Arrêt de la Cour (première chambre) du 18 juin 2026.#Datenschutzbehörde et Dr. G S contre Bundesministerin für Justiz et D GmbH.#Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 77 et 79 – Voies de recours – Exercice parallèle – Articulation entre l’introduction d’une réclamation auprès d’une autorité nationale de contrôle et l’exercice d’un recours juridictionnel – Risque de décisions contradictoires – Principe de protection juridictionnelle effective – Autonomie procédurale des États membres – Principe d’effectivité – Principe d’équivalence.#Affaire C-414/24.

ARRÊT DE LA COUR (première chambre)

18 juin 2026 (*)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 77 et 79 – Voies de recours – Exercice parallèle – Articulation entre l’introduction d’une réclamation auprès d’une autorité nationale de contrôle et l’exercice d’un recours juridictionnel – Risque de décisions contradictoires – Principe de protection juridictionnelle effective – Autonomie procédurale des États membres – Principe d’effectivité – Principe d’équivalence »

Dans l’affaire C‑414/24,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Verwaltungsgerichtshof (Cour administrative, Autriche), par décision du 17 mai 2024, parvenue à la Cour le 13 juin 2024, dans la procédure

Datenschutzbehörde,

Dr. G S

en présence de :

Bundesministerin für Justiz,

D GmbH,

LA COUR (première chambre),

composée de M. F. Biltgen, président de chambre, M^me I. Ziemele (rapporteure), MM. A. Kumin, S. Gervasoni et M. Bošnjak, juges,

avocat général : M. J. Richard de la Tour,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

– pour la Datenschutzbehörde, par M. M. Schmidl et M^me E. Wagner,

– pour Dr. G S, par M^e S. Binder-Novak, Rechtsanwältin,

– pour D GmbH, par M^e S. Korab, Rechtsanwalt,

– pour le gouvernement autrichien, par M. A. Posch, M^mes J. Schmoll et C. Gabauer, en qualité d’agents,

– pour le gouvernement italien, par M. S. Fiorentino, en qualité d’agent, assisté de M. E. De Bonis, avvocato dello Stato,

– pour le gouvernement hongrois, par M^me Zs. Biró-Tóth ainsi que par M. M. Z. Fehér, en qualité d’agents,

– pour la Commission européenne, par M. A. Bouchagiar, M^me M. Heller et M. H. Kranenborg, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 4 septembre 2025,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation des articles 77 et 79 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2 Cette demande a été présentée dans le cadre d’un litige opposant Dr. G S à la Datenschutzbehörde (Autorité de la protection des données, Autriche) (ci-après la « DSB ») au sujet du rejet par cette autorité de la réclamation introduite par Dr. G S, sur le fondement d’une violation alléguée de son droit à la protection des données à caractère personnel la concernant, au motif que l’intéressée avait préalablement formé un recours juridictionnel ayant le même objet et demeurant pendant devant la juridiction saisie.

Le cadre juridique

Le droit de l’Union

3 Aux termes des considérants 10, 11, 129 et 141 du RGPD :

« (10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]

(11) Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel [...].

[...]

