| CELEX | 62025CC0205 |
| Type | Arrêt CJUE |
| Date | jeudi 16 avril 2026 |
Édition provisoire
CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. RIMVYDAS NORKUS
présentées le 16 avril 2026 (1)
Affaire C‑205/25
Joachim Lindenberg
contre
Bayerisches Landesamt für Datenschutzaufsicht
[demande de décision préjudicielle formée par le Bayerisches Verwaltungsgericht Ansbach (tribunal administratif bavarois d’Ansbach, Allemagne)]
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 15 – Demande d’accès de la personne concernée à ses données à caractère personnel – Article 77 – Données contenues dans le dossier d’une autorité de contrôle intervenant dans le cadre d’une procédure de réclamation – Article 4, point 7 – Notion de “responsable du traitement” – Article 23 – Limitations au droit d’accès – Réglementation nationale excluant tout accès au dossier »
I. Introduction
1. La présente demande de décision préjudicielle introduite par le Bayerisches Verwaltungsgericht Ansbach (tribunal administratif bavarois d’Ansbach, Allemagne) au titre de l’article 267 TFUE a pour objet l’interprétation de l’article 4, points 7 et 21, et des articles 15, 23 et 77 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (2) (ci-après le « RGPD »).
2. Cette demande de décision préjudicielle s’inscrit dans le cadre d’un litige opposant M. Joachim Lindenberg, journaliste spécialisé dans la protection des données, au Bayerisches Landesamt für Datenschutzaufsicht (Autorité bavaroise de contrôle de la protection des données, Allemagne) (ci-après le « Landesamt »), concernant le refus de cette autorité de lui accorder, sur le fondement de l’article 15 du RGPD, un accès complet à son dossier dans le cadre d’une procédure engagée à la suite d’une réclamation qu’il avait introduite contre un tiers. Le Landesamt a motivé ce refus par une disposition bavaroise excluant l’accès du public aux dossiers des autorités de contrôle. À la suite du recours introduit par M. Lindenberg, cette autorité a finalement accordé un accès électronique au dossier, sans toutefois reconnaître d’erreur juridique, tandis que le requérant persiste à demander la constatation de l’illégalité du refus initial. Estimant que la solution du litige suppose une interprétation des dispositions pertinentes du RGPD ainsi qu’un examen de la conformité de la législation bavaroise au droit de l’Union, la juridiction de renvoi a décidé de surseoir à statuer et de saisir la Cour de deux questions préjudicielles.
3. La Cour est appelée à se prononcer sur la question de savoir si une autorité de contrôle en matière de protection des données, dans le cadre d’une procédure de réclamation introduite en vertu de l’article 77 du RGPD, peut être qualifiée de « responsable du traitement » au sens de l’article 4, point 7, du RGPD, et dans quelle mesure elle est tenue de se conformer aux obligations d’accès prévues à l’article 15 du RGPD. Elle est notamment invitée à examiner si le droit de l’Union s’oppose à une réglementation nationale excluant, pour les personnes concernées, tout droit d’accès au dossier. Cette appréciation devra être effectuée à la lumière de l’article 23 du RGPD, qui autorise, pour certains motifs d’intérêt général, de restreindre les obligations d’accès prévues par ce règlement, ainsi que de l’article 8, paragraphe 2, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »), lequel garantit à toute personne le droit d’accéder aux données collectées la concernant. À cet égard, la Cour devra mettre en balance, d’une part, l’exigence de transparence de l’action administrative et, d’autre part, la nécessité de garantir l’efficacité des enquêtes en matière de protection des données.
II. Le cadre juridique
A. Le droit de l’Union
4. Sont pertinents, dans le cadre de la présente affaire, les articles 8 et 52 de la Charte, l’article 16 TFUE, ainsi que l’article 4, points 1, 2, 7 et 9, ainsi que les articles 5, 15, 23, 51, 57, 58 et 77 du RGPD.
B. Le droit allemand
5. En vertu de l’article 18 du Bayerisches Datenschutzgesetz (loi bavaroise relative à la protection des données, ci-après le « BayDSG »), le Landesamt est une autorité de contrôle pour les entités non publiques.
6. L’article 20 du BayDSG prévoit :
« (1) Toute personne peut s’adresser aux autorités de contrôle pour faire valoir que ses droits ont été violés lors du traitement de ses données à caractère personnel. La saisine des autorités de contrôle ne doit pas porter préjudice à la personne concernée.
(2) Il n’y a pas de droit d’accès ou de consultation des dossiers et fichiers des autorités de contrôle. »
7. Dans l’exposé des motifs de la loi concernant l’article 20, paragraphe 2, du BayDSG, il est indiqué que cette disposition s’applique et exclut tout droit d’accès au titre de l’article 15 du RGPD dès lors qu’un tel droit est invoqué envers le Landesamt en ce qui concerne les dossiers et fichiers de ce dernier.
III. Les faits à l’origine du litige au principal, la procédure au principal et les questions préjudicielles
8. M. Lindenberg est journaliste et exploite un blog consacré, notamment, à la protection des données. Depuis 2021, il a ouvert plusieurs procédures de réclamation auprès du Landesamt.
9. M. Lindenberg ayant introduit une réclamation en matière de protection de données auprès du Landesamt le 13 mai 2022, celui-ci a ouvert une procédure de contrôle à l’égard d’un tiers. Par courrier électronique du 11 octobre 2022, le Landesamt a informé M. Lindenberg qu’il avait ainsi constaté des violations de la protection des données commises par la personne visée par la réclamation. Il a ajouté que, après l’expiration du délai imparti pour remédier à ces violations, la personne visée par la réclamation serait verbalisée si elle commettait de nouvelles infractions. Par courrier électronique du même jour, M. Lindenberg a sollicité la communication de détails supplémentaires concernant les mesures prises par le Landesamt. Ce dernier n’ayant pas donné suite à cette demande, M. Lindenberg a demandé, par courrier électronique du 11 octobre 2022, des informations complètes au titre de l’article 15, paragraphes 1 et 3, du RGPD.
10. Par courrier électronique et décision du 20 octobre 2022, le Landesamt a rejeté la demande d’accès au titre de l’article 15, paragraphes 1 et 3, du RGPD. Il a motivé ce rejet en indiquant que la disposition expresse prévue à l’article 20, paragraphe 2, du BayDSG excluait un droit d’accès et de consultation des dossiers et fichiers des autorités de contrôle.
11. M. Lindenberg a formé contre cette décision un recours devant le Bayerisches Verwaltungsgericht Ansbach (tribunal administratif bavarois d’Ansbach), en demandant qu’il soit ordonné au Landesamt de lui fournir une copie de toutes les données du dossier de la procédure de réclamation engagée le 13 mai 2022.
12. Le 23 février 2024, le Landesamt a accordé un accès électronique au dossier de la procédure de contrôle déclenchée par la réclamation de M. Lindenberg, sans toutefois reconnaître une obligation légale à cet égard.
13. Désormais, M. Lindenberg demande uniquement que soit constatée l’illégalité de la décision du Landesamt du 20 octobre 2022 rejetant sa demande d’accès.
14. La juridiction de renvoi relève que, lorsque l’auteur d’une réclamation, tel que M. Lindenberg, introduit une procédure de réclamation auprès d’une autorité de contrôle de la protection des données, telle que le Landesamt, au titre de l’article 77 du RGPD, cette autorité agit à son égard en tant qu’autorité de contrôle au sens de l’article 4, point 21, du RGPD. Certains, dont le Landesamt, considèrent que cela exclut le fait que l’autorité de contrôle de la protection des données soit, à l’égard de l’auteur de la réclamation, un « responsable du traitement » au sens de l’article 15, lu en combinaison avec l’article 4, point 7, du RGPD, et que, par conséquent, cela fait d’emblée obstacle à un droit d’accès de l’auteur de la réclamation envers l’autorité de contrôle de la protection des données concernant des données à caractère personnel issues de la procédure de réclamation.
15. La juridiction de renvoi part, en revanche, du principe qu’une autorité de contrôle de la protection des données peut être, à la fois, une autorité de contrôle au sens de l’article 4, point 21, du RGPD et un responsable du traitement ainsi qu’une personne visée par une réclamation au sens de l’article 15, lu en combinaison avec l’article 4, point 7, du RGPD.
16. La juridiction de renvoi estime que, si tel est bien le cas, la question se pose de savoir si une exclusion pure et simple du droit d’accès aux dossiers et aux fichiers de l’autorité de contrôle, telle que celle prévue à l’article 20, paragraphe 2, du BayDSG, satisfait aux conditions auxquelles est subordonné l’exercice de la faculté de prévoir des limitations, accordée à l’article 23, paragraphe 1, du RGPD.
17. Dans ces conditions, le Bayerisches Verwaltungsgericht Ansbach (tribunal administratif bavarois d’Ansbach) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) L’article 15, lu en combinaison avec l’article 4, point 7, du [RGPD], doit-il être interprété en ce sens qu’une autorité de contrôle, au sens de l’article 4, point 21, de ce règlement, qui agit dans le cadre d’une procédure de réclamation au titre de l’article 77 dudit règlement introduite par une personne concernée, est en même temps “responsable du traitement” au sens de l’article 15, lu en combinaison avec l’article 4, point 7, de ce même règlement et donc tenue d’accorder à cette personne l’accès aux données la concernant et aux informations conformément à l’article 15 du [RGPD] ?
