L’autorité de protection des données est-elle soumise au RGPD ? La CJUE saisie d’une question piquante
Publié le 24/04/2026 par
Etienne Wery 
24 vues
Un journaliste spécialisé en protection des données dépose une plainte auprès de l’autorité bavaroise de contrôle, puis réclame l’accès aux données que celle-ci détient sur lui. Réponse : la loi l’interdit. L’affaire est désormais devant la Cour de justice de l’Union européenne, qui doit trancher une question embarrassante : le gendarme du RGPD est-il lui-même…
Un journaliste spécialisé en protection des données dépose une plainte auprès de l’autorité bavaroise de contrôle, puis réclame l’accès aux données que celle-ci détient sur lui. Réponse : la loi l’interdit. L’affaire est désormais devant la Cour de justice de l’Union européenne, qui doit trancher une question embarrassante : le gendarme du RGPD est-il lui-même soumis au RGPD ?
Il y a quelque chose de surréaliste dans cette affaire … qui vient pourtant d’Allemagne.
M. Joachim Lindenberg, journaliste et blogueur spécialisé en protection des données, dépose depuis 2021 des plaintes auprès du Bayerisches Landesamt für Datenschutzaufsicht (l’autorité bavaroise de contrôle).
En 2022, l’autorité l’informe qu’elle a constaté des violations commises par le tiers visé. Le journaliste demande des détails. Silence de l’autorité …
M. Lindenberg soumet alors une demande d’accès formelle fondée sur l’article 15 du RGPD. Réponse : une disposition de la loi bavaroise (le BayDSG) « exclut purement et simplement un droit d’accès et de consultation des dossiers et fichiers des autorités de contrôle ». Autrement dit : pour ce qui concerne le droit d’accès, le gendarme des données se soustrait aux règles qu’il est censé faire respecter, et il conteste de surcroit être un « responsable de traitement ».
M. Lindenberg décide de saisir le tribunal qui estime que la question doit être renvoyée à la Cour de justice de l’Union européenne.
L’avocat général Rimvydas Norkus a rendu ses conclusions ce 16 avril 2026. Il écrit que « La présente affaire soulève une question de principe relative au statut juridique des autorités de contrôle au regard des droits reconnus par le RGPD et, en particulier, du droit d’accès garanti à son article 15. » (point 21)
Première question : une autorité de protection des données est-elle un responsable du traitement quand elle enquête suite à une plainte et traite le dossier ?
L’argument de l’autorité bavaroise était simple : puisque je suis une autorité de contrôle au sens de l’article 4(21) du RGPD, je ne peux pas être simultanément un responsable du traitement au sens du 4(7). Dans cette logique, les deux rôles s’excluraient mutuellement.
L’avocat général balaie cette thèse. Il rappelle que la définition de « responsable du traitement » vise expressément les « autorités publiques », sans exception. Puis il analyse ce que fait concrètement l’autorité lorsqu’elle instruit une plainte : « L’autorité ne se borne pas à recevoir ces données ; elle les structure, les analyse, les conserve et les utilise dans le cadre de l’exercice autonome des pouvoirs d’enquête et de répression que lui reconnaît ce règlement. » (point 26)
Et cette autonomie est un facteur décisif pour l’avocat général. C’est en effet l’autorité qui détermine elle-même les modalités concrètes du traitement : « L’autorité de contrôle décide également, de manière autonome sur des points essentiels, des moyens du traitement. Elle détermine quelles données à caractère personnel sont collectées, sous quelle forme elles sont enregistrées, structurées et conservées, selon quels critères les dossiers sont constitués, les archives numériques organisées ou les éléments de preuve répertoriés, ainsi que les procédés techniques ou organisationnels mobilisés pour l’analyse, le traitement ultérieur ou la mise à disposition interne des données. » (point 43)
Le fait d’agir dans le cadre d’une mission légale ne change rien à cette qualification : « La circonstance que cette activité s’inscrive dans l’exercice d’une mission légale ne fait pas disparaître la qualité de « responsable du traitement ». » (point 45)
Refuser cette qualification aurait une conséquence structurellement inacceptable : « Le traitement de données effectué par l’autorité échapperait ainsi à toute exigence de transparence et de responsabilité, alors même que cette autorité est précisément chargée de garantir la protection des droits des personnes concernées. Une absence de qualification en tant que « responsable du traitement » créerait dès lors une faille structurelle de protection, privant la personne concernée, dans sa relation avec l’autorité de contrôle, des garanties fondamentales prévues par le RGPD. » (point 49)
Seconde question : la loi peut-elle spécifiquement supprimer le droit d’accès vis-à-vis d’une autorité de contrôle ?
L’article 23 du RGPD autorise les États membres à restreindre le droit d’accès, mais sous des conditions strictes : la restriction doit être proportionnée, nécessaire, et justifiée par l’un des objectifs listés de façon exhaustive. Or, la loi bavaroise exclut tout droit d’accès vis-à-vis de l’autorité, de manière générale et absolue, sans viser explicitement aucun de ces objectifs.
L’avocat général concède que deux objectifs auraient pu, en principe, être invoqués : la protection des données de tiers et la préservation du bon fonctionnement des autorités de contrôle.
Mais même à supposer ces objectifs légitimes, l’exclusion totale reste incompatible avec le droit fondamental à la protection des données : « L’exclusion totale du droit d’accès aboutit toutefois à priver la personne concernée de l’essence même de ce droit, en l’empêchant de contrôler, même de manière minimale, les traitements dont elle fait l’objet. » (point 81)
Des mesures moins radicales permettraient d’atteindre les mêmes objectifs :« Des modalités adaptées, telles que la communication partielle, l’occultation ou l’anonymisation de données, la protection de l’identité des auteurs de signalements, un traitement différencié selon les catégories de documents, ou la communication d’informations structurées non individualisées, permettent de concilier les intérêts en cause sans supprimer entièrement le droit d’accès. » (point 85)
Puis vient le « benchmark » : le BayDSG est une singularité absolue dans le paysage juridique allemand puisqu’aucun aucun autre Land n’a jugé utile d’adopter une telle mesure : « Dès lors que l’ensemble des autres autorités de contrôle exercent leurs missions sans recourir à une suppression générale des droits des personnes concernées, il apparaît difficile de soutenir qu’une telle mesure serait indispensable au bon fonctionnement de l’autorité ou à la protection de droits de tiers. » (point 89)
Une nuance importante toutefois : le droit d’accès de l’article 15 ne donne pas accès à tout. L’avocat général est explicite sur ce que ce droit n’est pas : « Il ne consacre, en revanche, ni un droit général d’accès à l’information détenue par l’administration, ni un droit de consultation des documents internes, ni, a fortiori, un droit à la divulgation des éléments relevant du processus interne de délibération ou de décision de l’autorité publique. » (point 59)
Un arrêt dans le même sens entrainerait la nécessité de changer d’état d’esprit
Si la CJUE confirme les conclusions de l’avocat général, ce qu’elle fait dans la grande majorité des cas, les implications dépasseront largement la Bavière. N’importe quelle autorité serait soumise, pour ce qui concerne le RGPD, aux mêmes exigences que les entreprises qu’elles contrôlent et sanctionnent.
Cela pose une question immédiate : contre qui déposer plainte si l’on estime que l’autorité agit en violation de ses obligations ?
La décision finale de la Cour est attendue dans les prochains mois. En attendant, l’affaire rappelle une vérité simple et un peu gênante pour tout régulateur : personne n’est au-dessus des règles qu’il est chargé de faire respecter.