(129) Afin de veiller à faire appliquer le présent règlement et à contrôler son application de manière cohérente dans l'ensemble de l'Union, les autorités de contrôle devraient avoir, dans chaque État membre, les mêmes missions et les mêmes pouvoirs effectifs, y compris les pouvoirs d'enquête, le pouvoir d'adopter des mesures correctrices et d'infliger des sanctions, ainsi que le pouvoir d'autoriser et d'émettre des avis consultatifs, notamment en cas de réclamation introduite par des personnes physiques, et, sans préjudice des pouvoirs des autorités chargées des poursuites en vertu du droit d'un État membre, le pouvoir de porter les violations du présent règlement à l’attention des autorités judiciaires et d’ester en justice. Ces pouvoirs devraient également inclure celui d'imposer une limitation temporaire ou définitive au traitement, y compris une interdiction. Les États membres peuvent préciser d’autres missions liées à la protection des données à caractère personnel en application du présent règlement. Les pouvoirs des autorités de contrôle devraient être exercés conformément aux garanties procédurales appropriées prévues par le droit de l’Union et le droit des États membres, d’une manière impartiale et équitable et dans un délai raisonnable. Toute mesure devrait notamment être appropriée, nécessaire et proportionnée en vue de garantir le respect du présent règlement, compte tenu des circonstances de l’espèce, respecter le droit de chacun à être entendu avant que soit prise toute mesure individuelle susceptible de lui porter atteinte et éviter les coûts superflus ainsi que les désagréments excessifs pour les personnes concernées. Les pouvoirs d’enquête en ce qui concerne l’accès aux installations devraient être exercés conformément aux exigences spécifiques du droit procédural des États membres, telle que l’obligation d’obtenir une autorisation judiciaire préalable. Toute mesure juridiquement contraignante prise par l’autorité de contrôle devrait être présentée par écrit, être claire et dénuée d’ambiguïté, indiquer quelle autorité de contrôle a pris la mesure et à quelle date, porter la signature du chef ou d’un membre de l’autorité de contrôle qu’il a autorisé, exposer les motifs qui sous-tendent la mesure et mentionner le droit à un recours effectif. Cela ne devrait pas exclure des exigences supplémentaires prévues par le droit procédural des États membres. Si une décision juridiquement contraignante est adoptée, elle peut donner lieu à un contrôle juridictionnel dans l’État membre dont relève l’autorité de contrôle qui l’a adoptée.

[...]

(141) Toute personne concernée devrait avoir le droit d’introduire une réclamation auprès d’une seule autorité de contrôle, en particulier dans l’État membre où elle a sa résidence habituelle, et disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la [charte des droits fondamentaux de l’Union européenne (ci-après la “Charte”] si elle estime que les droits que lui confère le présent règlement sont violés ou si l’autorité de contrôle ne donne pas suite à sa réclamation, la refuse ou la rejette, en tout ou en partie, ou si elle n’agit pas alors qu’une action est nécessaire pour protéger les droits de la personne concernée. L’enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par le cas d’espèce. L’autorité de contrôle devrait informer la personne concernée de l’état d’avancement et de l’issue de la réclamation dans un délai raisonnable. [...] »

4 L’article 17 du RGPD, intitulé « Droit à l’effacement (“droit à l’oubli”) », prévoit, à son paragraphe 1, sous d) :

« La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

[...]

d) les données à caractère personnel ont fait l’objet d’un traitement illicite ».

5 Le chapitre VI du RGPD, intitulé « Autorités de contrôle indépendantes », comprend les articles 51 à 59 de celui-ci.

6 L’article 57 de ce chapitre, intitulé « Missions », est libellé comme suit, à son paragraphe 1, sous f) :

« Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire :

[...]

f) traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, conformément à l’article 80, examine l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ».

7 L’article 58 du RGPD, intitulé « Pouvoirs », prévoit, à son paragraphe 2 :

« Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes :

a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement ;

b) rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement ;

c) ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du présent règlement ;

d) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé ;

e) ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel ;

f) imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement ;

g) ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement en application des articles 16, 17 et 18 et la notification de ces mesures aux destinataires auxquels les données à caractère personnel ont été divulguées en application de l’article 17, paragraphe 2, et de l’article 19 ;

h) retirer une certification ou ordonner à l’organisme de certification de retirer une certification délivrée en application des articles 42 et 43, ou ordonner à l’organisme de certification de ne pas délivrer de certification si les exigences applicables à la certification ne sont pas ou plus satisfaites ;

i) imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas ;

j) ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale. »

8 Le chapitre VIII du RGPD, intitulé « Voies de recours, responsabilité et sanctions », comprend les articles 77 à 84 de celui-ci.

9 L’article 77 du RGPD, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », dispose :

« 1. Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.

2. L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78. »

10 L’article 78 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle », énonce, à ses paragraphes 1 et 2 :

« 1. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.

2. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 77. »

11 L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », prévoit :

« 1. Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement.

2. Toute action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement. Une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique. »

12 L’article 81 du RGPD, intitulé « Suspension d’une action », énonce, à ses paragraphes 2 et 3 :

« 2. Lorsqu’une action concernant le même objet a été intentée à l’égard d’un traitement effectué par le même responsable du traitement ou le même sous-traitant et est pendante devant une juridiction d’un autre État membre, toute juridiction compétente autre que la juridiction saisie en premier lieu peut suspendre son action.