2) En cas de réponse affirmative à la première question, le droit de l’Union, et en particulier l’article 23 du [RGPD], doit-il être interprété en ce sens qu’il s’oppose à une disposition nationale, telle que l’article 20, paragraphe 2, du [BayDSG], qui exclut purement et simplement un droit d’accès et de consultation des dossiers et fichiers des autorités de contrôle au sens l’article 4, point 21, du [RGPD]? »
IV. La procédure devant la Cour
18. La décision de renvoi datée du 19 février 2025 est parvenue au greffe de la Cour le 17 mars 2025.
19. Le Landesamt, les gouvernements bulgare et letton ainsi que la Commission européenne ont déposé des observations écrites dans le délai imparti par l’article 23 du statut de la Cour de justice de l’Union européenne.
20. Lors de l’audience du 22 janvier 2026, les mandataires ad litem de M. Lindenberg, du Landesamt, du gouvernement bulgare, ainsi que de la Commission, ont présenté des observations.
V. Analyse juridique
A. Remarques préliminaires
21. La présente affaire soulève une question de principe relative au statut juridique des autorités de contrôle au regard des droits reconnus par le RGPD et, en particulier, du droit d’accès garanti à son article 15. Il s’agit de déterminer si, lorsqu’elle instruit une réclamation introduite en vertu de l’article 77 du RGPD, une autorité de contrôle peut être qualifiée de « responsable du traitement » pour les données traitées dans ce cadre, au sens de l’article 4, point 7, de ce règlement. Cette qualification est déterminante dès lors qu’elle conditionne l’applicabilité des obligations d’accès opposables au responsable du traitement, et elle interroge plus largement l’équilibre entre la protection des droits individuels et les caractéristiques propres à l’exercice des missions de contrôle, lesquelles reposent sur l’indépendance décisionnelle, la confidentialité de l’instruction et l’efficacité des pouvoirs d’enquête.
22. Dans l’hypothèse où la Cour retiendrait qu’une autorité de contrôle peut être tenue, en principe, au respect de l’article 15 du RGPD, cela soulèverait alors une seconde interrogation, d’ordre normatif, tenant à la compatibilité d’une exclusion générale et absolue du droit d’accès aux dossiers administratifs avec le cadre juridique de l’Union. Une telle réglementation nationale doit être examinée au regard des exigences prévues à l’article 23 du RGPD, qui encadre strictement les limitations pouvant être apportées aux droits qu’il garantit, en les subordonnant au respect de conditions cumulatives en termes de base légale, de nécessité, de proportionnalité et de sauvegarde des objectifs d’intérêt général reconnus par l’Union. Cette analyse requiert également d’intégrer les garanties issues du droit primaire, notamment celles afférentes au respect des droits fondamentaux et à l’effectivité des voies de recours.
23. L’analyse juridique s’articulera donc en deux étapes successives. Il conviendra, d’une part, de déterminer si, et dans quelle mesure, une autorité de contrôle peut être assimilée à un « responsable du traitement » dans le cadre d’une procédure de réclamation, de manière à être tenue aux obligations d’accès consacrées par le RGPD (3). D’autre part, et seulement en cas de réponse affirmative, il faudra apprécier le point de savoir si une exclusion générale, indifférenciée et préventive du droit d’accès aux dossiers des autorités de contrôle est conciliable avec le régime harmonisé du RGPD, au regard des impératifs de transparence administrative, de protection des données, d’indépendance institutionnelle et d’efficacité des mécanismes de contrôle, lesquels doivent être mis en balance sans qu’aucun de ces impératifs soit vidé de sa substance (4).
B. Sur la première question
1. Sur la qualification d’une autorité de contrôle en tant que « responsable du traitement » au titre de l’article 4, point 7, du RGPD
24. S’agissant de la qualification éventuelle d’une autorité de contrôle en tant que « responsable du traitement », qui fait l’objet de la première question préjudicielle, il convient, à titre liminaire, de rappeler la définition légale de cette notion, telle qu’énoncée à l’article 4, point 7, du RGPD. Aux termes de cette disposition, est regardé comme « responsable du traitement » toute « personne physique ou morale, autorité publique, service ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ». Il importe, à cet égard, de rappeler que ladite notion fait l’objet, selon une jurisprudence constante de la Cour, d’une interprétation large (5).
25. Il convient, en premier lieu, de constater que cette définition légale vise expressément les « autorités publiques ». Le libellé même de l’article 4, point 7, du RGPD n’exclut dès lors nullement la possibilité de qualifier une autorité de contrôle de « responsable du traitement ». Le législateur de l’Union a délibérément renoncé à établir une distinction entre entités privées et entités publiques, ainsi qu’en témoignent plusieurs considérants qui évoquent explicitement le traitement de données à caractère personnel par des autorités publiques. Par ailleurs, le fait qu’une autorité de contrôle soit définie, à l’article 4, point 21, du RGPD, comme une autorité publique indépendante instituée par un État membre en vertu de l’article 51 ne saurait, eu égard à la portée large et fonctionnelle conférée par ce règlement à la notion de « responsable du traitement » (6), être interprété comme faisant obstacle à son éventuelle qualification en tant que tel.
26. En second lieu, il importe de relever que, lorsqu’une telle autorité de contrôle exerce les missions qui lui sont confiées en vertu de l’article 77 du RGPD – notamment l’instruction des réclamations portant sur d’éventuelles violations des règles de protection des données –, elle est elle-même amenée à traiter des données à caractère personnel. L’autorité ne se borne pas à recevoir ces données ; elle les structure, les analyse, les conserve et les utilise dans le cadre de l’exercice autonome des pouvoirs d’enquête et de répression que lui reconnaît ce règlement. De telles opérations relèvent, me semble-t-il, du champ d’application de l’article 4, point 2, du RGPD, lequel appréhende la notion de « traitement » dans une acception large et détachée de tout contexte particulier, couvrant l’ensemble des opérations effectuées sur des données.
27. Afin d’étayer cette analyse, j’exposerai, dans les développements qui suivent, d’une part, les caractéristiques essentielles de la procédure de réclamation prévue à l’article 77 du RGPD et, d’autre part, les catégories de données à caractère personnel que les autorités de contrôle sont appelées à traiter, de manière régulière et concrète, dans ce cadre. Cette présentation permettra de mieux appréhender la nature et l’étendue des missions exercées par les autorités de contrôle lorsque celles-ci instruisent une telle procédure.
a) Les caractéristiques essentielles de la « procédure de réclamation » prévue à l’article 77 du RGPD
28. La procédure de réclamation (7) instituée par l’article 77 du RGPD constitue un mécanisme central du système de l’Union destiné à assurer la protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel. Elle participe à la mise en œuvre opérationnelle du principe consacré à l’article 8, paragraphe 3, de la Charte, selon lequel le respect des règles relatives à la protection des données doit être soumis au contrôle d’une autorité indépendante. La Cour a itérativement souligné que ce mécanisme de contrôle ne revêt pas un caractère purement formel, mais qu’il vise à assurer la protection effective et réelle des droits fondamentaux (8).
29. L’article 77, paragraphe 1, du RGPD confère à toute personne concernée le droit d’introduire une réclamation, sans exigence formelle particulière et sans risque de frais, notamment auprès de l’autorité de contrôle de l’État membre de sa résidence habituelle, de son lieu de travail ou du lieu où la violation alléguée a été commise. Dans la mesure où ce droit constitue un élément essentiel du système de protection instauré par ce règlement, il ne saurait être interprété ni appliqué d’une manière qui en rendrait l’exercice pratiquement impossible ou excessivement difficile (9).
30. Il importe de souligner que l’introduction d’une réclamation n’ouvre pas à l’autorité de contrôle une simple faculté générale d’examen, mais lui impose l’obligation concrète d’instruire le dossier de manière complète, diligente et impartiale. En effet, il ressort de la jurisprudence de la Cour que, conformément à l’article 57, paragraphe 1, sous f), du RGPD, chaque autorité de contrôle est tenue de traiter les réclamations introduites sur son territoire, d’en examiner la nature dans la mesure du nécessaire et de les traiter avec toute la diligence requise (10).
31. Il en résulte qu’une autorité de contrôle ne saurait s’abstenir de traiter une réclamation pour des motifs tenant à la seule économie administrative ou à des considérations d’opportunité. De même, il lui est interdit de réduire son intervention à une médiation informelle ou à un rôle de simple facilitateur. Elle est, au contraire, tenue d’examiner la violation alléguée en fait et en droit, et, le cas échéant, de mettre effectivement en œuvre les pouvoirs correctifs que lui confère le droit de l’Union (11).
32. Les pouvoirs énumérés à l’article 58 du RGPD doivent, selon la jurisprudence, être interprétés à la lumière de leur finalité, à savoir garantir la pleine effectivité de ce règlement. La Cour a insisté sur l’obligation des autorités de contrôle d’adopter, en cas de violation constatée, des mesures correctrices « appropriées et nécessaires », et d’utiliser l’ensemble des instruments dont elles disposent. Cette exigence inclut l’action répressive, l’inaction étant de nature à compromettre l’effet utile dudit règlement (12).
33. L’article 77, paragraphe 2, du RGPD impose en outre d’informer l’auteur de la réclamation de l’état d’avancement et de l’issue de la procédure. Cette obligation n’est respectée que si la réponse fournie permet d’établir que la réclamation a effectivement fait l’objet d’un examen en fait et en droit, et qu’elle contient les éléments nécessaires à l’exercice d’un contrôle juridictionnel effectif. La procédure ne saurait ainsi se limiter à une décision purement formelle, mais doit déboucher sur une appréciation circonstanciée, dûment motivée et susceptible d’être examinée par la juridiction saisie en vertu de l’article 78, paragraphe 1, du RGPD. Toute décision adoptée sur réclamation par une autorité de contrôle est, en effet, soumise à un contrôle juridictionnel entier (13).
