Article 78 du RGPD : Droit à un recours juridictionnel effectif contre une autorité de contrôle

Texte original du RGPD

1. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.

2. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 77.

3. Toute action contre une autorité de contrôle est intentée devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie.

4. Dans le cas d’une action intentée contre une décision d’une autorité de contrôle qui a été précédée d’un avis ou d’une décision du comité dans le cadre du mécanisme de contrôle de la cohérence, l’autorité de contrôle transmet l’avis ou la décision en question à la juridiction concernée.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. 

Article 28

3. Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté).

Article 19

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

I- Les membres de la Commission nationale de l’informatique et des libertés ainsi que les agents de ses services habilités dans les conditions définies au dernier alinéa de l’article 10 ont accès, de 6 heures à 21 heures, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel.

Le procureur de la République territorialement compétent en est préalablement informé.

Lorsqu’un traitement de données à caractère personnel est mis en œuvre, soit dans les parties de ces lieux, locaux, enceintes, installations ou établissements affectées au domicile privé, soit dans de tels lieux, locaux, enceintes, installations ou établissements entièrement affectés au domicile privé, la visite ne peut se dérouler qu’après l’autorisation du juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter, dans les conditions prévues au II du présent article.

II- Le responsable de ces lieux, locaux, enceintes, installations ou établissements est informé de son droit d’opposition à la visite. Lorsqu’il exerce ce droit, la visite ne peut se dérouler qu’après l’autorisation du juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter, qui statue dans des conditions fixées par décret en Conseil d’Etat. Toutefois, lorsque l’urgence, la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la visite peut avoir lieu sans que le responsable des locaux en ait été informé, sur autorisation préalable du juge des libertés et de la détention. Dans ce cas, le responsable des lieux ne peut s’opposer à la visite.

La visite s’effectue sous l’autorité et le contrôle du juge des libertés et de la détention qui l’a autorisée, en présence de l’occupant des lieux ou de son représentant qui peut se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des personnes chargées de procéder au contrôle.

L’ordonnance ayant autorisé la visite est exécutoire au seul vu de la minute. Elle mentionne que le juge ayant autorisé la visite peut être saisi à tout moment d’une demande de suspension ou d’arrêt de cette visite. Elle indique le délai et la voie de recours. Elle peut faire l’objet, suivant les règles prévues par le code de procédure civile, d’un appel devant le premier président de la cour d’appel. Celui-ci connaît également des recours contre le déroulement des opérations de visite dont la finalité est l’exercice effectif des missions prévues au III.

III – Pour l’exercice des missions relevant de la Commission nationale de l’informatique et des libertés en application du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi, les membres et agents mentionnés au premier alinéa du I du présent article peuvent demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie. Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles et nécessaires à l’accomplissement de leur mission. Ils peuvent accéder, dans des conditions préservant la confidentialité à l’égard des tiers, aux programmes informatiques et aux données ainsi qu’en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. Le secret ne peut leur être opposé sauf concernant les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, sous réserve du deuxième alinéa du présent III, par le secret médical.

Le secret médical est opposable s’agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé. La communication des données médicales individuelles incluses dans cette catégorie de traitement ne peut alors se faire que sous l’autorité et en présence d’un médecin.

En dehors des contrôles sur place et sur convocation, ils peuvent procéder à toute constatation utile. Ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations. Ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

Pour le contrôle de services de communication au public en ligne, les membres et agents mentionnés au premier alinéa du I peuvent réaliser toute opération en ligne nécessaire à leur mission sous une identité d’emprunt. A peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction. L’utilisation d’une identité d’emprunt est sans incidence sur la régularité des constatations effectuées conformément au troisième alinéa du présent III. Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, précise les conditions dans lesquelles ces membres et agents procèdent dans ces cas à leurs constatations.

Les membres et agents mentionnés au premier alinéa du I peuvent, à la demande du président de la commission, être assistés par des experts.

Il est dressé procès-verbal des vérifications et visites menées en application du présent article. Ce procès-verbal est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place ou sur convocation.

IV- Pour les traitements intéressant la sûreté de l’Etat et qui sont dispensés de la publication de l’acte réglementaire qui les autorise en application du III de l’article 31, le décret en Conseil d’Etat qui prévoit cette dispense peut également prévoir que le traitement n’est pas soumis aux dispositions du présent article.

V- Dans l’exercice de son pouvoir de contrôle portant sur les traitements relevant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi, la Commission nationale de l’informatique et des libertés n’est pas compétente pour contrôler les opérations de traitement effectuées, dans l’exercice de leur fonction juridictionnelle, par les juridictions.

Analyse des 3 textes qui précèdent 

La directive 95/46/CE prévoyait que les États membres mettent en place des procédures permettant à toute personne de saisir l’autorité de contrôle (article 28).