3. Lorsque cette action est pendante devant des juridictions du premier degré, toute juridiction autre que la juridiction saisie en premier lieu peut également se dessaisir, à la demande de l’une des parties, à condition que la juridiction saisie en premier lieu soit compétente pour connaître des actions en question et que le droit applicable permette leur jonction. »

Le droit autrichien

13 L’article 94, paragraphe 1, du Bundes-Verfassungsgesetz (loi constitutionnelle fédérale), republiée le 2 janvier 1930 (BGBl. 1/1930), dans sa version applicable aux faits du litige au principal, dispose :

« La justice est indépendante de l’administration dans toutes les instances.

[...] »

14 L’article 24 du Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG) [loi fédérale relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (loi relative à la protection des données - DSG)], du 17 août 1999 (BGBl. I, 165/1999), dans sa version applicable aux faits du litige au principal, intitulé « Réclamations adressées à l’autorité de protection des données », énonce, à ses paragraphes 1 et 4 :

« (1) Toute personne concernée a le droit d’introduire une réclamation auprès de l’autorité de protection des données si elle estime que le traitement des données à caractère personnel la concernant constitue une violation du RGPD ou de l’article 1^er ou de l’article 2, première partie principale.

[...]

(4) Le droit au traitement d’une réclamation s’éteint si l’auteur de la réclamation ne l’introduit pas dans un délai d’un an à compter du jour où il a eu connaissance de l’événement qui lui fait grief et, en tout état de cause, dans un délai maximal de trois ans à compter du jour où l’événement s’est prétendument produit. Les réclamations tardives sont rejetées. [...] »

Le litige au principal et les questions préjudicielles

15 Le 3 juillet 2017, Dr. G S, médecin, a soumis à la société D, exploitant une plateforme de recherche de médecins permettant à des tiers de fournir des évaluations et des témoignages sur des médecins, une demande tendant à l’effacement de certaines données à caractère personnel la concernant, en se fondant sur la situation juridique antérieure à l’entrée en vigueur du RGPD. Le 10 juillet 2017, la société D a rejeté cette demande d’effacement.

16 À la suite de ce refus, Dr. G S a introduit un recours, au mois de novembre 2017, devant une juridiction civile contre cette société, en invoquant, notamment, une violation du droit à la protection des données à caractère personnel et en sollicitant l’effacement des données publiées la concernant. Elle a, en outre, demandé qu’il soit enjoint à cette société de s’abstenir de tout traitement ultérieur de ces données.

17 Le 22 juin 2018, à la suite de l’entrée en vigueur du RGPD, Dr. G S a de nouveau saisi la société D d’une demande tendant à obtenir l’effacement des données à caractère personnel la concernant qui ont été publiées sur la plateforme exploitée par celle-ci. Cette demande a également été rejetée par lettre du 6 juillet 2018.

18 Dans ces conditions, le 26 juillet 2018, Dr. G S a introduit une réclamation au titre de l’article 77, paragraphe 1, du RGPD auprès de la DSB, en se fondant, notamment, sur l’article 17 de ce règlement, qui consacre le droit à l’effacement. Par cette réclamation, elle demandait à la DSB de constater une violation de son droit à la protection des données à caractère personnel, d’enjoindre à la société D de supprimer l’ensemble des données à caractère personnel la concernant figurant sur sa plateforme et de s’abstenir de tout traitement ultérieur de celles-ci.

19 Par décision du 4 janvier 2019, la DSB a rejeté cette réclamation au motif que celle-ci et l’action civile introduite en novembre 2017, telle que mentionnée au point 16 du présent arrêt, avaient le même objet, à savoir l’effacement des données à caractère personnel concernant Dr. G S, telles que publiées sur ladite plateforme.

20 À cet égard, la DSB a considéré que la conduite parallèle ou successive d’une procédure devant une autorité de contrôle et d’une procédure juridictionnelle serait, d’un point de vue systématique, contraire au mécanisme de protection juridique instauré par le RGPD. Selon elle, dans une telle situation, l’autorité de contrôle devrait se prononcer sur la même question que celle soumise à la juridiction civile. Or, l’exercice concomitant du droit d’introduire une réclamation auprès de l’autorité de contrôle et du droit d’exercer un recours juridictionnel ayant le même objet ne saurait être admis.