34. Appréciée dans son ensemble, la procédure prévue à l’article 77 du RGPD ne constitue pas un simple acte administratif, mais une voie de droit autonome, instituée par le droit de l’Union et concourant, à la fois, à la protection des droits individuels et à la sauvegarde objective de l’ordre juridique en matière de protection des données. La Cour reconnaît aux autorités de contrôle le statut de garantes institutionnelles d’un système de protection structurelle des droits fondamentaux, dont la mission ne se limite pas à la réception passive de réclamations, mais implique l’application active des règles de protection des données.
b) Le « traitement » des données à caractère personnel effectué par une autorité de contrôle dans le cadre d’une procédure de réclamation
35. Après avoir rappelé les caractéristiques essentielles de la procédure de réclamation, il y a lieu d’analyser dans quelle mesure l’activité d’une autorité de contrôle relève d’un « traitement » au sens de l’article 4, point 2, du RGPD. Cette notion est définie comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
36. À cet égard, il convient de souligner que, dans le cadre d’une procédure fondée sur l’article 77 du RGPD, une autorité de contrôle ne se limite pas à recevoir des données. Elle accomplit, au contraire, un ensemble d’opérations autonomes et structurées, mises en œuvre aux fins de l’exercice de sa mission légale d’examen, d’instruction et de contrôle. En effet, le traitement débute dès le dépôt de la réclamation, laquelle contient des données concernant l’auteur de la réclamation et, selon les cas, le responsable du traitement visé ou des tiers identifiables. Ces informations – qui relèvent de la notion de « données à caractère personnel » au sens de l’article 4, point 1, du RGPD – sont enregistrées, intégrées dans un dossier et conservées dans les systèmes internes de l’autorité de contrôle, ce qui implique déjà des opérations matérielles et organisationnelles constitutives d’un « traitement » (14).
37. Ces opérations s’inscrivent dans les missions que l’article 57, paragraphe 1, du RGPD confie aux autorités de contrôle, telles qu’exposées dans les présentes conclusions. Parmi ces missions figurent notamment l’examen des réclamations [sous f)] ainsi que l’exercice de pouvoirs d’enquête et de décision [sous h)]. Dans l’accomplissement de ces tâches, les autorités agissent dans un cadre d’autonomie fonctionnelle et décisionnelle garanti par le droit de l’Union, autonomie qui trouve une expression concrète dans la manière dont sont instruites les réclamations et dont sont exercés les pouvoirs de contrôle qui en découlent.
38. Au cours de la procédure, l’autorité de contrôle procède à l’examen factuel et juridique des éléments qui lui sont soumis. Elle collecte, organise, analyse et évalue les données au regard du cadre normatif applicable. D’autres opérations de traitement interviennent également lorsqu’elle sollicite des informations complémentaires auprès du responsable du traitement – à l’encontre duquel une réclamation est dirigée et qui fait l’objet d’une enquête – ou lorsqu’elle consulte des documents supplémentaires, eux-mêmes susceptibles de contenir des données à caractère personnel. Ces informations sont ensuite reçues, enregistrées, analysées et conservées par l’autorité de contrôle. De même, la mise en relation de ces éléments avec d’éventuels dossiers ou informations préexistants est susceptible d’être considérée comme une opération de « traitement ».
39. Les données ainsi traitées sont utilisées aux fins de l’exercice autonome des pouvoirs d’enquête et de décision de l’autorité de contrôle (15). Elles servent à l’établissement des faits, à leur qualification juridique, à l’évaluation des mesures correctrices envisageables et, le cas échéant, à l’adoption de décisions contraignantes ou d’injonctions. Elles sont également mobilisées dans le cadre des communications procédurales adressées aux parties, notamment lors de l’information de l’auteur de la réclamation ou du responsable du traitement quant à l’issue de la procédure.
40. Il résulte de l’ensemble de ces éléments que l’autorité de contrôle ne saurait être regardée comme un simple « destinataire » de données au sens de l’article 4, point 9, du RGPD. Dès lors qu’elle décide de manière autonome des modalités de collecte, d’analyse, d’organisation et d’utilisation de ces données aux fins de l’exercice des missions qui lui sont légalement confiées, elle agit comme un opérateur mettant en œuvre un « traitement » au sens plein de l’article 4, point 2, du RGPD. Cet aspect appelle un examen plus approfondi dans la section suivante.
2. Sur la faculté de l’autorité de contrôle de « déterminer les finalités et les moyens du traitement »
41. Pour qu’une autorité de contrôle puisse être qualifiée de « responsable du traitement » au sens de l’article 4, point 7, du RGPD, encore faudrait-il qu’elle soit investie du pouvoir de déterminer les finalités et les moyens du traitement des données à caractère personnel.
42. Comme indiqué précédemment, le rôle de l’autorité de contrôle, dans le cadre d’une procédure de réclamation fondée sur l’article 77 du RGPD, ne se limite pas à la simple réception passive d’informations. Elle détermine en réalité la finalité du traitement, en ce qu’elle décide que les données seront utilisées pour l’examen d’une éventuelle violation des règles de protection des données, l’établissement des faits et, le cas échéant, la préparation et l’adoption de mesures de contrôle. Cette détermination de la finalité est non seulement prédéfinie par la loi, mais elle requiert également une concrétisation autonome par l’autorité au cas par cas, notamment quant à l’étendue du contrôle, l’objet précis de l’enquête et la qualification juridique des griefs soulevés (16).
43. L’autorité de contrôle décide également, de manière autonome sur des points essentiels, des moyens du traitement. Elle détermine quelles données à caractère personnel sont collectées, sous quelle forme elles sont enregistrées, structurées et conservées, selon quels critères les dossiers sont constitués, les archives numériques organisées ou les éléments de preuve répertoriés, ainsi que les procédés techniques ou organisationnels mobilisés pour l’analyse, le traitement ultérieur ou la mise à disposition interne des données. De même, elle décide s’il convient d’adresser des demandes d’information au mis en cause, quelles informations complémentaires doivent être sollicitées, selon quelles méthodes elles seront mises en relation, et pendant quelle durée elles seront conservées. Ce pouvoir de sélection et d’organisation dépasse de manière manifeste la simple exécution d’une mission auxiliaire ou subordonnée.
44. Les opérations de traitement effectivement réalisées confirment cette autonomie décisionnelle. L’autorité enregistre la réclamation, ouvre ses propres dossiers, conserve et organise les données reçues ainsi que celles qu’elle collecte, procède à leur appréciation factuelle et juridique, sollicite des documents supplémentaires, consigne les actes d’enquête et adopte, sur la base de sa propre analyse, des décisions procédurales et matérielles. Ainsi, le traitement non seulement sert à la gestion technique d’un dossier administratif, mais il constitue également le fondement d’une activité autonome d’instruction, d’appréciation et de décision, que le droit de l’Union confie exclusivement à l’autorité de contrôle.
45. La circonstance que cette activité s’inscrive dans l’exercice d’une mission légale ne fait pas disparaître la qualité de « responsable du traitement ». La Cour a rappelé à plusieurs reprises que des autorités publiques peuvent être qualifiées de « responsables du traitement » lorsqu’elles disposent d’une marge de manœuvre décisionnelle quant aux modalités concrètes du traitement (17). À cet égard, il convient de relever que le Landesamt a lui-même reconnu, lors de l’audience, disposer d’une marge d’appréciation dans la détermination de ses tâches, y compris dans le cadre du traitement des réclamations (18), cette marge constituant l’expression de son autonomie.
46. La qualification de « sous-traitant » doit également être écartée en l’absence de toute subordination quant à la détermination des finalités et des moyens, l’autorité n’intervenant pas sur instruction d’un tiers mais dans l’exercice de prérogatives qui lui sont propres. En particulier, l’autorité de contrôle n’agit nullement au nom du responsable du traitement visé par la réclamation, mais exerce un pouvoir public qui lui est conféré en vue d’assurer le respect du droit de l’Union.
47. Si le traitement en cause repose, en règle générale, sur l’article 6, paragraphe 1, sous e), du RGPD, lu en combinaison avec l’article 57, paragraphe 1, sous f) et h), de ce règlement, l’existence d’une base légale assure uniquement la licéité du traitement, sans exclure la qualité de « responsable » du traitement. Au contraire, le fait que la loi confie à l’autorité l’exécution de missions de contrôle confirme qu’elle traite les données dans l’accomplissement de ses propres obligations légales et selon des modalités qu’elle définit elle-même. En tant que « responsable », elle demeure donc, en principe, soumise aux obligations générales du RGPD, en particulier aux principes énoncés à l’article 5 et aux droits des personnes énumérés au chapitre III de ce règlement pour autant que ceux-ci n’aient pas été valablement restreints par une disposition légale suffisamment claire et proportionnée, conformément à l’article 23 du RGPD.
