des données à caractère personnel de personnes physiques, soumises à l’ensemble des garanties du Règlement.
L’arrêt attendu précisera les obligations qui pèsent sur les ANC lorsqu’elles saisissent et traitent des données à caractère personnel dans le cadre de leurs enquêtes : identification de la base de licéité applicable, respect du principe de minimisation, obligations d’information des personnes concernées (avec les limites que l’intérêt de l’enquête peut justifier), durée de conservation des données, mesures de sécurité. Ces questions, qui n’ont pas fait l’objet d’une jurisprudence consolidée de la Cour, appellent des réponses claires susceptibles d’orienter la pratique des ANC et des DPO des entreprises concernées.
UNE GARANTIE AUTONOME DU DROIT À LA PROTECTION DES DONNÉES ?
La position de l’Avocat Général Medina — selon laquelle l’article 8 de la Charte n’impose pas d’autorisation judiciaire préalable — est susceptible d’être confirmée ou infirmée par la Cour. Si la Cour confirme cette position, elle consacrera que le droit à la protection des données à caractère personnel ne confère pas, en lui-même, un droit à un contrôle préalable de la légalité du traitement, et qu’un contrôle a posteriori effectif suffit à satisfaire aux exigences de l’article 8 de la Charte. Cette solution aurait des répercussions significatives : elle pourrait être invoquée pour légitimer d’autres traitements de données à caractère personnel par des autorités publiques — dans le domaine fiscal, douanier, de la surveillance administrative — sans exiger d’autorisation judiciaire préalable.
À l’inverse, si la Cour s’écartait de la position de l’Avocat Général Medina pour consacrer une exigence d’autorisation judiciaire préalable — au moins dans les cas de saisie massive de données numériques — elle produirait un arrêt de portée considérable, redéfinissant les équilibres entre puissance publique et droits fondamentaux dans l’ensemble des procédures administratives d’enquête au sein de l’Union.
PORTÉE EN DROIT FONDAMENTAL
A. LA COHÉRENCE ENTRE LA CHARTE ET LA CEDH
L’affaire C-258/23 est l’occasion pour la Cour de préciser l’articulation entre l’article 7 de la Charte et l’article 8 CEDH, conformément au mandat de l’article 52, §3, de la Charte. La jurisprudence de la Cour EDH — notamment Colas Est c. France (2002), Buck c. Allemagne (2005), Société Colas Est et autres c. France — a progressivement affirmé que les perquisitions et saisies réalisées dans des locaux professionnels sans autorisation judiciaire préalable sont susceptibles de violer l’article 8 CEDH, en l’absence de garanties suffisantes. Si la Cour de justice devait s’éloigner de cette jurisprudence strasbourgeoise, elle risquerait de créer une divergence préoccupante entre la protection assurée par la Charte et celle garantie par la CEDH, que l’article 52, §3, vise précisément à prévenir.
B. L’INFLUENCE SUR LA JURISPRUDENCE RELATIVE À LA NÉCESSITÉ DES INGÉRENCES DANS LES DROITS FONDAMENTAUX
L’arrêt C-258/23 s’inscrira dans une jurisprudence en cours de consolidation sur les conditions de justification des ingérences dans les droits fondamentaux dans le contexte des enquêtes et de la surveillance. Rendu peu après l’arrêt Comdribus (C-371/24, EU:C:2026:219 du 19 mars 2026), qui a exigé la « nécessité absolue » pour justifier la collecte de données biométriques par une autorité de police, l’arrêt C-258/23 permettra à la Cour de préciser si ce critère de nécessité absolue est propre aux données biométriques ou s’il vocation à s’appliquer plus largement à toute ingérence significative dans les droits fondamentaux garantis par les articles 7 et 8 de la Charte.
PORTÉE PRATIQUE ET INSTITUTIONNELLE
A. POUR LES AUTORITÉS NATIONALES DE CONCURRENCE
L’arrêt C-258/23 constituera un guide normatif essentiel pour les ANC de l’ensemble des États membres. Il définira les garanties minimales que les régimes nationaux d’inspection doivent assurer pour être compatibles avec les droits fondamentaux de l’Union : existence d’un recours effectif, définition précise du périmètre de la saisie, obligations en matière de traitement des données saisies. Les ANC dont les régimes d’inspection sont fondés sur une autorisation du parquet — comme au Portugal — trouveront dans cet arrêt une validation ou une remise en cause de leur cadre procédural.