21 Dr. G S a contesté la décision de la DSB du 4 janvier 2019 devant le Bundesverwaltungsgericht (tribunal administratif fédéral, Autriche), lequel a, par jugement du 4 décembre 2020, rejeté son recours à un moment où le jugement rendu par la juridiction civile le 23 juillet 2020, rejetant la demande de Dr. G S, n’avait pas encore acquis un caractère définitif.

22 À cet égard, le Bundesverwaltungsgericht (tribunal administratif fédéral) a estimé que le RGPD avait délibérément instauré un double système de protection juridique. Il a rappelé que, ce règlement étant directement applicable, les dispositions nationales contraires devaient être laissées inappliquées. Dès lors, la réclamation introduite par Dr. G S au titre de l’article 77, paragraphe 1, dudit règlement ne pouvait être rejetée pour les motifs retenus par la DSB, de sorte qu’il convenait, au contraire, de confirmer la compétence de principe de cette autorité de contrôle pour statuer sur cette réclamation.

23 Dans ce contexte, cette juridiction a toutefois considéré cette réclamation comme étant tardive en ce qu’elle n’aurait pas respecté le délai de forclusion d’un an prévu à l’article 24, paragraphe 4, de la loi relative à la protection des données, dans sa version applicable aux faits du litige au principal. Dès lors que l’introduction tardive d’une réclamation au titre de l’article 77, paragraphe 1, du RGPD emporte également le rejet de celle-ci, ce serait à juste titre que la réclamation de Dr. G S a été rejetée.

24 Par la suite, tant Dr. G S, après que le Verfassungsgerichtshof (Cour constitutionnelle, Autriche) a refusé d’examiner son recours, que la DSB ont formé un recours en Revision contre le jugement du Bundesverwaltungsgericht (tribunal administratif fédéral) devant le Verwaltungsgerichtshof (Cour administrative, Autriche), qui est la juridiction de renvoi.

25 Cette juridiction ne partage pas l’appréciation du Bundesverwaltungsgericht (tribunal administratif fédéral) selon laquelle la réclamation de Dr. G S serait tardive. Elle entend néanmoins examiner si le rejet de cette réclamation ne pouvait pas être légalement fondé sur d’autres motifs. Après avoir rappelé la jurisprudence issue des arrêts du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2),et du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, EU:C:2023:958), cette juridiction s’interroge, notamment, sur le motif avancé par la DSB, tiré de l’existence d’un recours juridictionnel pendant ayant le même objet que ladite réclamation. À cet égard, elle relève que l’article 94, paragraphe 1, de la loi constitutionnelle fédérale, dans sa version applicable aux faits du litige au principal, dispose que la justice est indépendante de l’administration dans toutes les instances. Selon les indications fournies par la juridiction de renvoi, cette disposition consacre un principe de séparation entre la justice et l’administration, impliquant qu’une affaire doit être attribuée, dans son intégralité, soit aux juridictions, soit aux autorités administratives aux fins de son traitement. Ladite disposition s’opposerait, dès lors, à ce que des juridictions et des autorités administratives statuent concurremment ou successivement sur un même litige.

26 Dans ce contexte, cette juridiction nourrit des doutes quant à la question de savoir si une réclamation introduite auprès de l’autorité de contrôle au titre de l’article 77, paragraphe 1, du RGPD peut être rejetée au motif qu’un recours juridictionnel effectif, au sens de l’article 79 de ce règlement et ayant le même objet, a été introduit antérieurement et que la procédure y afférente est toujours pendante devant la juridiction saisie.

27 À cet égard, afin d’éviter l’existence de décisions contradictoires, la juridiction de renvoi tend à considérer que, en s’inspirant du mécanisme prévu à l’article 81, paragraphes 2 et 3, du RGPD, il pourrait être envisagé d’admettre que, lorsqu’un litige est pendant devant les juridictions civiles et les autorités administratives, l’organe saisi en second lieu soit tenu, en raison du principe d’antériorité, de rejeter la demande de l’intéressé.

28 Toutefois, elle ajoute que, en cas de rejet d’une réclamation introduite au titre de l’article 77, paragraphe 1, du RGPD au seul motif qu’un recours juridictionnel est pendant, il n’existe pas encore de décision rendue au fond à l’égard de la violation alléguée de la protection des données à caractère personnel au moment de ce rejet, de sorte que le risque de décisions contradictoires n’est pas encore caractérisé.