48. L’indépendance des autorités de contrôle, consacrée à l’article 52 du RGPD et réaffirmée au considérant 117, requiert que celles-ci soient qualifiées de « responsables du traitement » pour les opérations portant sur des données à caractère personnel qu’elles effectuent dans l’exercice de leurs missions légales. Seule la détermination autonome des finalités et des moyens des traitements concernés, assortie de la responsabilité qui en découle, leur permet d’exercer leurs pouvoirs de contrôle et de mise en conformité en toute indépendance à l’égard des entités qu’elles supervisent. Les considérer, dans le cadre de la gestion des réclamations, comme de simples exécutants de finalités définies par des tiers compromettrait leur autonomie institutionnelle, les placerait dans un rapport de dépendance à l’égard des responsables examinés et viderait de sa substance l’exigence de responsabilité prévue par le droit de l’Union. L’autorité de contrôle doit donc assumer, à titre propre, la responsabilité des traitements de données à caractère personnel mis en œuvre dans la procédure de réclamation, les droits des personnes concernées prévus par le RGPD s’appliquant pleinement à son égard (19).
49. Enfin, si l’autorité de contrôle n’était pas qualifiée de « responsable du traitement » dans le cadre du traitement des réclamations, la personne concernée se trouverait largement dépourvue de protection à l’égard d’un élément central du traitement de ses données. En effet, les droits des personnes concernées prévus aux articles 12 à 22 du RGPD, en particulier le droit d’accès visé à l’article 15, ne peuvent être exercés qu’à l’encontre du responsable du traitement. Sans cette qualification, la personne concernée ne serait pas en mesure de savoir quelles données l’autorité recueille et traite dans le cadre de la réclamation, ni d’en demander la rectification, l’effacement ou la limitation. Le traitement de données effectué par l’autorité échapperait ainsi à toute exigence de transparence et de responsabilité, alors même que cette autorité est précisément chargée de garantir la protection des droits des personnes concernées. Une absence de qualification en tant que « responsable du traitement » créerait dès lors une faille structurelle de protection, privant la personne concernée, dans sa relation avec l’autorité de contrôle, des garanties fondamentales prévues par le RGPD (20).
50. Il s’ensuit qu’une autorité de contrôle, dans le cadre du traitement des réclamations introduites au titre de l’article 77 du RGPD, décide des finalités et des moyens du traitement et ne se limite pas à recevoir ou à administrer des données déterminées par un tiers. Elle agit en tant qu’acteur autonome, qui collecte, organise, analyse et utilise les données à caractère personnel comme fondement de décisions relevant de l’exercice de la puissance publique. Elle doit, dès lors, être qualifiée de « responsable du traitement » au sens de la définition large énoncée à l’article 4, point 7, du RGPD (21).
51. Dans un souci de complétude, il convient de relever que le fait que le législateur de l’Union n’ait pas expressément prévu l’hypothèse selon laquelle une autorité de contrôle agit, dans le cadre d’une procédure de réclamation, simultanément en qualité de « responsable du traitement » au sens de l’article 4, point 7, du RGPD, ne constitue pas un argument pertinent de nature à s’opposer à une telle qualification. L’élément déterminant réside, au contraire, dans la question de savoir si cette autorité remplit les conditions matérielles prévues par cette disposition. Or, ainsi qu’il ressort de l’analyse qui précède, tel est manifestement le cas en l’espèce.
52. Dans ce contexte, l’argument du Landesamt selon lequel certaines dispositions du RGPD supposeraient nécessairement une distinction stricte entre l’autorité de contrôle, d’une part, et le « responsable du traitement », d’autre part, ne saurait davantage prospérer. Ces dispositions se rapportent uniquement à la situation de principe envisagée par le législateur de l’Union, dans laquelle ces deux rôles ne se confondent pas. Elles n’excluent toutefois pas qu’une autorité de contrôle puisse, dans certaines circonstances – telles que celles en cause au principal –, remplir simultanément les conditions requises pour être qualifiée de « responsable du traitement ».
53. Dans la mesure où certaines dispositions du RGPD prévoient une « coopération » ou une « consultation » entre le « responsable du traitement » et l’autorité de contrôle, notamment aux articles 31 et 36, l’éventuel conflit susceptible de résulter d’un chevauchement de ces rôles peut être résolu au moyen d’une interprétation téléologique de ce règlement. Une telle interprétation implique que les procédures internes de l’autorité de contrôle soient organisées et coordonnées de manière à garantir la réalisation effective des objectifs poursuivis par les dispositions concernées.
3. Sur l’existence d’un droit d’accès de l’auteur d’une réclamation fondé sur l’article 15 du RGPD
54. Ainsi qu’il a été indiqué dans les présentes conclusions, la qualification de l’autorité de contrôle en tant que « responsable du traitement » emporte pour celle-ci l’obligation d’assurer le respect des droits reconnus aux personnes concernées par le chapitre III du RGPD. Parmi ces droits figure, en particulier, le droit d’accès consacré à l’article 15 de ce règlement.
55. Dans le cadre d’une procédure introduite au titre de l’article 77 du RGPD, l’auteur de la réclamation revêt en principe aussi la qualité de « personne concernée » au sens de ce règlement. Il peut, à ce titre, exiger de l’autorité de contrôle qu’elle lui confirme si des données à caractère personnel le concernant font l’objet d’un traitement. Dans l’hypothèse d’une réponse positive, le droit d’accès comprend également l’ensemble des informations énumérées de manière exhaustive à l’article 15, paragraphe 1, sous a) à h), du RGPD, au nombre desquelles figurent notamment les finalités du traitement, les catégories de données concernées, les destinataires ou catégories de destinataires, la durée de conservation ainsi que l’information relative aux droits dont dispose la personne concernée.
a) Le droit d’obtenir une « copie » en vertu de l’article 15, paragraphe 3, du RGPD
56. Le droit d’accès implique, entre autres, le droit de la personne concernée d’obtenir une copie des données en vertu de l’article 15, paragraphe 3, du RGPD. Cette disposition impose au responsable du traitement de communiquer à l’intéressé une reproduction de ses données à caractère personnel sous une forme intelligible, permettant d’appréhender de manière précise l’étendue et les modalités de leur traitement. La finalité de ce droit consiste à mettre la personne concernée en position de vérifier quelles données la concernant sont traitées, d’en identifier la source, d’en comprendre les finalités et d’en connaître les éventuels destinataires (22).
57. La Cour a jugé que la copie doit être fournie dans des conditions permettant un contrôle effectif de la licéité du traitement ainsi que l’exercice utile des autres droits consacrés par le RGPD (23). Le terme « copie » se rapporte non pas à un document en tant que tel, mais aux données à caractère personnel qu’il contient ; ce qui importe est que ces données soient communiquées de manière complète, claire et apte à en restituer la signification. Afin de garantir l’effectivité de ce droit, la reproduction d’extraits de documents – voire de documents entiers – ou encore d’extraits de bases de données contenant, notamment, des données à caractère personnel faisant l’objet du traitement peut s’avérer indispensable (24).
58. La portée de ce droit demeure toutefois strictement délimitée par sa fonction. Il ne s’étend qu’aux « données à caractère personnel » de la personne concernée et englobe toute information se rapportant à elle ou permettant de l’identifier, au sens de l’article 4, point 1, du RGPD. Lorsque le contexte dans lequel ces données apparaissent est nécessaire à leur pleine compréhension, l’obligation de communication peut impliquer la transmission d’un extrait approprié ou d’une présentation contextualisée, dans la mesure requise pour satisfaire aux exigences de transparence. Le droit d’obtenir une copie constitue ainsi un élément central du mécanisme d’autodétermination informationnelle instauré par le RGPD, en ce qu’il garantit à la personne concernée un contrôle substantiel sur le traitement de ses données et lui permet d’en vérifier la conformité aux exigences du droit de l’Union.
b) L’article 15 du RGPD ne prévoit pas un « droit général d’accès au dossier administratif »
59. Toutefois, ce droit d’accès prévu à l’article 15 du RGPD, propre au régime de protection des données à caractère personnel, ne saurait être assimilé à un droit général d’accès au dossier administratif ni à une exigence de transparence administrative de portée générale. Cette disposition vise exclusivement à garantir la transparence des traitements afin de permettre à la personne concernée d’en contrôler la licéité et d’exercer utilement les droits qui en découlent, notamment les droits de rectification, d’effacement (« droit à l’oubli »), de limitation du traitement ou d’opposition (25). Elle ne consacre, en revanche, ni un droit général d’accès à l’information détenue par l’administration, ni un droit de consultation des documents internes, ni, a fortiori, un droit à la divulgation des éléments relevant du processus interne de délibération ou de décision de l’autorité publique. Cela devient manifeste lorsque l’on confronte le droit d’accès prévu à l’article 15 du RGPD aux autres droits d’accès consacrés par le droit de l’Union et par les droits nationaux.
60. Premièrement, l’article 15 et l’article 77, paragraphe 2, du RGPD répondent à des finalités distinctes et doivent, dès lors, être rigoureusement distingués. L’article 77, paragraphe 2, institue un droit procédural à être informé de l’état d’avancement et de l’issue du traitement de la réclamation, mais ne confère pas un droit d’accès aux données ou documents fondé sur la réglementation relative à la protection des données. Ainsi, tandis que l’article 15 tend à garantir la maîtrise par l’individu de ses propres données personnelles, l’article 77, paragraphe 2, se rattache à l’exigence de transparence procédurale dans le traitement administratif des réclamations. Ces dispositions, autonomes dans leur objet et leur portée, ne sauraient être confondues ni se substituer l’une à l’autre. Il s’agit de régimes juridiques indépendants qui répondent à des logiques normatives différentes, obéissent à des conditions d’exercice propres et n’ont pas vocation à se recouper ni à se substituer l’une à l’autre.
