Par une décision en date du 31 décembre 2024, le Conseil d’État a statué sur la légalité de la décision d’une autorité administrative indépendante de clore une plainte relative à l’exercice du droit d’accès aux données personnelles. Un administré avait saisi une autorité préfectorale d’une demande de communication de l’ensemble des données à caractère personnel le concernant, figurant dans tous les fichiers informatisés ou manuels gérés par cette dernière. L’autorité préfectorale avait répondu favorablement pour trois fichiers spécifiquement identifiés, mais avait déclaré ne pas pouvoir traiter le surplus de la demande en raison du nombre très important de traitements qu’elle met en œuvre. Saisie d’une plainte par l’administré, l’autorité de contrôle des données personnelles a informé ce dernier de la clôture de sa réclamation. Le requérant a alors formé un recours pour excès de pouvoir devant le Conseil d’État afin d’obtenir l’annulation de cette décision de clôture. Il soutenait que cette clôture méconnaissait son droit d’accès aux données personnelles, tel que garanti par le droit de l’Union européenne et la législation nationale. Se posait donc la question de savoir si l’autorité de contrôle peut légalement clore une plainte au motif que la demande d’accès initiale, adressée à un responsable de traitement gérant un volume considérable de données, est formulée de manière trop générale pour permettre un contrôle effectif. Le Conseil d’État a répondu par l’affirmative, rejetant la requête au motif que l’autorité de contrôle n’a commis ni erreur de droit ni erreur d’appréciation en considérant que le caractère indéterminé de la demande ne lui permettait pas d’exercer sa mission de contrôle.
Cette solution conduit à confronter l’étendue du droit d’accès aux données avec les contraintes matérielles pesant sur les responsables de traitement (I), et consacre par là même le rôle de régulateur pragmatique de l’autorité de contrôle face à des demandes d’une portée excessive (II).
Le Conseil d’État opère une lecture conciliante des textes en vigueur, réaffirmant la substance du droit d’accès tout en admettant que son exercice puisse être tempéré par des considérations pratiques. Si le principe d’un droit d’accès largement entendu demeure (A), son application se trouve limitée par l’exigence d’une demande suffisamment précise (B).
La décision prend soin de rappeler le fondement textuel du droit dont se prévalait le requérant. Le droit d’accès constitue une prérogative essentielle pour la protection des données personnelles, consacrée tant par la Charte des droits fondamentaux de l’Union européenne que par le Règlement général sur la protection des données (RGPD). Aux termes de l’article 15 de ce règlement, « La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données ». Ce droit permet à toute personne de garder la maîtrise des informations qui la concernent, en vérifiant leur nature et leur exactitude, et constitue le préalable nécessaire à l’exercice d’autres droits, comme celui de rectification ou d’effacement. La Haute Juridiction ne remet nullement en cause ce principe cardinal ; elle en fait au contraire le point de départ de son raisonnement, soulignant ainsi la place centrale de cette garantie dans l’ordre juridique.
Toutefois, le Conseil d’État tempère immédiatement la portée de ce droit en le confrontant aux réalités opérationnelles. Il relève que l’autorité préfectorale, en l’espèce, « est responsable d’un nombre important de traitements (…) dont certains peuvent comporter une grande quantité de données à caractère personnel ». Face à une demande globale visant un « ensemble indéterminé de traitements », le juge administratif admet que le responsable de traitement ne peut raisonnablement procéder à des recherches exhaustives dans une multitude de fichiers non identifiés. Pour justifier cette approche, il s’appuie sur une interprétation finaliste du RGPD, éclairée par son préambule et les lignes directrices du Comité européen de la protection des données, qui reconnaissent que des restrictions peuvent être envisagées lorsque les demandes sont imprécises. En validant l’impossibilité pour l’administration de traiter une requête aussi large, la décision établit une limite pragmatique au droit d’accès : celui-ci ne saurait se transformer en une obligation de recherche disproportionnée pour le responsable du traitement.
Cette appréciation des limites du droit d’accès justifie en conséquence la position adoptée par l’autorité de contrôle, dont le rôle modérateur se trouve ainsi confirmé.
En rejetant le recours, le Conseil d’État légitime le pouvoir d’appréciation de l’autorité de contrôle dans le traitement des plaintes (A), tout en précisant les modalités d’un juste équilibre entre les droits des personnes et les capacités administratives (B).
La décision attaquée était celle de l’autorité de contrôle de clore la plainte de l’administré. Le Conseil d’État estime que, ce faisant, cette autorité n’a commis aucune erreur. Il juge en effet que « le défaut de précision de celle-ci ne la mettait pas à même, dans les circonstances de l’espèce, d’exercer son contrôle du refus opposé par la préfecture de police ». Autrement dit, l’inefficacité potentielle de l’enquête justifie son abandon précoce. Cette position reconnaît à l’autorité de contrôle une marge d’appréciation pour ne pas engager de procédure lorsque la demande initiale est manifestement non viable. Elle peut ainsi inviter le plaignant à préciser sa demande avant d’instruire le dossier, et clore celui-ci en l’absence de clarification. Ce faisant, le juge administratif valide une pratique de bonne administration des ressources, permettant à l’autorité de se concentrer sur les plaintes suffisamment étayées pour permettre un contrôle utile et efficace.
La portée de cette décision réside dans l’équilibre qu’elle dessine. Elle ne constitue pas un affaiblissement du droit d’accès, mais une clarification de ses modalités d’exercice. Le requérant n’est pas privé de son droit, mais il est incité à le mettre en œuvre de manière plus ciblée, en engageant un dialogue avec le responsable de traitement pour identifier les fichiers pertinents. La décision préserve ainsi les prérogatives des administrés tout en protégeant les administrations d’une charge excessive qui paralyserait leur fonctionnement. Bien que rendue au regard des circonstances spécifiques de l’espèce, notamment la taille et la complexité des traitements de l’autorité préfectorale, la solution esquisse une ligne directrice pour l’avenir. Elle rappelle que l’exercice d’un droit, aussi fondamental soit-il, suppose une part de coopération et de discernement de la part de son titulaire, en particulier lorsque son interlocuteur est une entité publique d’envergure.