29 Sur la base de ce qui précède se pose la question de savoir s’il convient de distinguer l’hypothèse où un recours juridictionnel est pendant de celle où une décision au fond a déjà été rendue, même si elle n’est pas encore définitive.

30 Dans ces conditions, le Verwaltungsgerichtshof (Cour administrative) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) Les articles 77 et 79 du [RGPD, lus] à la lumière des constatations de la Cour dans ses arrêts du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2), et du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, EU:C:2023:958), doivent-ils être interprétés en ce sens que la possibilité, prévue en droit interne, de rejeter une réclamation introduite auprès d’une autorité de contrôle au titre de l’article 77 [de ce règlement], au motif qu’un recours juridictionnel au titre de l’article 79 dudit [règlement] a déjà été formé antérieurement dans la même affaire et que ce recours est pendant devant la juridiction en question, constitue une modalité admissible [d]’articulation de ces voies de recours (au sens de la jurisprudence susmentionnée de la Cour) ?

2) En cas de réponse négative à la première question, [les articles 77 et 79 du RGPD, lus à la lumière des constatations de la Cour dans ses arrêts du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2), et du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, EU:C:2023:958), doivent-ils être interprétés] en ce sens que la possibilité, prévue en droit interne, de rejeter une réclamation introduite auprès d’une autorité de contrôle au titre de l’article 77 du RGPD, au motif qu’une décision au fond a déjà été rendue (même si elle n’est pas encore définitive) dans la procédure concernant le recours juridictionnel [formé] au titre de l’article 79 [de ce règlement][...]dans le cadre de la même affaire, constitue une modalité admissible [d]’articulation de ces voies de recours (au sens de la jurisprudence susmentionnée de la Cour) ? »

Sur les questions préjudicielles

31 Par ses deux questions, qu’il convient d’examiner ensemble, la juridiction de renvoi demande, en substance, si l’article 77, paragraphe 1, et l’article 79, paragraphe 1, du RGPD doivent être interprétés en ce sens qu’ils s’opposent à ce qu’une autorité de contrôle, saisie d’une réclamation au titre de cet article 77, paragraphe 1, puisse rejeter celle-ci au seul motif qu’un recours juridictionnel, introduit conformément à cet article 79, paragraphe 1, et ayant le même objet, a été formé antérieurement et alors même que la décision rendue dans le cadre de ce recours n’a pas encore acquis un caractère définitif.

32 À titre liminaire, il convient de rappeler que, conformément à une jurisprudence constante, afin d’interpréter une disposition du droit de l’Union, il convient de tenir compte non seulement des termes de celle-ci, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie (arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 32).

33 En premier lieu, il importe de relever que les articles 77 et 79 du RGPD relèvent du chapitre VIII de ce règlement, lequel régit, notamment, les voies de recours permettant de protéger les droits de la personne concernée lorsque les données à caractère personnel la concernant ont fait l’objet d’un traitement prétendument contraire aux dispositions dudit règlement. La protection de ces droits peut ainsi être réclamée, notamment, directement par la personne concernée, en application des articles 77 à 79 du même règlement (voir, en ce sens, arrêt du 4 octobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, point 47 et jurisprudence citée).

34 À cet égard, en ce qui concerne le libellé de ces articles 77 à 79, il y a lieu de rappeler, tout d’abord, que l’article 77, paragraphe 1, du RGPD prévoit que, sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle. Ensuite, aux termes de l’article 78, paragraphe 1, de ce règlement, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne, sans préjudice de tout autre recours administratif ou extrajudiciaire. Enfin, l’article 79, paragraphe 1, dudit règlement garantit à chaque personne concernée le droit à un recours juridictionnel effectif, sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, paragraphe 1, du même règlement (arrêt du 4 octobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, point 48 et jurisprudence citée).

35 La Cour a déjà jugé que ces dispositions du RGPD offrent différentes voies de recours aux personnes invoquant une violation de ce règlement, étant entendu que chacune de ces voies de recours doit pouvoir être exercée « sans préjudice » des autres (arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 34).