61. Deuxièmement, l’article 15 du RGPD institue exclusivement un droit d’accès à des données à caractère personnel et ne consacre ni un droit d’accès au dossier administratif ni un droit de consultation de documents détenus par l’autorité (26). Son champ d’application matériel se limite à la communication des données personnelles faisant l’objet d’un traitement et ne vise ni la transparence administrative ni l’accès aux processus décisionnels internes. Le droit d’accès au dossier demeure ainsi – sauf dispositions sectorielles du droit de l’Union – de la compétence normative des États membres, où il est généralement régi par les législations relatives à la procédure administrative générale, par des régimes procéduraux spéciaux, par les lois sur la liberté d’information et la transparence, ou encore par des règles professionnelles ou sectorielles particulières (27).
62. Il en résulte que l’article 15 du RGPD ne fonde aucun droit à la communication ou à la consultation du dossier administratif en tant que tel. En particulier, le champ du droit d’accès ne s’étend pas aux analyses juridiques internes, aux avis, aux annotations, aux notes de service, aux documents préparatoires, ni, plus généralement, aux éléments relevant du processus d’élaboration ou de motivation interne de la décision administrative. Lorsqu’un document détenu par l’autorité contient des données à caractère personnel relatives à l’auteur de la réclamation, l’obligation d’accès se limite à la communication de ces données en tant que telles, et non à la remise ou à la reproduction intégrale du support documentaire qui les contient. Enfin, les informations dépourvues de tout lien d’identification directe ou indirecte avec la personne concernée échappent, par nature, au champ matériel d’application de l’article 15 du RGPD.
63. Il convient, en outre, de rappeler que le droit d’accès prévu à l’article 15 du RGPD peut faire l’objet de certaines limitations en vertu de l’article 23, paragraphe 1, de ce règlement, pour autant que les conditions qu’il énonce soient réunies. Cet aspect fait l’objet de la seconde question préjudicielle, que j’aborderai dans la section suivante.
4. Conclusion intermédiaire
64. Eu égard aux considérations qui précèdent, j’estime qu’il y a lieu de répondre à la première question que l’article 15, lu en combinaison avec l’article 4, point 7, du RGPD, doit être interprété en ce sens qu’une autorité de contrôle, au sens de l’article 4, point 21, de ce règlement, lorsqu’elle agit dans le cadre d’une procédure de réclamation fondée sur l’article 77 dudit règlement, revêt également la qualité de « responsable du traitement » au sens de ce même règlement et est donc tenue de garantir à la personne concernée le droit d’accès prévu à l’article 15 du RGPD.
C. Sur la seconde question
1. Les limitations au droit d’accès aux données à caractère personnel énumérées à l’article 23 du RGPD
65. Par sa seconde question, la juridiction de renvoi sollicite une clarification du rapport existant entre l’article 23 du RGPD et une disposition nationale qui, à l’instar de l’article 20, paragraphe 2, du BayDSG, exclut de manière générale tout droit d’accès ou de consultation auprès de l’autorité de contrôle en matière de protection des données. La réponse à cette question requiert une analyse approfondie de l’économie du RGPD, telle qu’elle ressort de son libellé, de sa finalité et des considérants pertinents, ainsi que la mise en œuvre des principes dégagés par la Cour concernant les limitations susceptibles d’être apportées aux droits des personnes concernées.
66. L’article 23 du RGPD prévoit que des mesures législatives de l’Union ou des États membres auxquelles le responsable du traitement est soumis peuvent restreindre, notamment, le droit d’accès garanti à l’article 15 de ce règlement, pour autant qu’une telle restriction respecte l’essence des droits et libertés fondamentaux et constitue, dans une société démocratique, une mesure nécessaire et proportionnée visant à assurer la réalisation de l’un des objectifs légitimes énumérés aux points a) à j) de cette disposition. L’article 23, paragraphe 1, du RGPD ne saurait cependant être interprété comme habilitant le législateur national à substituer librement son propre régime aux dispositions des articles 12 à 22 dudit règlement. Cette disposition établit, au contraire, un catalogue limitatif de clauses d’ouverture, autorisant le législateur national, pour les motifs précisément énumérés, à prévoir des restrictions aux droits des personnes concernées ainsi qu’aux obligations incombant au responsable du traitement en vertu de ces articles (28).
67. L’article 23 du RGPD instaure ainsi un régime dérogatoire pour les domaines qu’il vise, lesquels concernent essentiellement l’exercice de missions publiques et la poursuite d’impératifs d’intérêt général susceptibles de justifier une atténuation des droits des personnes concernées par rapport à d’autres secteurs d’activité. À cet égard, il convient de tenir compte du considérant 4, première et deuxième phrases, du RGPD, qui impose d’opérer une mise en balance des droits fondamentaux en cause et de s’assurer que les limitations envisagées sont justifiées, nécessaires et proportionnées au regard des droits et intérêts concurrents.
68. Il ressort de la décision de renvoi que, bien que l’exposé des motifs de la loi bavaroise mentionne expressément l’article 23 du RGPD comme fondement juridique de l’article 20, paragraphe 2, du BayDSG, il ne se réfère à aucun des objectifs énumérés à cette disposition. Il se limite à indiquer que cette norme refléterait l’exigence particulière de finalité attachée aux informations obtenues dans le cadre des activités de contrôle en matière de protection des données. La juridiction de renvoi relève toutefois que, selon les observations du Landesamt dans le cadre de la procédure au principal, cette disposition poursuivrait en réalité deux objectifs principaux : d’une part, la préservation de la confidentialité des données à caractère personnel de tiers et, d’autre part, la garantie du bon fonctionnement ainsi que de l’indépendance de l’autorité de contrôle.
69. Conformément aux principes régissant le mécanisme de coopération instauré par l’article 267 TFUE entre le juge de l’Union et les juridictions nationales – en vertu desquels l’interprétation du droit interne relève exclusivement de la compétence des juridictions de renvoi (29) et la Cour est tenue de s’en remettre aux précisions apportées par celles-ci quant au contenu et à la portée de ce droit (30) – je prendrai ces éléments pour fondement de mon analyse.
2. Compatibilité avec l’article 23 du RGPD d’une exclusion générale du droit d’accès prévu à l’article 15 de ce règlement
70. Dans la suite des présentes conclusions, je déterminerai si une exclusion générale du droit d’accès prévu à l’article 15 du RGPD peut être justifiée à la lumière des objectifs législatifs susmentionnés. J’analyserai également le point de savoir si une telle réglementation satisfait aux exigences supplémentaires que l’article 23 du RGPD impose à toute restriction de ce droit.
a) L’existence d’un objectif légitime
1) La protection de la confidentialité des données à caractère personnel de tiers
71. La protection de la confidentialité des données à caractère personnel de tiers constitue un objectif légitime, au sens du RGPD, de nature à justifier, en principe, des limitations aux droits conférés aux personnes concernées. À cet égard, il convient de relever que, s’agissant du droit d’accès prévu à l’article 15 du RGPD, le considérant 63 de ce règlement précise que « [c]e droit ne devrait pas porter atteinte aux droits ou libertés d’autrui ». Il est donc tenu compte du fait que, ainsi qu’il ressort du considérant 4 dudit règlement, le droit à la protection des données à caractère personnel n’est pas un droit absolu puisqu’il doit être apprécié au regard de sa fonction dans la société et mis en balance avec d’autres droits fondamentaux (31).
72. L’article 23, paragraphe 1, sous i), du RGPD fait expressément référence à la protection des « droits et libertés d’autrui », comme le confirme le considérant 73 de ce règlement. Par conséquent, lorsque des données à caractère personnel d’agents de l’administration ou de personnes privées sont en cause, le législateur national peut se fonder valablement sur le fait que leur divulgation porterait atteinte aux droits de la personnalité et qu’il existe un besoin de protection devant être mis en balance avec le droit d’accès de l’auteur de la réclamation.
2) La protection du bon fonctionnement et de l’indépendance des autorités de contrôle
73. La préservation du bon fonctionnement et de l’indépendance décisionnelle des autorités de contrôle constitue également un objectif légitime au sens de l’article 23, paragraphe 1, du RGPD. Le législateur de l’Union leur confère en effet un rôle pivot au sein du système européen de protection des données, comme en témoignent, d’une part, l’article 52 de ce règlement, qui garantit leur indépendance pleine et entière, et, d’autre part, l’étendue des pouvoirs d’enquête et des prérogatives correctrices prévus aux articles 57 et 58 dudit règlement (32). À cet égard, la Cour a souligné dans sa jurisprudence que le bon fonctionnement de ces autorités doit être garanti, notamment en veillant à ce qu’il ne soit pas entravé par des réclamations manifestement infondées ou excessives, au sens de l’article 57, paragraphe 4, du RGPD (33).
74. Dès lors, et au regard de l’article 23, paragraphe 1, sous h), du RGPD, qui permet d’adopter des restrictions lorsque celles-ci sont nécessaires à l’exercice de missions de « contrôle » et d’« inspection » associées à l’exercice de l’autorité publique, une limitation du droit d’accès peut, en principe, être justifiée. Par ailleurs, compte tenu des parallèles existants, il convient également de tenir compte de l’objectif énoncé à l’article 23, paragraphe 1, sous f), du RGPD, tel que précisé au considérant 73, de ce règlement, visant à garantir l’indépendance du pouvoir judiciaire et la protection du déroulement des procédures judiciaires. Certes, les autorités de contrôle ne relèvent pas de l’ordre judiciaire ; néanmoins, à l’instar des organes étatiques chargés de l’application du droit, elles jouent un rôle essentiel dans la détection et la sanction des violations du droit en matière de protection des données à caractère personnel. Il s’ensuit qu’une application par analogie de cette disposition peut, en tout état de cause, être envisagée.
