Le Conseil d’État, par une décision rendue le 26 décembre 2025, précise l’étendue du contrôle juridictionnel sur les missions de l’autorité de régulation des données personnelles. Un internaute avait saisi la Commission nationale de l’informatique et des libertés d’une plainte contre un site de presse en ligne pour des transferts de données illicites. Le litige porte sur la légalité de la clôture de cette réclamation après une intervention administrative n’ayant pas abouti à une procédure de sanction formelle. La juridiction administrative devait déterminer si la réponse apportée par l’autorité de contrôle aux manquements constatés était entachée d’une erreur manifeste dans l’exercice de ses pouvoirs.
I. L’encadrement procédural du contrôle de l’autorité de régulation
A. La substitution de la décision explicite au rejet implicite initial
Le requérant sollicitait initialement l’annulation d’une décision implicite de rejet née du silence gardé par l’autorité de contrôle pendant un délai de trois mois. La juridiction relève toutefois que la commission a « poursuivi l’instruction de sa plainte » et a finalement adopté une « décision explicite de clôture » ultérieure. Dès lors, le juge considère qu’il « n’y a pas lieu de statuer sur les conclusions aux fins d’annulation » dirigées contre la décision de rejet initiale. Cette solution classique confirme que l’intervention d’une décision expresse en cours d’instance prive d’objet le recours formé contre le silence de l’administration. L’intérêt à agir se déplace alors nécessairement vers le nouvel acte qui fixe définitivement la position de l’autorité administrative sur les faits dénoncés.
B. L’affirmation d’un contrôle restreint sur le pouvoir d’opportunité des poursuites
Le Conseil d’État rappelle que l’autorité de contrôle dispose d’un « large pouvoir d’appréciation » pour décider des suites à donner aux plaintes dont elle est saisie. Ce pouvoir permet à la commission de tenir compte de la « gravité des manquements allégués » ou encore du « sérieux des indices » relatifs aux faits dénoncés. Le juge administratif limite par conséquent son examen à la censure de l’erreur de droit, de l’erreur de fait ou de « l’erreur manifeste d’appréciation ». Cette réserve juridictionnelle préserve l’indépendance de l’autorité de régulation dans la définition de sa politique de contrôle et dans le choix de ses priorités opérationnelles. La décision souligne ainsi que l’absence de traitement dans un délai raisonnable demeure « sans incidence sur la légalité de la décision » de clôture attaquée.
II. La validation matérielle de la stratégie de régulation des transferts
A. L’efficacité reconnue des mesures de mise en conformité sans sanction
L’autorité de contrôle a choisi de « rappeler la société exploitant le site (…) au respect de ses obligations » plutôt que d’engager une procédure de sanction. Elle a notamment exigé une évaluation rigoureuse de la légalité des transferts vers des pays tiers au regard des exigences du règlement européen sur la protection des données. La commission a également pointé l’absence de consentement pour certaines technologies de traçage, exigeant une mise en conformité de la politique de confidentialité du site internet. Le juge estime que ces interventions administratives constituent une réponse adaptée aux griefs soulevés par l’auteur de la plainte concernant la sécurité des données. La décision de clôture ne peut donc être regardée comme manifestement erronée puisque l’autorité a activement incité le responsable de traitement à régulariser sa situation.
B. La présomption de validité du cadre européen de transfert des données
Le requérant demandait également la saisine de la Cour de justice de l’Union européenne pour contester la validité de la décision d’adéquation concernant les États-Unis. Le Conseil d’État rejette cette demande en soulignant qu’il n’est pas nécessaire de statuer sur la conformité de ce texte au droit de l’Union européenne. Il s’appuie sur un arrêt rendu le 3 septembre 2025 par le Tribunal de l’Union européenne qui s’est déjà prononcé sur la validité de cet acte. Cette approche privilégie la célérité du traitement des dossiers nationaux en évitant de multiplier les questions préjudicielles sur des points de droit déjà clarifiés. La légalité de la décision de clôture se trouve ainsi confirmée par l’existence d’un cadre juridique européen présumé protecteur pour les transferts de données transatlantiques.