36 Il en résulte, ainsi que M. l’avocat général l’a relevé au point 46 de ses conclusions, que le RGPD ne prévoit pas de compétence prioritaire ou exclusive ni n’instaure une quelconque règle de primauté de l’appréciation effectuée par l’autorité ou par les juridictions qui y sont visées quant à l’existence d’une violation des droits conférés par ce règlement. En effet, la Cour a déjà jugé que le recours prévu à l’article 78, paragraphe 1, de ce dernier, dont l’objet est l’examen de la légalité de la décision d’une autorité de contrôle adoptée sur le fondement de l’article 77 dudit règlement, et celui prévu à l’article 79, paragraphe 1, du même règlement peuvent également être exercés de manière concurrente et indépendante (voir, en ce sens, arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 35).

37 En deuxième lieu, en ce qui concerne le contexte dans lequel s’inscrivent lesdites dispositions du RGPD, il convient de rappeler que, en vertu de l’article 57, paragraphe 1, sous f), de ce règlement, chaque autorité de contrôle est tenue, sur son territoire, de traiter les réclamations que toute personne, conformément à l’article 77, paragraphe 1, dudit règlement, est en droit d’introduire lorsqu’elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation du même règlement, d’en examiner l’objet, dans la mesure nécessaire, et d’informer l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable. L’autorité de contrôle doit procéder ainsi au traitement d’une telle réclamation avec toute la diligence requise [arrêt du 26 septembre 2024, Land Hessen (Obligation d’agir de l’autorité de protection des données), C‑768/21, EU:C:2024:785, point 32 et jurisprudence citée]. Ainsi que le confirme le considérant 129 du RGPD, cette autorité joue ainsi un rôle indispensable dans le système de protection des données à caractère personnel, contribuant à l’application cohérente du règlement en cause au sein des États membres.

38 En troisième lieu, cette interprétation contextuelle est corroborée par les objectifs poursuivis par le RGPD. À cet égard, il y a lieu de relever que le choix du législateur de l’Union d’accorder aux personnes concernées par le traitement de données à caractère personnel la possibilité d’exercer simultanément et de manière indépendante les voies de recours prévues à l’article 77, paragraphe 1, et à l’article 79, paragraphe 1, de ce règlement est conforme à l’objectif poursuivi par ledit règlement, consistant, ainsi que cela ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel dans l’Union. Le considérant 11 du même règlement énonce, en outre, qu’une protection effective de ces données exige de renforcer les droits des personnes concernées.

39 La Cour a déjà jugé que la mise à disposition de plusieurs voies de recours renforce l’objectif énoncé au considérant 141 du RGPD de garantir à toute personne concernée estimant que les droits que lui confère ce règlement sont violés de disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte (arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 44).

40 La Cour a également souligné que le choix fait par le législateur de l’Union de laisser aux personnes concernées la possibilité d’exercer de façon concurrente et indépendante les voies de recours prévues, d’une part, à l’article 77, paragraphe 1, et à l’article 78, paragraphe 1, du RGPD et, d’autre part, à l’article 79, paragraphe 1, de ce règlement s’inscrit dans l’objectif dudit règlement (voir, en ce sens, arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 42).

41 Cela étant, en l’absence de réglementation de l’Union en la matière, il incombe à chaque État membre, en vertu du principe d’autonomie procédurale des États membres, de régler les modalités des procédures administrative et juridictionnelle destinées à assurer un niveau élevé de sauvegarde des droits que les justiciables tirent du droit de l’Union (arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 45).

42 Partant, c’est sur le fondement des dispositions procédurales nationales qu’il appartient à la juridiction de renvoi de déterminer la manière dont les voies de recours prévues aux articles 77 à 79 du RGPD doivent être mises en œuvre (voir, en ce sens, arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 46).

43 En particulier, les modalités de mise en œuvre des voies de recours concurrentes et indépendantes ne doivent pas remettre en cause l’effet utile et la protection effective des droits garantis par ce règlement (arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 47).

44 À cet égard, ces modalités ne doivent pas être moins favorables que celles concernant des recours similaires prévus pour la protection des droits tirés de l’ordre juridique interne (principe d’équivalence) ni rendre en pratique impossible ou excessivement difficile l’exercice des droits conférés par l’ordre juridique de l’Union (principe d’effectivité) (arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 48).

