Le Conseil d’État a rendu, le 28 novembre 2025, une décision précisant les limites des missions de l’autorité de régulation en matière de données personnelles. Un particulier contestait l’usage d’informations relatives à son état de santé par l’avocat de son épouse durant une procédure devant le juge judiciaire. Après le refus de l’auxiliaire de justice de supprimer ces fichiers, l’intéressé a saisi l’autorité administrative d’une plainte restée infructueuse pour le demandeur. L’institution a effectivement décidé de clôturer le dossier le 3 septembre 2024, provoquant ainsi l’introduction d’un recours en annulation pour excès de pouvoir. La juridiction devait déterminer si le régulateur peut légalement s’abstenir d’intervenir face à la production de données sensibles lors d’un débat judiciaire civil. La haute juridiction rejette la requête en considérant que le traitement litigieux était indispensable à la défense d’un droit en justice devant les tribunaux. L’analyse de cette décision impose d’étudier l’étendue du contrôle juridictionnel sur le régulateur, avant d’aborder la légitimité des traitements de données durant le procès.
I. L’étendue du contrôle juridictionnel sur les refus d’agir de l’autorité de régulation
A. La modulation de l’intensité du contrôle selon les droits individuels en cause
Le juge administratif rappelle que l’autorité dispose d’un « large pouvoir d’appréciation » pour décider des suites à donner aux plaintes dont elle est saisie. Cette liberté d’action s’exerce au regard de la gravité des manquements, du sérieux des indices ainsi que de l’ensemble des intérêts généraux en cause. Toutefois, lorsque la réclamation porte sur la méconnaissance des droits individuels fondamentaux, le pouvoir d’appréciation du régulateur change radicalement de nature et d’intensité. Le Conseil d’État exerce alors un « entier contrôle » sur le refus de donner suite, compte tenu de la portée des prérogatives garanties par la loi. Cette vigilance accrue du juge assure une protection effective des droits d’accès, de rectification ou d’effacement prévus par les dispositions législatives de 1978. La juridiction administrative garantit ainsi que l’inertie de l’autorité ne porte pas une atteinte disproportionnée aux libertés numériques essentielles de chaque citoyen concerné.
B. La limitation du contrôle administratif au champ des données à caractère personnel
Le requérant prétendait que l’autorité aurait dû sanctionner le non-respect des règles de communication électronique applicables devant les juridictions de l’ordre judiciaire français. Le Conseil d’État écarte cet argument en précisant qu’il n’appartient pas au régulateur de vérifier l’application des dispositions du code de procédure civile. Les missions de contrôle définies par la loi ne sauraient s’étendre aux règles régissant spécifiquement le fonctionnement des tribunaux judiciaires ou des cours d’appel. L’institution administrative ne possède aucune compétence légale pour mettre en œuvre les sanctions prévues par le code pénal en cas d’atteinte aux systèmes informatiques. Cette délimitation stricte préserve la séparation des pouvoirs entre l’autorité de régulation indépendante et les magistrats chargés de trancher le litige principal au fond. Le respect du cadre juridique des données personnelles ne saurait ainsi se confondre avec la surveillance globale de la régularité des procédures de jugement.
II. La conciliation entre protection des données de santé et exercice des droits de la défense
A. La licéité du traitement des données sensibles justifiée par les nécessités du procès
La décision s’appuie sur le règlement européen pour justifier le traitement des informations de santé effectué sans le consentement préalable de la personne visée. Le texte communautaire autorise la manipulation de données sensibles lorsque celle-ci est « nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ». Le droit à l’effacement s’efface devant l’exigence supérieure de garantir à chaque justiciable la possibilité concrète de faire valoir ses arguments devant le juge. En l’espèce, la production de documents médicaux par l’avocat s’inscrivait strictement dans le cadre des nécessités du débat contentieux opposant les deux époux. L’autorité de régulation n’a commis aucune erreur de droit en estimant que ce traitement bénéficiait de la dérogation prévue par les dispositions du règlement. La protection de la vie privée doit se concilier harmonieusement avec le droit fondamental à un procès équitable et le libre exercice des défenses.
B. L’exclusion du contrôle de la loyauté des preuves par le régulateur administratif
La haute juridiction précise qu’il n’appartient pas au régulateur administratif d’apprécier la régularité des éléments de preuve fournis par les parties durant l’instance judiciaire. Ce contrôle relève exclusivement de la compétence du juge du fond au titre du respect du principe de loyauté dans l’administration des preuves produites. L’autorité administrative ne peut s’immiscer dans l’appréciation souveraine des pièces effectuée par les magistrats lors de l’examen des faits et des prétentions des plaideurs. Le demandeur n’apportait d’ailleurs aucun élément utile démontrant un risque réel de diffusion des données litigieuses en dehors du cadre clos des procédures juridiques. Cette solution protège l’autonomie de la fonction juridictionnelle en évitant qu’une autorité de contrôle ne vienne censurer par avance la production de preuves utiles. La clôture de la plainte est donc validée, confirmant la prééminence des règles du procès sur les velléités de suppression des données litigieuses.
