Par une décision rendue le 26 décembre 2025, le Conseil d’État précise l’étendue des pouvoirs d’action de la Commission nationale de l’informatique et des libertés. Le litige porte sur le traitement par l’autorité de contrôle d’une plainte relative à des transferts de données personnelles vers les États-Unis d’Amérique. Un particulier a saisi la commission pour dénoncer les transferts opérés par un site de presse en ligne via l’utilisation d’un réseau de distribution de contenus. Après un silence de trois mois valant rejet, l’autorité de régulation a finalement notifié au requérant une décision explicite de clôture de la plainte. Il convient de déterminer si l’autorité de contrôle peut légalement clore une plainte après avoir simplement rappelé au responsable de traitement le respect de ses obligations. L’analyse portera d’abord sur l’encadrement du pouvoir d’appréciation de la commission avant d’étudier la validation du choix de clôturer la procédure de contrôle en l’espèce.
I. L’affirmation du large pouvoir d’appréciation de l’autorité de contrôle
A. Une liberté d’action étendue dans le traitement des réclamations
Le juge administratif rappelle qu’il appartient à la commission de décider des suites à donner aux faits qui sont à l’origine d’une plainte déposée. Elle dispose à cet effet d’un « large pouvoir d’appréciation » pour tenir compte de la gravité des manquements allégués et de l’ensemble des intérêts généraux. Cette prérogative permet à l’autorité de régulation d’adapter sa réponse sans être systématiquement contrainte d’engager une procédure de sanction formelle à chaque signalement. La commission peut ainsi arbitrer entre les différentes mesures correctrices prévues par la loi en fonction du sérieux des indices et du contexte des faits commis. Cette souplesse administrative vise à garantir une régulation proportionnée tout en assurant une protection effective des droits des personnes concernées par les traitements de données.
B. Un contrôle juridictionnel limité à l’erreur manifeste d’appréciation
L’auteur d’une plainte peut déférer au juge de l’excès de pouvoir le refus de l’autorité de contrôle de donner une suite plus contraignante à sa demande. Le Conseil d’État exerce cependant un contrôle restreint sur le bien-fondé de cette décision en censurant uniquement l’erreur de droit ou l’erreur manifeste d’appréciation. Dans cette espèce, le juge considère que les circonstances de la clôture ne révèlent aucun détournement de pouvoir de la part de l’administration saisie du dossier. Le requérant n’est donc pas fondé à exiger une intervention plus sévère si les diligences accomplies par la commission paraissent suffisantes au regard du droit. La reconnaissance de cette large marge de manoeuvre administrative conduit logiquement le juge à examiner l’adéquation des mesures concrètes prises par l’autorité de contrôle.
II. La validation de la réponse administrative aux transferts de données
A. La pertinence des mesures de régulation adoptées par la commission
La commission a « décidé de rappeler la société exploitant le site […] au respect de ses obligations » en demandant une évaluation de la légalité des transferts. Elle a exigé une mise en conformité concernant le recueil du consentement pour l’usage de technologies de filtrage et l’information complète des utilisateurs du site. Ces interventions administratives sont jugées suffisantes par la haute juridiction qui rejette l’idée d’un manquement dans le traitement diligent de la réclamation par la commission. L’autorité a ainsi exercé sa mission de veille sans qu’il soit nécessaire de prononcer une mise en demeure formelle ou une amende administrative immédiate. L’efficacité de cette réponse administrative doit néanmoins s’apprécier au regard du cadre normatif européen régissant les transferts de données vers les États-Unis d’Amérique.
B. L’absence de nécessité d’un renvoi préjudiciel devant le juge européen
Le requérant sollicitait un renvoi préjudiciel portant sur la conformité de la décision d’exécution européenne du 10 juillet 2023 relative au transfert des données personnelles. Le Conseil d’État refuse cette demande en soulignant que le Tribunal de l’Union européenne s’est déjà prononcé sur la validité de ce texte de référence. Le juge français estime qu’il n’existe aucun doute raisonnable quant à la légalité de la décision d’adéquation qui encadre actuellement les flux de données transatlantiques. La solution retenue confirme la stabilité du cadre juridique entourant les échanges numériques entre les acteurs européens et les prestataires de services situés hors Union. Le rejet de la requête illustre la confiance accordée aux autorités de contrôle nationales pour apprécier l’opportunité des poursuites dans un environnement technique complexe.