45 Dans ce contexte, la Cour a souligné que, lorsque les États membres définissent les modalités procédurales des recours en justice destinés à assurer la sauvegarde des droits conférés par le RGPD, ils doivent garantir le respect du droit à un recours effectif et à accéder à un tribunal impartial, consacré à l’article 47 de la Charte, qui constitue une réaffirmation du principe de protection juridictionnelle effective (arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 50).

46 En l’occurrence, il ressort de la demande de décision préjudicielle que le système de voies de recours prévu par le droit autrichien s’oppose à ce que des juridictions et des autorités administratives statuent parallèlement ou successivement sur un même litige. Dans ce contexte, la question se pose de savoir si une réclamation introduite auprès de l’autorité de contrôle au titre de l’article 77, paragraphe 1, du RGPD peut être rejetée au seul motif qu’un recours juridictionnel, fondé sur l’article 79 de ce règlement et ayant le même objet, a été introduit antérieurement et que la procédure y afférente est toujours pendante.

47 Selon la juridiction de renvoi, une telle articulation des voies de recours contribuerait à éviter l’adoption de décisions contradictoires à l’égard d’une même demande. Toutefois, elle souligne que, lorsque la DSB rejette une réclamation introduite au titre de l’article 77, paragraphe 1, du RGPD au motif qu’un recours juridictionnel formé conformément à l’article 79, paragraphe 1, de ce règlement est pendant devant la juridiction saisie, cette autorité ne saurait être assurée qu’une décision au fond sera effectivement rendue dans le cadre de ce recours. Tel serait notamment le cas si ce recours était rejeté comme étant irrecevable, sans qu’il soit statué sur le fond.

48 À cet égard, il convient de rappeler que, ainsi qu’il est mentionné au point 37 du présent arrêt, en vertu de l’article 57, paragraphe 1, sous f), du RGPD, chaque autorité de contrôle est tenue, sur son territoire, de traiter les réclamations que toute personne, conformément à l’article 77, paragraphe 1, de ce règlement, est en droit d’introduire lorsqu’elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation dudit règlement, et d’en examiner l’objet dans la mesure nécessaire. L’autorité de contrôle doit procéder au traitement d’une telle réclamation avec toute la diligence requise [arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:958, point 56 ainsi que jurisprudence citée].

49 Dans le cadre de ce traitement, cette autorité dispose, s’agissant des mesures correctrices énumérées à l’article 58, paragraphe 2, du RGPD, d’une marge d’appréciation quant au choix des moyens appropriés et nécessaires [arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:958, point 68 ainsi que jurisprudence citée].

50 À cet égard, la Cour a jugé que la procédure de réclamation, qui ne s’apparente pas à celle d’une pétition, est conçue comme un mécanisme apte à sauvegarder de manière efficace les droits et les intérêts des personnes concernées [arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:958, point 58].

51 En effet, l’autorité de contrôle est tenue d’intervenir lorsque l’adoption de l’une ou de plusieurs des mesures correctrices prévues à l’article 58, paragraphe 2, du RGPD est appropriée, nécessaire et proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement (voir, en ce sens, arrêt du 30 avril 2025, Inspektorat kam Visshia sadeben savet, C‑313/23, C‑316/23 et C‑332/23, EU:C:2025:303, point 132).

52 Certes, cette obligation d’intervenir requiert que, lorsque l’autorité de contrôle est saisie d’une réclamation au titre de l’article 77, paragraphe 1, du RGPD et qu’elle est informée de l’existence d’une procédure juridictionnelle introduite sur le fondement de l’article 79, paragraphe 1, de ce règlement et ayant le même objet, elle tienne dûment compte, dans le cadre de l’examen de cette réclamation, de la décision qui clôturera définitivement cette procédure.

53 Toutefois, il serait contraire à cette même obligation de priver une personne concernée par le traitement de données à caractère personnel du bénéfice d’un tel mécanisme de protection en permettant à l’autorité de contrôle de rejeter sa réclamation au seul motif qu’un recours juridictionnel, introduit conformément à l’article 79, paragraphe 1, du RGPD et ayant le même objet, a été formé antérieurement et alors même que la décision rendue dans le cadre de ce recours n’a pas encore acquis un caractère définitif.

