Le 26 avril 2019, un actionnaire assiste à l’assemblée générale d’une société anonyme et sollicite ensuite la communication de l’enregistrement sonore intégral de cette réunion. Le responsable du traitement refuse cette demande en ne transmettant que les extraits reproduisant les interventions personnelles du demandeur à l’exclusion de celles des autres participants. L’intéressé saisit l’autorité de contrôle d’une réclamation puis la juridiction civile d’un recours dirigé contre la décision initiale du responsable du traitement des données personnelles. L’autorité de contrôle rejette la demande par une décision du 29 novembre 2019 dont la légalité est alors contestée devant la juridiction administrative compétente. La juridiction civile fait droit au second recours par un jugement devenu définitif en constatant une violation manifeste du droit d’accès aux données. Saisie du recours administratif, la Cour métropolitaine de Budapest interroge la Cour de justice de l’Union européenne, par une décision du 2 mars 2021, sur l’articulation de ces procédures. Le litige porte sur le point de savoir si les recours prévus par le règlement peuvent être exercés de manière concurrente et parfaitement indépendante entre eux. La Cour de justice répond, le 12 janvier 2023, que les dispositions européennes permettent un exercice concurrent et indépendant des voies de recours administratives et juridictionnelles nationales.
I. L’affirmation de l’indépendance des voies de recours issues du règlement
A. La consécration textuelle d’une pluralité de moyens d’action
Le texte du règlement général sur la protection des données prévoit plusieurs instruments juridiques mis à la disposition des personnes physiques s’estimant victimes d’une violation. L’article 77 précise que le droit d’introduire une réclamation s’exerce « sans préjudice de tout autre recours administratif ou juridictionnel » ouvert à la personne concernée. Cette formulation est systématiquement reprise aux articles 78 et 79 pour garantir la liberté de choix du justiciable entre la voie administrative et la voie judiciaire. La Cour souligne que ces dispositions offrent différentes options dont chacune doit pouvoir être exercée sans que l’une ne nuise à l’exercice effectif des autres. Cette structure normative refuse d’instaurer un ordre obligatoire de saisine entre l’autorité de contrôle et les tribunaux de l’ordre civil ou de l’ordre administratif. Le juge européen confirme ainsi que le règlement ne prévoit aucune compétence exclusive au profit d’une institution particulière pour constater une éventuelle violation du droit.
B. L’absence de priorité entre les autorités de contrôle et les juridictions
Le législateur européen n’a pas organisé de hiérarchie entre les appréciations portées par les autorités administratives et celles résultant des procédures juridictionnelles de droit privé. L’absence de règles de primauté signifie que le recours contre la décision d’une autorité de contrôle et l’action contre le responsable du traitement sont autonomes. La Cour de justice relève que le règlement organise seulement la coordination entre les autorités de contrôle de différents États membres sans viser les conflits internes. Aucun mécanisme de suspension automatique ou de dessaisissement n’est prévu par le droit de l’Union pour régler la simultanéité des actions au sein d’un même pays. Les juridictions saisies d’un recours contre une autorité administrative conservent une pleine compétence pour examiner l’ensemble des questions de fait et de droit du litige. L’interprétation retenue privilégie une approche fonctionnelle où chaque voie de droit remplit un office propre sans dépendre du résultat d’une procédure parallèle engagée précocement.
II. Les exigences de protection effective et de cohérence du droit européen
A. Le risque d’insécurité juridique né de la coexistence de décisions contradictoires
L’exercice parallèle de plusieurs recours sur les mêmes faits comporte le danger de voir émerger des solutions opposées au sein du même ordre juridique national. La Cour reconnaît que l’existence de décisions contradictoires remettrait en cause l’objectif d’assurer une application cohérente et homogène des règles de protection des libertés fondamentales. Une situation d’incertitude naîtrait si une juridiction civile constatait une violation tandis qu’un juge administratif validerait le rejet de la plainte par l’autorité de contrôle. Cette incohérence affaiblirait nécessairement le niveau de sauvegarde des droits des personnes physiques et créerait une instabilité juridique préjudiciable tant aux citoyens qu’aux responsables de traitements. La protection des données exige pourtant une application uniforme des standards européens afin de garantir une sécurité juridique optimale dans l’ensemble du territoire de l’Union européenne. La recherche d’une harmonisation des décisions juridictionnelles demeure un impératif pour ne pas vider de sa substance l’autorité des règles établies par le règlement.
B. La mission de coordination confiée aux États membres par l’autonomie procédurale
En l’absence de règles européennes spécifiques, il appartient à chaque État membre de définir les modalités d’articulation entre les différents recours administratifs et les actions juridictionnelles. Ce pouvoir s’exerce en vertu du principe d’autonomie procédurale tout en respectant les limites fixées par les principes d’équivalence et d’effectivité du droit de l’Union. Les autorités nationales doivent veiller à ce que les modalités concrètes d’exercice de ces droits n’affectent pas de manière disproportionnée le recours effectif devant un tribunal. L’article 47 de la Charte des droits fondamentaux impose d’assurer une protection juridictionnelle réelle et d’éviter que la complexité procédurale ne décourage les justiciables d’agir. Les États doivent donc prévoir des règles de coordination interne pour garantir l’efficacité de la protection des données et le respect scrupuleux du droit au procès équitable. La décision rendue invite ainsi les législateurs nationaux à clarifier les rapports entre les juges pour maintenir la cohérence globale du système de protection européen.