3) La protection de la sécurité publique
75. Pour des raisons d’exhaustivité, il y a lieu de relever que la décision de renvoi évoque également la protection de la sécurité publique, au sens de l’article 23, paragraphe 1, sous c), du RGPD, comme motif éventuel de justification, sans pour autant fournir d’informations plus précises. Il convient toutefois de souscrire à l’appréciation de la juridiction de renvoi et de la Commission, selon laquelle une telle invocation n’apparaît pas fondée. En effet, au regard des faits de l’affaire au principal tels que présentés par la juridiction de renvoi, une telle restriction ne semble manifestement pas pertinente. Ce motif de justification sera, en conséquence, écarté de l’analyse qui suit.
b) Les exigences imposées par le cadre réglementaire du RGPD
76. D’une part, il y a lieu de constater que l’intérêt lié à la confidentialité des données à caractère personnel de tiers est dûment pris en considération par une réglementation nationale telle que l’article 20, paragraphe 2, du BayDSG, en ce qu’elle prohibe de manière catégorique la communication de telles données. Il ne saurait, en outre, être exclu que l’absence de coopération des autorités de contrôle dans le cadre du traitement de demandes d’accès puisse conduire à une réaffectation de ressources humaines et matérielles vers d’autres domaines d’activité, susceptible, le cas échéant, d’y entraîner certains gains d’efficacité.
77. D’autre part, de telles circonstances font naître des doutes quant à leur conformité avec le cadre normatif instauré par le législateur de l’Union lors de l’adoption du RGPD, et notamment avec l’économie générale de ce règlement, laquelle repose sur un équilibre entre plusieurs intérêts : la transparence du traitement des données, la préservation de la confidentialité lorsque celle-ci s’impose et la protection effective de ces intérêts par les autorités de contrôle. Une réglementation nationale qui ne reflète pas de manière adéquate la mise en balance de ces intérêts ne saurait, dès lors, satisfaire aux exigences de l’article 23, paragraphe 1, du RGPD. Il en va de même lorsqu’il apparaît que des mesures moins attentatoires aux droits fondamentaux, mais tout aussi efficaces pour atteindre les objectifs poursuivis, peuvent être envisagées (34).
78. À cet égard, il convient, de rappeler que le RGPD a conçu le droit d’accès prévu à son article 15 comme un élément essentiel du principe de transparence. Cette qualification ressort clairement du considérant 63 de ce règlement, selon lequel la personne concernée doit pouvoir obtenir « la connaissance du traitement » afin de garantir l’effectivité des droits que ledit règlement lui confère. La Cour a confirmé à plusieurs reprises cette conception en relevant que le droit d’accès occupe une place centrale dans l’économie générale du régime instauré par le même règlement. Une disposition nationale qui prive la personne concernée de ce droit de manière générale et indifférenciée porte, dès lors, atteinte au cœur même du système de protection établi par le législateur de l’Union.
79. S’il est vrai que le RGPD autorise, à son article 23, des limitations aux droits des personnes concernées, y compris au droit d’accès, pour des motifs d’intérêt public, il exige en même temps que de telles limitations reposent sur une base légale présentant un degré suffisant de précision. Cette base doit définir de manière claire la nature, la portée et les limites de la restriction ainsi que les garanties nécessaires pour prévenir les risques d’abus. Le considérant 41 de ce règlement précise en ce sens que toute limitation d’un droit garanti par ledit règlement doit être « claire et précise » et « prévisible » pour la personne concernée, laquelle doit être en mesure de déterminer l’étendue des limitations susceptibles d’être apportées à ses droits (35). Une disposition nationale prévoyant une exclusion absolue du droit d’accès sans déterminer son champ d’application matériel ou personnel, ni prévoir de mesures de sauvegarde, ne saurait satisfaire aux exigences ainsi posées.
80. En outre, le considérant 60 du RGPD rappelle que la transparence constitue un principe fondamental du traitement des données à caractère personnel, applicable y compris à l’action des autorités publiques. Si certaines informations peuvent être temporairement soustraites à la communication dans le cadre d’une procédure de réclamation, notamment afin de ne pas compromettre la prévention, la détection ou l’enquête en matière d’infractions (36), une telle réserve doit rester strictement nécessaire et proportionnée, et ne saurait conduire à neutraliser intégralement la transparence envers la personne concernée. Une disposition nationale qui exclut toute forme d’accès, sans distinguer entre données personnelles et documents internes, méconnaît dès lors l’économie du RGPD.
81. La Cour a également jugé, au regard de l’article 52, paragraphe 1, de la Charte, que les limitations pouvant être apportées à un droit fondamental doivent être conformes non seulement aux principes de légalité et de proportionnalité, mais aussi au principe imposant le respect du « contenu essentiel » du droit en cause (37). Le considérant 4 du RGPD réaffirme que la protection des données à caractère personnel constitue un droit fondamental, consacré à l’article 8 de la Charte, dont les limitations ne peuvent intervenir que dans le respect du principe de proportionnalité. L’exclusion totale du droit d’accès aboutit toutefois à priver la personne concernée de l’essence même de ce droit, en l’empêchant de contrôler, même de manière minimale, les traitements dont elle fait l’objet.
82. Le considérant 75 du RGPD souligne, de manière complémentaire, que l’absence ou l’insuffisance de transparence constitue, en elle-même, un risque susceptible d’affecter gravement les droits et libertés des personnes concernées. Une réglementation privant entièrement la personne concernée de la possibilité de connaître les traitements effectués à son sujet crée précisément la situation de risque que le législateur a entendu prévenir.
83. Il y a lieu d’ajouter que le considérant 129 du RGPD définit les autorités de contrôle comme des organismes indépendants, chargés de veiller à l’application de ce règlement et de protéger les droits des personnes concernées. Cette mission, ainsi que la place qu’elles occupent dans le mécanisme de contrôle institué par le RGPD, n’implique toutefois pas qu’elles soient dispensées de l’ensemble des obligations découlant de celui-ci. Le RGPD crée, au contraire, un cadre juridique cohérent dans lequel les autorités de contrôle, tout en exerçant leurs prérogatives, demeurent pleinement soumises aux règles qu’il établit, notamment celles relatives aux droits des personnes concernées. Une disposition nationale excluant totalement toute communication des données concernant la personne concernée compromet cet équilibre et porte atteinte à l’exigence de responsabilité incombant aux autorités de contrôle.
84. Une exclusion absolue du droit d’accès apparaît, en outre, incompatible avec l’objectif poursuivi par le RGPD de garantir un niveau élevé de protection des données pour les personnes physiques, ainsi que le rappelle le considérant 10 de ce règlement (38). Le niveau de protection ainsi visé repose de manière essentielle sur la transparence et sur la possibilité, pour la personne concernée, de contrôler les opérations de traitement la concernant. Le droit d’accès prévu à l’article 15 dudit règlement constitue à cet égard un élément indispensable, puisqu’il fonde l’exercice effectif de l’ensemble des autres droits des personnes concernées (39). Exclure ce droit de manière générale reviendrait à soustraire certains traitements à tout contrôle individuel et compromettrait ainsi l’effectivité du niveau élevé de protection voulu par le législateur de l’Union.
85. S’agissant de l’objectif visant à protéger les droits et libertés de tiers, invoqué pour justifier une limitation du droit d’accès, il convient de rappeler que la Cour a jugé qu’en cas de conflit entre le droit d’accès et les droits ou libertés d’autres personnes les autorités doivent procéder à une mise en balance des intérêts en présence. Il ressort expressément du considérant 63 du RGPD que cette mise en balance ne saurait, en aucun cas, justifier la privation totale d’accès (40). Des modalités adaptées, telles que la communication partielle, l’occultation ou l’anonymisation de données, la protection de l’identité des auteurs de signalements, un traitement différencié selon les catégories de documents, ou la communication d’informations structurées non individualisées, permettent de concilier les intérêts en cause sans supprimer entièrement le droit d’accès.
86. En ce qui concerne la nécessité invoquée de garantir l’exercice indépendant et efficace des missions des autorités de contrôle, il n’apparaît pas en quoi l’exercice du droit d’accès prévu à l’article 15 du RGPD serait de nature à compromettre cet objectif. Il convient de souscrire à l’appréciation de la juridiction de renvoi selon laquelle l’indépendance des autorités de contrôle n’implique nullement que la légalité des traitements de données à caractère personnel qu’elles mettent en œuvre doive être soustraite au contrôle de la personne concernée. Le risque d’une éventuelle « influence » susceptible d’être favorisée par un accès à l’information, tel qu’avancé par le Landesamt, doit dès lors être écarté.
87. Par ailleurs, ainsi qu’il a été exposé dans les présentes conclusions, l’article 15 du RGPD ne consacre pas un droit général d’accès au dossier (41), de sorte que la charge administrative qui en résulte devrait demeurer limitée. Indépendamment de cela, il convient de relever que ce règlement met à la disposition des autorités de contrôle, à son article 12, paragraphe 5, un instrument approprié pour faire face aux demandes abusives ou excessives (42). Celles-ci sont également habilitées à adopter diverses mesures de gestion, telles que s’abstenir temporairement de fournir des informations en cours de procédure, exclure certains documents internes de la divulgation, distinguer différents types de procédures, ne communiquer que des informations relatives à des phases déjà clôturées ou mettre en place des mécanismes organisationnels garantissant que les processus internes ne sont pas perturbés par les demandes d’accès. De telles mesures permettent d’assurer le bon fonctionnement des autorités de contrôle sans pour autant exclure entièrement le droit d’accès prévu à l’article 15 du RGPD.