54 Dans ce contexte, en ce qui concerne le risque que des décisions contradictoires soient adoptées à l’égard d’un même traitement de données à caractère personnel au sein d’un même État membre, ainsi que M. l’avocat général l’a relevé, en substance, aux points 55 et 56 de ses conclusions, cet État membre pourrait, dans une situation telle que celle du litige au principal, envisager, par exemple, la mise en place d’un mécanisme de suspension en vertu duquel l’autorité de contrôle, saisie d’une réclamation au titre de l’article 77, paragraphe 1, du RGPD, aurait la faculté ou serait tenue de suspendre la procédure pendante devant elle lorsqu’un recours juridictionnel, exercé conformément à l’article 79, paragraphe 1, de ce règlement et ayant le même objet, a été introduit antérieurement. Une telle suspension pourrait être maintenue jusqu’au prononcé d’un premier jugement rendu dans le cadre de ce recours et, le cas échéant, en cas de recours formé contre ce jugement, jusqu’à ce qu’une décision de justice mette définitivement fin au litige concerné.

55 À cet égard, il convient de relever que l’éventuelle suspension de l’examen d’une réclamation introduite au titre de l’article 77, paragraphe 1, dudit règlement auprès de l’autorité de contrôle dans l’attente d’une décision juridictionnelle apparaît conforme tant à l’exigence de garantir le droit à un recours juridictionnel effectif qu’à celle de protéger effectivement les droits garantis par le RGPD et d’éviter l’adoption de décisions contradictoires susceptibles de porter atteinte à la sécurité juridique.

56 En revanche, lorsque l’autorité de contrôle rejette une réclamation au seul motif qu’un recours juridictionnel introduit sur le fondement de l’article 79, paragraphe 1, de ce règlement est pendant, d’une part, ainsi qu’il est mentionné au point 47 du présent arrêt, cette autorité ne saurait avoir la certitude qu’une décision au fond sera effectivement rendue dans le cadre de ce recours juridictionnel. D’autre part, l’introduction d’une nouvelle réclamation peut s’avérer impossible dans l’hypothèse où le droit national subordonne celle-ci au respect d’un délai de recevabilité, comme c’est le cas en l’occurrence, et que ce délai est déjà écoulé. Dès lors, il ne saurait être exclu que la personne concernée par le traitement de données à caractère personnel se trouve privée de toute protection effective lorsque son recours juridictionnel est rejeté pour un motif procédural sans qu’il soit statué sur le fond ou si elle souhaite se désister de son recours juridictionnel.

57 Partant, ainsi que M. l’avocat général l’a relevé, en substance, au point 57 de ses conclusions, le rejet d’une réclamation introduite auprès de l’autorité de contrôle dans une situation telle que celle du litige au principal serait contraire au principe d’effectivité, dès lors que cette modalité d’articulation des voies de recours est susceptible de compromettre la protection effective des droits garantis par le RGPD.

58 Il s’ensuit qu’il appartient à la juridiction de renvoi de vérifier si les dispositions du droit national en cause dans le litige au principal sont de nature à assurer la protection effective des droits garantis par le RGPD, en particulier en ce qui concerne l’articulation des voies de recours concurrentes et indépendantes ouvertes aux personnes concernées par le traitement de données à caractère personnel.

59 Eu égard à l’ensemble des considérations qui précèdent, il convient de répondre aux première et deuxième questions que l’article 77, paragraphe 1, et l’article 79, paragraphe 1, du RGPD doivent être interprétés en ce sens qu’ils s’opposent à ce qu’une autorité de contrôle, saisie d’une réclamation au titre de cet article 77, paragraphe 1, puisse rejeter celle-ci au seul motif qu’un recours juridictionnel, introduit conformément à cet article 79, paragraphe 1, et ayant le même objet, a été formé antérieurement et alors même que la décision rendue dans le cadre de ce recours n’a pas encore acquis un caractère définitif.

Sur les dépens

60 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (première chambre) dit pour droit :

L’article 77, paragraphe 1, et l’article 79, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que :

ils s’opposent à ce qu’une autorité de contrôle, saisie d’une réclamation au titre de cet article 77, paragraphe 1, puisse rejeter celle-ci au seul motif qu’un recours juridictionnel, introduit conformément à cet article 79, paragraphe 1, et ayant le même objet, a été formé antérieurement et alors même que la décision rendue dans le cadre de ce recours n’a pas encore acquis un caractère définitif.

Signatures

* Langue de procédure : l’allemand.