Le Conseil d’État a rendu, le 31 décembre 2025, une décision précisant les modalités de traitement des réclamations par l’autorité nationale de protection des données. Un particulier a saisi cette autorité d’une plainte relative à des transferts de données vers un État tiers par un site internet. L’autorité de contrôle a informé le plaignant d’une décision d’adéquation européenne constatant un niveau de protection équivalent pour les données transférées. Elle a ensuite prononcé la clôture de la plainte après avoir rappelé le responsable de traitement à ses obligations pour la période antérieure. Le requérant a sollicité l’annulation de cet acte devant la haute juridiction, invoquant une erreur de droit et une application rétroactive de la norme. La question posée concernait la faculté pour le régulateur de clore une plainte sans sanctionner des manquements passés désormais couverts par un cadre légal protecteur. Le juge administratif rejette la requête en soulignant l’étendue du pouvoir d’appréciation dont dispose l’autorité administrative dans l’exercice de ses missions de contrôle. L’analyse de cet arrêt suppose d’aborder l’affirmation du pouvoir discrétionnaire de l’autorité (I) puis la validation de la réponse pédagogique apportée au litige (II).
I. L’affirmation du pouvoir discrétionnaire de l’autorité de contrôle
A. La reconnaissance d’une large marge de manœuvre administrative
Le Conseil d’État confirme que l’autorité dispose, en principe, d’un « large pouvoir d’appréciation » lorsqu’elle est saisie d’une plainte ou d’une réclamation. Cette prérogative lui permet de décider des suites à donner aux faits signalés en tenant compte de la gravité des manquements allégués. Les juges précisent que le régulateur peut évaluer l’opportunité des poursuites au regard du sérieux des indices et de la date des faits commis. Cette solution s’inscrit dans une jurisprudence constante protégeant l’autonomie des autorités administratives indépendantes dans la gestion de leur politique répressive. L’autorité doit toutefois procéder à un examen réel des faits à l’origine de la plainte avant de statuer sur son classement.
B. L’exercice d’un contrôle juridictionnel restreint sur la clôture des plaintes
L’auteur d’une plainte peut déférer au juge de l’excès de pouvoir le refus de l’autorité de régulation d’y donner suite. Le juge administratif limite sa censure à l’erreur de fait, à l’erreur de droit, au détournement de pouvoir ou à l’erreur manifeste d’appréciation. Cette restriction de l’intensité du contrôle témoigne de la confiance accordée à l’expertise technique du régulateur dans le secteur de l’informatique et des libertés. En l’espèce, la décision de clôture ne présentait aucun vice d’illégalité externe susceptible d’entraîner son annulation par le Conseil d’État. La haute juridiction vérifie simplement que l’autorité a pris en compte l’ensemble des intérêts généraux dont elle a la charge lors de son arbitrage.
II. La licéité d’une régulation par la voie du rappel aux obligations
A. L’écartement du grief tiré de l’application rétroactive de la norme
Le requérant soutenait que l’autorité avait commis une erreur de droit en appliquant une décision d’adéquation européenne de manière rétroactive aux transferts litigieux. Le juge écarte ce moyen en relevant que l’autorité a expressément rappelé que les transferts antérieurs devaient faire l’objet d’un autre encadrement juridique. Le Conseil d’État note que la Commission a invité le responsable de traitement à vérifier la certification des organismes destinataires des données collectées. Cette distinction chronologique démontre que le nouveau cadre juridique n’a pas été utilisé pour justifier légalement des comportements passés avant son entrée en vigueur. Le grief d’illégalité fondé sur la méconnaissance du principe de non-rétroactivité des actes administratifs manque ainsi en fait selon la décision commentée.
B. La proportionnalité du rappel à la loi face aux évolutions du droit positif
La décision souligne que l’autorité a choisi d’adresser au responsable de traitement un rappel sur ses obligations légales conformément à l’article 44 du règlement général. Cette mesure de régulation souple est jugée suffisante par le Conseil d’État compte tenu des circonstances de l’espèce et du contexte normatif évolutif. Le juge considère que l’absence de sanction pécuniaire ne constitue pas une erreur manifeste d’appréciation au regard des nombreuses réclamations traitées simultanément. La clôture de la plainte est ainsi validée car l’autorité est intervenue efficacement pour inciter le responsable à mettre à jour sa politique de confidentialité. Cette solution renforce la légitimité des mesures correctrices non sanctionnatrices dans l’arsenal juridique des autorités administratives chargées de la protection des droits numériques.