88. Il importe également de rappeler que l’efficacité des autorités de contrôle dépend de manière déterminante de la mise à leur disposition des moyens nécessaires, à savoir les ressources humaines, techniques et financières ainsi que les locaux et infrastructures indispensables pour l’exercice effectif de leurs missions et de leurs pouvoirs (43). L’article 52 paragraphe 4, du RGPD impose expressément aux États membres de garantir une telle dotation. Dans cette perspective, la question de la fonctionnalité des autorités de contrôle ne saurait être réduite au seul nombre de demandes d’accès fondées sur l’article 15 du RGPD. Une dotation insuffisante des autorités ne doit en aucun cas se traduire par une diminution du niveau de protection des données à caractère personnel.
89. Il ressort de la décision de renvoi que l’article 20, paragraphe 2, du BayDSG constitue une singularité dans l’ordre juridique allemand, aucun autre Land ne prévoyant une exclusion comparable du droit d’accès. Un tel isolement sur le plan normatif constitue un indice sérieux de ce qu’une restriction de cette portée ne saurait être regardée comme nécessaire ou proportionnée au sens de l’article 23, paragraphe 1, du RGPD. Dès lors que l’ensemble des autres autorités de contrôle exercent leurs missions sans recourir à une suppression générale des droits des personnes concernées, il apparaît difficile de soutenir qu’une telle mesure serait indispensable au bon fonctionnement de l’autorité ou à la protection de droits de tiers. Une réglementation propre à un seul Land, qui restreint de manière sensiblement plus intense les droits garantis par le RGPD que celles adoptées dans les autres parties du territoire national, ne semble pas satisfaire aux exigences de cohérence, de nécessité et de proportionnalité découlant du droit de l’Union.
90. Il convient donc de constater que, pour les deux objectifs invoqués – la protection des droits de tiers et la préservation de la bonne exécution des missions des autorités de contrôle –, des mesures moins restrictives, différenciées et conformes au droit de l’Union permettent de parvenir aux résultats recherchés sans supprimer l’essence du droit d’accès, sans éliminer la transparence requise à l’égard de la personne concernée et sans entraver la possibilité de contrôler la légalité des traitements effectués.
91. Un autre aspect critique réside dans le fait que l’article 20, paragraphe 2, du BayDSG ne permet pas d’identifier l’objectif poursuivi par le législateur national. Ainsi qu’il ressort des indications fournies par la juridiction de renvoi, les travaux préparatoires se bornent à mentionner l’article 23 du RGPD comme base juridique, sans toutefois se référer à l’un des objectifs énumérés à cette disposition. Or, cet article 23 exige que la finalité de la limitation ressorte clairement de la disposition elle-même, condition nécessaire à un contrôle effectif du respect des principes de nécessité et de proportionnalité.
92. Il ne saurait être remédié à cette exigence de clarté par des justifications avancées ex post par une partie à la procédure préjudicielle au titre de l’article 267 TFUE, en particulier lorsque cette partie est celle qui bénéficie de la limitation en cause. Admettre une telle possibilité reviendrait à substituer à la volonté du législateur démocratiquement responsable une construction argumentative élaborée dans un cadre contentieux, ce qui serait incompatible avec les exigences de prévisibilité, de transparence normative et de sécurité juridique découlant de l’article 23, paragraphes 1 et 2, du RGPD.
93. Dans ces conditions, il convient de conclure qu’une exclusion générale et indifférenciée du droit d’accès, telle que celle prévue à l’article 20, paragraphe 2, du BayDSG, n’est pas conforme aux exigences de l’article 23 du RGPD, dès lors qu’elle ne contient aucun des éléments expressément exigés à son paragraphe 2 et ne respecte ni l’économie ni la finalité de ce règlement telles qu’elles résultent des considérants pertinents. Une telle disposition apparaît disproportionnée, insuffisamment déterminée et de nature à priver le droit d’accès de son contenu essentiel.
3. Conclusion intermédiaire
94. Pour les raisons exposées ci-dessus, je considère que l’article 23 du RGPD doit être interprété en ce sens qu’il s’oppose à une réglementation nationale telle que l’article 20, paragraphe 2, du BayDSG, dans la mesure où celle-ci exclut, en tant que telle, l’existence d’un droit d’accès, fondé sur l’article 15 de ce règlement, envers l’autorité de contrôle.
VI. Conclusion
95. Au vu des considérations qui précèdent, je propose à la Cour de répondre comme suit aux questions préjudicielles posées par le Bayerisches Verwaltungsgericht Ansbach (tribunal administratif bavarois d’Ansbach, Allemagne) :
1) L’article 15, lu en combinaison avec l’article 4, point 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
une autorité de contrôle, au sens de l’article 4, point 21, de ce règlement, lorsqu’elle agit dans le cadre d’une procédure de réclamation fondée sur l’article 77 dudit règlement, revêt également la qualité de « responsable du traitement » au sens du même règlement et est donc tenue de garantir à la personne concernée le droit d’accès prévu à l’article 15 du même règlement 2016/679.
2) L’article 23 du règlement 2016/679
doit être interprété en ce sens que :
il s’oppose à une disposition nationale, telle que celle prévue à l’article 20, paragraphe 2, de la loi bavaroise relative à la protection des données, qui exclut, en tant que telle, l’existence d’un droit d’accès, fondé sur l’article 15 de ce règlement, envers l’autorité bavaroise de protection des données.
1 Langue originale : le français.
2 JO 2016, L 119, p. 1.
3 Voir points 24 et suiv. des présentes conclusions.
4 Voir points 65 et suiv. des présentes conclusions.
5 Voir arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, points 65 et 66).
6 La Cour a même jugé qu’une personne physique ou morale qui, pour des finalités qui lui sont propres, exerce une influence sur un traitement de données à caractère personnel et participe ainsi à la détermination des finalités et des moyens de ce traitement peut être qualifiée de « responsable du traitement » [voir arrêts du 10 juillet 2018, Jehovan todistajat, C‑25/17 (EU:C:2018:551, point 68), et du 29 juillet 2019, Fashion ID, C‑40/17 (EU:C:2019:629, point 68)].
7 Le RGPD ne définit pas explicitement ce qu’est une « réclamation », mais le libellé de l’article 77 en donne une première indication. Selon les lignes directrices du Comité européen de la protection des données (CEPD), une réclamation correspond à une soumission adressée à une autorité de contrôle par une personne physique identifiée – ou par un organisme répondant aux conditions de l’article 80 – qui considère que le traitement de ses données constitue une violation du RGPD. Le CEPD précise que cette notion ne se limite pas aux atteintes aux droits précisés au chapitre III, mais couvre plus largement toute violation du règlement résultant du traitement des données personnelles de l’auteur de la réclamation (CEPD, « Internal Document 6/2020 on preliminary steps to handle a complaint : admissibility and vetting of complaints », adopté le 15 décembre 2020, p. 3).
8 Voir arrêts du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, EU:C:2023:958, point 58) ; du 26 septembre 2024, Land Hessen (Obligation d’agir de l’autorité de protection des données) (C‑768/21, EU:C:2024:785, point 35), et du 9 janvier 2025, Österreichische Datenschutzbehörde (Demandes excessives) (C‑416/23, EU:C:2025:3, point 39).
9 Voir arrêt de la Cour de l’AELE du 10 décembre 2020, Adpublisher AG/J & K (affaires jointes E-11/19 et E-12/19, point 45).
10 Voir arrêts du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650, point 63) ; du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559, point 107) ; du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, EU:C:2023:958, point 56), et du 26 septembre 2024, Land Hessen (Obligation d’agir de l’autorité de protection des données) (C‑768/21, EU:C:2024:785, point 32).
11 Dans ce contexte, il y a lieu de rappeler les conclusions de l’avocat général Pikamäe dans les affaires jointes SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, EU:C:2023:222, point 42), dans lesquelles celui-ci a souligné que le législateur de l’Union n’a pas entendu faire de la procédure de réclamation un mécanisme assimilable à une simple « pétition ». L’objectif poursuivi a, au contraire, été de créer un mécanisme capable de sauvegarder de manière efficace les droits et les intérêts des personnes qui introduisent des réclamations. En particulier, les obligations énoncées à l’article 57, paragraphe 1, sous f), du RGPD, qui incombent à l’autorité de contrôle dans le cadre du traitement de ces réclamations et relèvent du principe de « bonne administration », attestent de la volonté du législateur de conférer à cette procédure la substance d’« un véritable recours administratif ».
12 Voir arrêt du 26 septembre 2024, Land Hessen (Obligation d’agir de l’autorité de protection des données) (C‑768/21, EU:C:2024:785, point 42).
13 Voir arrêts du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, EU:C:2023:958, point 70), et du 26 septembre 2024, Land Hessen (Obligation d’agir de l’autorité de protection des données) (C‑768/21, EU:C:2024:785, point 49).
14 Il n’existe pas de prescriptions uniformes en droit de l’Union quant au traitement concret des réclamations par les autorités de contrôle. La pratique administrative présente, en conséquence, certaines divergences entre les États membres. Néanmoins, le CEPD s’efforce, au moyen de lignes directrices et de l’élaboration de « bonnes pratiques », d’assurer un certain degré d’harmonisation de l’activité de contrôle ainsi que des modalités procédurales, notamment en ce qui concerne l’admission ou l’archivage des réclamations, la constatation de règlements amiables, etc. (voir, à cet égard, CEPD, « Internal document 6/2020 on preliminary steps to handle a complaint : admissibility and vetting of complaints », adopté le 15 décembre 2020).