Elle prévoit aussi que les « décisions faisant grief » de l’autorité pouvaient faire l’objet d’un recours juridictionnel, mais elle laisse aux États membres le soin d’organiser les modalités et d’en définir l’effectivité.​

L’effectivité du recours dépendait donc principalement du droit national et n’était pas explicitement garantie à chaque personne dans tous les cas d’inaction ou de silence de l’autorité.​

La Loi Informatique et Libertés, dès sa version modifiée (notamment après la transposition de la directive), reconnaît la qualité d’autorité administrative indépendante à la CNIL et offre effectivement la possibilité de former un recours devant la juridiction administrative contre ses décisions.​

Le droit au recours existe en cas de sanction ou de décision négative, et la procédure est précisée dans la loi ; la CNIL a, en pratique, des pouvoirs de sanction et contrôle accrues.​

Cependant, l’obligation d’offrir ce recours en cas d’inaction (absence de réponse à une plainte) ou d’informer sur l’état d’avancement n’était pas systématiquement explicitée comme dans le RGPD.​

Le RGPD en son article 78 apporte une avancée en créant un droit autonome, explicite, et effectif à l’encontre de toute autorité de contrôle, non limité à la « décision faisant grief », mais élargi à l’inaction ou au défaut d’information dans un délai de trois mois concernant les plaintes.

La norme européenne impose également la transmission des avis ou décisions du Comité européen à la juridiction saisie, en cas de procédure de cohérence.

Ce droit à un recours effectif est donc renforcé : il n’est plus laissé à l’appréciation des États, mais reconnu à toute personne physique ou morale sans exception

Jurisprudences 

Européennes 

C‑132/21 (12 janvier 2023), Budapesti Elektromos Művek

Cette décision clarifie que le droit à un recours juridictionnel effectif prévu par l’article 78 RGPD inclut la possibilité pour une personne physique ou morale de contester devant un tribunal une décision juridiquement contraignante prise par une autorité de contrôle.

La Cour de justice rappelle que ce droit englobe aussi le droit de contester l’absence ou le refus de traitement effectif d’une plainte par l’autorité de contrôle.

Elle souligne également que l’article 47 de la Charte des droits fondamentaux de l’Union européenne garantit un recours effectif en conformité avec l’article 78 du RGPD.

Ainsi, l’affaire confirme le caractère fondamental et autonome du recours juridictionnel contre les autorités de contrôle, au-delà des recours administratifs ou extrajudiciaires, inscrivant ce droit dans le cadre des droits fondamentaux européens. 

C‑26/22 et C‑64/22, UF (C‑26/22), AB (C‑64/22) contre Land Hessen (7 décembre 2023)

Ces arrêts confirment que l’article 78 RGPD garantit un droit à un contrôle juridictionnel complet des décisions rendues par une autorité de contrôle.

Ils insistent sur l’effectivité du droit d’obtenir des mesures correctives, notamment le droit de faire annuler ou modifier une décision administrative qui emporte des conséquences juridiques contraignantes.

La Cour souligne que ce droit ne peut être limité par de simples procédures administratives ou des recours internes non juridictionnels.

Par ailleurs, la portée du droit d’accès, d’effacement et d’opposition des personnes concernées (articles 5, 6, 17) est confirmée comme un élément intrinsèquement lié au droit à un recours juridictionnel dans le cadre de l’article 78.

Ces décisions renforcent la cohérence entre le RGPD et le droit européen fondamental, notamment avec la Charte, en affirmant que le recours effectif contre les autorités de contrôle est une garantie essentielle pour l’exercice des droits des individus. 

Françaises 

CE Fr., n°335140 (16 avril 2012)

Cette décision reconnaît que la formation restreinte de la CNIL fait office de tribunal au sens de l’article 6 de la Convention européenne des droits de l’homme, garantissant le droit à un procès équitable.

L’arrêt établit le principe selon lequel les personnes mises en cause peuvent être assistées d’un avocat, accéder à leur dossier et être entendues.

Il pose ainsi les bases d’un recours juridictionnel effectif contre les décisions de la CNIL, en cohérence avec les exigences de l’article 78 du RGPD.

Bien que cette décision soit antérieure au RGPD, elle a anticipé la conformité avec les droits fondamentaux garantissant un contrôle juridictionnel effectif.

CE (fr) n° 452668 (8 avril 2022)

Cette décision illustre la mise en œuvre concrète du droit à un recours juridictionnel sous l’égide du RGPD, notamment en matière de lignes directrices et recommandations émises par la CNIL (ici sur les cookies et traceurs).

Le Conseil d’État rappelle son rôle de juge de l’excès de pouvoir, examinant notamment la légalité des actes de la CNIL et la portée de ses pouvoirs d’appréciation.

L’arrêt mentionne que les recours contre les décisions de la CNIL doivent être accueillis si les décisions entachent une erreur d’interprétation ou un excès de pouvoir, concrétisant ainsi le droit au recours juridictionnel effectif tel que prévu à l’article 78.

Cette décision traduit une application directe et renforcée des principes du RGPD dans le droit français.

Recommandations 

À ce jour, aucune ligne directrice, recommandation ou interprétation officielle n’a été publiée par les autorités de contrôle ou par le Comité européen de la protection des données (CEPD) concernant cette disposition du Règlement (UE) 2016/679 (RGPD).