Le Conseil d’État, par une décision rendue le 31 décembre 2025, précise l’étendue des pouvoirs de l’autorité de contrôle des données personnelles. Un étudiant, inscrit dans un établissement d’enseignement supérieur, contesta devant le tribunal administratif de Toulon le refus de son redoublement pour l’année universitaire. Durant cette instance, l’établissement public produisit des courriers électroniques échangés avec l’intéressé afin d’étayer sa défense devant la juridiction administrative saisie du litige initial. S’estimant lésé par une diffusion irrégulière de ses données personnelles, l’étudiant saisit l’autorité de contrôle d’une plainte contre l’établissement d’enseignement. La présidente de la commission décida, le 22 janvier 2025, de clôturer cette réclamation au motif qu’elle ne pouvait juger la licéité des preuves. L’étudiant forma alors un recours pour excès de pouvoir devant la haute juridiction administrative contre cette décision de clôture de sa plainte. La question posée au juge consistait à déterminer si l’autorité de contrôle des données peut se prononcer sur la régularité de pièces versées au débat judiciaire. Le Conseil d’État rejette la requête en affirmant que seule la juridiction saisie du fond peut apprécier la licéité des éléments de preuve produits devant elle. L’analyse de cette solution impose d’étudier l’incompétence de la commission face aux preuves judiciaires (I), avant d’examiner le cadre strict du contrôle de légalité (II).
**I. L’incompétence de l’autorité de contrôle face à la production de preuves en justice**
A. L’exclusivité de l’appréciation juridictionnelle sur la licéité des preuves
L’autorité de contrôle rappelle qu’il « ne lui appartenait pas de se prononcer sur la licéité du versement de pièces » durant une instance contentieuse en cours. Cette position respecte le principe fondamental selon lequel le juge est le seul maître de l’instruction et de la recevabilité des éléments versés aux débats. La décision souligne qu’une juridiction demeure « seule à même d’apprécier, et éventuellement d’écarter, les preuves versées devant elle » selon les règles de procédure applicables. En s’abstenant de s’immiscer dans l’administration de la preuve judiciaire, la commission évite d’empiéter sur des prérogatives qui relèvent exclusivement du pouvoir juridictionnel.
B. La validation du raisonnement juridique par le juge de cassation
Le Conseil d’État confirme que le refus de statuer sur la régularité de pièces communiquées ne constitue pas une erreur de droit de l’administration. Cette solution protège la sérénité des débats judiciaires en évitant qu’une autorité administrative ne vienne interférer dans l’appréciation souveraine du juge du fond. La haute assemblée valide ainsi la décision de clôture car la plainte portait sur un acte indissociable de l’exercice d’un recours devant une juridiction. Cette approche garantit la cohérence du système juridique en concentrant le contentieux de la preuve entre les mains du magistrat saisi de l’affaire principale.
Cette délimitation des compétences entre l’autorité administrative et le juge judiciaire se double d’une vérification rigoureuse des arguments soulevés par le requérant lors de l’instance.
**II. Le périmètre restreint du contrôle de légalité de l’acte administratif**
A. L’inopérance des moyens étrangers au litige de protection des données
Le requérant invoquait plusieurs griefs relatifs à la loyauté de l’administration ou encore à l’illégalité d’une ordonnance du tribunal administratif de Toulon du 17 octobre 2024. Les juges considèrent que ces moyens « ne se rapportent pas au litige » et doivent être écartés comme étant inopérants dans le cadre du présent recours. Le contrôle de l’acte administratif se limite strictement à la vérification de la légalité interne et externe de la décision prise par l’autorité de contrôle. Cette rigueur méthodologique permet d’écarter les arguments n’ayant aucun lien direct avec la mission de protection des données à caractère personnel.
B. La consécration de l’autonomie des procédures juridictionnelles et administratives
L’arrêt rejette finalement l’ensemble des conclusions, y compris celles tendant à l’injonction de transmettre des faits au parquet ou de produire diverses pièces. Cette décision illustre la séparation étanche entre le contentieux administratif spécial de la protection des données et les autres domaines du droit public ou pénal. La haute juridiction maintient une distinction claire entre les obligations de l’établissement en tant qu’administration et ses droits en tant que partie à un procès. L’indépendance de la procédure devant le juge administratif de Toulon se trouve ainsi préservée de toute contestation collatérale devant l’autorité de contrôle.