15 Comme l’a relevé la Cour AELE dans son arrêt du 10 décembre 2020, Adpublisher AG/J & K (affaires jointes E-11/19 et E-12/19, point 60), l’autorité de contrôle est habilitée, en vertu de l’article 57, paragraphe 1, sous h), du RGPD, à ouvrir des enquêtes d’office. Dès lors, dans le cadre de l’examen d’une réclamation, elle peut se prononcer sur d’autres prétentions ou sur un autre objet du litige que ceux invoqués par l’auteur de la réclamation. L’efficacité de la procédure de réclamation exige que l’autorité de contrôle ne soit pas limitée, dans l’exercice de ses pouvoirs d’enquête, par la manière dont l’auteur de la réclamation a formulé les questions de droit pertinentes dans sa réclamation.
16 Les autorités de contrôle semblent traiter les réclamations soit sur la base des dispositions du droit national, soit selon leur propre marge d’appréciation. Il semble également exister des différences quant au traitement des réclamations selon des critères pragmatiques ou dans le cadre d’une procédure simplifiée (voir, à cet égard, González Fuster, G., et autres, « The right to lodge a data protection complaint : ok, but then what ? – An empirical study of current practices under the GDPR », Access Now, Open Universiteit, 2022, p. 30).
17 Voir arrêts du 11 janvier 2024, État belge (Données traitées par un journal officiel) (C‑231/22, EU:C:2024:7, point 39), et du 27 février 2025, Amt der Tiroler Landesregierung (C‑638/23, EU:C:2025:127, point 49).
18 À la demande de la Cour, le Landesamt a exposé sa pratique administrative en matière de traitement des réclamations. Il a précisé, à cet égard, que les auteurs de celles-ci peuvent adresser des demandes, y compris par voie électronique, aux agents compétents du Landesamt et solliciter l’accès au dossier. Il ressort clairement de cet exposé que les modalités selon lesquelles le Landesamt traite les réclamations, notamment s’agissant des données collectées, des mesures organisationnelles adoptées et des investigations menées, relèvent de l’autonomie que lui confère le RGPD dans l’exercice de ses missions.
19 Möhle, J.-P., « Verantwortlichkeit als integrierendes Konzept im Datenschutzrecht », Die Öffentliche Verwaltung, 2023, n ° 3, p. 108, explique que seule la personne effectivement en mesure d’exercer une influence peut être tenue aux obligations découlant du droit de la protection des données (telles que les obligations d’information, de responsabilité ou de coopération), à savoir celle qui est apte à prévenir à l’avenir des violations des règles de protection des données. À mon sens, il ne fait aucun doute que, dans le cadre d’une procédure de réclamation, seule l’autorité de contrôle peut répondre à cette définition.
20 Or, ainsi que la Cour l’a jugé, l’objectif poursuivi par la définition large de la notion de « responsable du traitement » est précisément d’assurer une protection efficace et complète des personnes concernées [voir arrêts du 13 mai 2014, Google Spain et Google, C‑131/12 (EU:C:2014:317, point 34) ; du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, point 66), et du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, point 28)].
21 Voir, en ce sens, Kunert, J., « Vorabentscheidungsersuchen an den EuGH zur Aufsichtsbehörde als Verantwortlicher und zur Rechtmäßigkeit des Art. 20 II BayDSG », GRUR-Prax, 2025, n° 9, p. 324.
22 Voir arrêt du 22 juin 2023, Pankki S (C‑579/21, EU:C:2023:501, point 50).
23 Voir arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF (C‑487/21, EU:C:2023:369, points 33 et 34).
24 Voir arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF (C‑487/21, EU:C:2023:369, point 41).
25 Voir arrêts du 20 décembre 2017, Nowak (C‑434/16, EU:C:2017:994, point 57) ; du 12 janvier 2023, Österreichische Post (Informations relatives aux destinataires de données personnelles) (C‑154/21, EU:C:2023:3, point 38), et du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF (C‑487/21, EU:C:2023:369, point 35).
26 Zanfir-Fortuna, G., « Article 15. Right of access by the data subject », dans Kuner, C., Bygrave, L. A. et Docksey, C. (ed.), The EU General Data Protection Regulation (GDPR): A Commentary, Oxford 2020, p. 452, souligne qu’il importe de distinguer le droit d’accès à ses propres données à caractère personnel, consacré à l’article 15 du RGPD, du droit d’accès à l’information publique. Ces deux droits reposent sur des finalités normatives différentes : le premier vise à garantir la transparence à l’égard de la personne dont les données sont collectées et traitées par un responsable du traitement (transparence inter partes), tandis que le second tend à assurer la transparence à l’égard du public concernant des informations présentant une valeur ou un intérêt public (transparence erga omnes).
27 Gumzej, N., « DPA powers toward effective and transparent GDPR enforcement: the case of Croatia », Juridical Tribune – Review of Comparative and International Law, vol. 13, n° 2 (2023), p. 210, renvoie aux lois en vigueur sur la liberté d’accès à l’information.
28 Schemmer, F., « Der Auskunftsanspruch der DS-GVO – Umfang des datenschutzrechtlichen Auskunftsanspruchs gem. Art. 15 DS-GVO und dessen Grenzen », Zeitschrift für das gesamte Informationsrecht, 2024, n° 5, p. 210.
29 Voir arrêts du 6 mars 2007, Placanica e.a. (C‑338/04, C‑359/04 et C‑360/04, EU:C:2007:133, point 34), et du 21 juin 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, point 240).
30 Voir arrêts du 25 octobre 2001, Ambulanz Glöckner (C‑475/99, EU:C:2001:577, point 10), et du 14 novembre 2024, S. (Modification de la formation de jugement) (C‑197/23, EU:C:2024:956, point 43).
31 Voir arrêts du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559, point 172) ; du 12 janvier 2023, Österreichische Post (Informations relatives aux destinataires de données personnelles) (C‑154/21, EU:C:2023:3, point 47), et du 21 mars 2024, Landeshauptstadt Wiesbaden (C‑61/22, EU:C:2024:251, point 75).
32 Giurgiu, A., et Larsen, T., « Roles and Powers of National Data Protection Authorities – Moving from Directive 95/46/EC to the GDPR: Stronger and More “European” DPAs as Guardians of Consistency? », European Data Protection Law Review, n°3, 2016, p. 352, considèrent les autorités de contrôle comme les principaux garants des droits des individus, en raison de leur rôle central dans la surveillance et l’application des règles de protection des données prévues au RGPD. Ils soulignent l’importance de doter ces autorités de ressources suffisantes, tant en personnel qu’en moyens financiers, afin qu’elles puissent remplir efficacement leurs missions.
33 Voir arrêt du 9 janvier 2025, Österreichische Datenschutzbehörde (Demandes excessives) (C‑416/23, EU:C:2025:3, point 40).
34 Voir arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, point 85).
35 Voir arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales) (C‑175/20, EU:C:2022:124, point 56).
36 Voir, à cet égard, CEPD, Guidelines 10/2020 on restrictions under Article 23 GDPR (version 2.1), adoptées le 13 octobre 2021, points 65 à 67 et 82, qui recommandent des limitations temporaires à l’exercice de certains droits des personnes concernées afin de ne pas compromettre des enquêtes administratives.
37 Voir arrêts du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238, point 38) ; du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650, point 94) ; du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559, point 174), et du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 121).
38 La Cour a, dans sa jurisprudence constante, rappelé cet objectif et souligné que la protection des données à caractère personnel est garantie tant par l’article 16 TFUE que par l’article 8 de la Charte, consacrant ainsi ce droit dans deux dispositions du droit primaire de l’Union (voir arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 43).
39 Voir arrêt du 22 juin 2023, Pankki S (C‑579/21, EU:C:2023:501, points 53 et suiv.).
40 Voir arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF (C‑487/21, EU:C:2023:369, point 44).
41 Voir points 59 et suiv. des présentes conclusions.
42 Voir arrêt du 12 janvier 2023, Österreichische Post (Informations relatives aux destinataires de données personnelles) (C‑154/21, EU:C:2023:3, point 49). Ainsi que la Cour l’a souligné, il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif d’une demande d’accès au sens de l’article 12, paragraphe 5, du RGPD.
43 Voir, à cet égard, Agence des droits fondamentaux de l’Union européenne (FRA), GDPR in practice – Experiences of Data Protection Authorities, Luxembourg, 11 juin 2024, p. 21, qui décrit la disponibilité des ressources des autorités de contrôle au fil des années comme « généralement insuffisante ». À la suite de la première évaluation par la Commission de l’application du RGPD, le Parlement européen a adopté une résolution invitant les États membres à respecter leur obligation, prévue à l’article 52, paragraphe 4, du RGPD, de doter leurs autorités de contrôle de ressources suffisantes afin de leur permettre d’accomplir leurs missions de la meilleure manière possible et de garantir des conditions équitables d’application du RGPD au niveau européen.
Conclusions de l'avocat général M. R. Norkus, présentées le 18 juin 2026.###
18/06/2026
Conclusions de l'avocat général M. J. Richard de la Tour, présentées le 18 juin 2026.###
18/06/2026
Conclusions de l'avocate générale Mme J. Kokott, présentées le 18 juin 2026.###
18/06/2026
Conclusions de l'avocat général M. M. Szpunar, présentées le 18 juin 2026.###
18/06/2026