B. POUR LES ENTREPRISES ET LEURS CONSEILS
Pour les entreprises faisant l’objet d’inspections de concurrence, l’arrêt C-258/23 précisera les droits dont elles peuvent se prévaloir lors de la saisie de leurs données électroniques et après celle-ci : droit à l’information, droit de contester la légalité de la saisie, droit à la restitution des données non pertinentes. Ces droits revêtent une importance pratique considérable pour les équipes juridiques et les DPO des entreprises, qui doivent être en mesure d’organiser une réponse rapide et efficace en cas d’inspection.
C. POUR LES DPO ET LES PRATICIENS DE LA PROTECTION DES DONNÉES
L’affaire C-258/23 invite les DPO à anticiper les implications du RGPD dans les procédures d’inspection de concurrence. La question de la base de licéité applicable au traitement des données saisies, des obligations d’information des personnes concernées et des mesures de sécurité à mettre en place est d’une actualité immédiate pour les entreprises actives sur des marchés susceptibles de faire l’objet d’une enquête de concurrence.
CONTEXTUALISATION AU REGARD DES JURISPRUDENCES ANTÉRIEURES ET POSTÉRIEURES
Au regard des jurisprudences antérieures, l’affaire C-258/23 s’inscrit dans une évolution jurisprudentielle marquée par l’arrêt Roquette Frères (C-94/00, EU:C:2002:603), qui avait posé l’obligation d’autorisation judiciaire dans les seuls cas de refus d’accès, et par les arrêts Nexans et Deutsche Telekom/Commission qui avaient validé la saisie de données électroniques sans autorisation préalable. Elle complète également la jurisprudence La Quadrature du Net (C-511/18, C-512/18, C-520/18, EU:C:2020:791) sur les conditions de justification des ingérences dans les droits fondamentaux en matière de protection des données dans un contexte de surveillance étatique.
Au regard des jurisprudences postérieures, l’arrêt C-258/23 dialoguera nécessairement avec l’arrêt Comdribus (C-371/24, EU:C:2026:219) sur la nécessité absolue, et avec l’arrêt C-371/24 de mars 2026 sur les données biométriques. Il devra également être articulé avec la jurisprudence récente du Tribunal de l’Union dans l’affaire Latombe/Commission (T-553/23, EU:T:2025:831), qui a confirmé la légalité du cadre de transfert EU-USA dans le contexte de la surveillance des communications, affirmant que l’absence d’autorisation préalable ne suffit pas à caractériser une violation des droits fondamentaux lorsque des garanties substantielles sont assurées.
POINTS ESSENTIELS
L’affaire C-258/23 Imagens Médicas Integradas soulève, dans le cadre d’une inspection de concurrence conduite par l’Autoridade da Concorrência portugaise sur la base d’un simple mandat du ministère public, la question fondamentale de savoir si les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne — protégeant respectivement le droit au respect des communications et le droit à la protection des données à caractère personnel — imposent l’autorisation judiciaire préalable d’un juge comme condition de validité de la saisie de courriers électroniques et de documents professionnels dans le cadre d’une enquête pour infraction aux articles 101 et 102 TFUE ;
l’Avocate générale Medina, dans deux séries de conclusions successives d’une densité analytique remarquable — les premières du 20 juin 2024 (ECLI:EU:C:2024:537) portant sur l’article 7 de la Charte, les secondes du 23 octobre 2025 (ECLI:EU:C:2025:814) portant sur l’article 8 de la Charte — y répond par la négative en soutenant, dans le sillage de l’arrêt Nexans France et Nexans/Commission (C-606/18 P, EU:C:2020:913) et en dépit de la jurisprudence strasbourgeoise Colas Est c. France allant en sens contraire, que ni l’article 7 ni l’article 8 de la Charte n’imposent une telle autorisation préalable dès lors que le droit national garantit un recours juridictionnel effectif permettant aux personnes concernées de contester a posteriori la légalité de la saisie, que le périmètre de celle-ci est strictement délimité par l’objet de l’enquête et que les données ne sont exploitées qu’aux seules fins de cette dernière, l’Avocat Général ajoutant que le RGPD — applicable aux traitements de données à caractère personnel réalisés dans le cadre de l’inspection, sur le fondement des bases de licéité de l’article 6, §1, sous c) et e) — n’exige pas davantage un tel contrôle préalable, solution pragmatique mais susceptible d’être infléchie par la Cour au regard du critère de nécessité absolue dégagé dans l’arrêt Comdribus (C-371/24, EU:C:2026:219) et des exigences de cohérence entre la Charte et l’article 8 CEDH que commande l’article 52, §3, de la Charte, l’arrêt attendu étant appelé à constituer une référence normative de premier rang pour les autorités nationales de concurrence, les entreprises exposées aux inspections et l’ensemble des praticiens du droit de la concurrence et de la protection des données.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats