Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 9 mai 2026
Accueil/RGPD/Article 78 RGPD : recours juridictionnel contre la CNIL
RGPD

Article 78 RGPD : recours juridictionnel contre la CNIL

Article 78 RGPD : qui peut contester une décision de la CNIL devant le Conseil d'État, dans quels délais, sur quels moyens et avec quelles chances de succès.

Par Thiebaut DevergrannePublie le 8 mai 2026Mis a jour le 8 mai 202617 min de lecture
Sommaire
  1. Ce que dit l’article 78 du RGPD
  2. Art. 78(1) : qui peut agir et contre quoi
  3. Art. 78(2) : le recours contre l’inaction de l’autorité
  4. Art. 78(3) : la compétence territoriale
  5. Art. 78(4) : l’articulation avec le mécanisme de cohérence
  6. Les types de décisions susceptibles de recours
  7. Stratégie contentieuse : les six chantiers
  8. Ce qu’il faut retenir
  9. FAQ

Le Conseil d’État a annulé partiellement, le 27 mars 2020, la sanction de 50 millions d’euros prononcée contre Google par la CNIL — avant de la confirmer dans son principe quelques mois plus tard. C’est l’un des contentieux les plus emblématiques fondés sur l’article 78 du RGPD : le droit, pour toute personne physique ou morale, de contester devant un juge la décision d’une autorité de contrôle. L’article 78 ferme la voie ouverte par l’article 77 (réclamation administrative) et précède l’article 79 (action directe contre le responsable de traitement). Voici son analyse paragraphe par paragraphe, avec les arrêts qui ont fixé sa portée et la stratégie contentieuse que j’ai vue se cristalliser depuis l’entrée en vigueur du règlement.

Ce que dit l’article 78 du RGPD

L’Art. 78 s’intitule « Droit à un recours juridictionnel effectif contre une autorité de contrôle ». Il compte quatre paragraphes :

  • l’Art. 78(1) ouvre le droit à un recours juridictionnel effectif contre toute décision juridiquement contraignante d’une autorité de contrôle qui concerne la personne ;
  • l’Art. 78(2) ouvre un recours en cas d’inaction de l’autorité — réclamation non traitée ou non renseignée dans un délai de trois mois ;
  • l’Art. 78(3) fixe la compétence territoriale : juridictions de l’État membre où l’autorité de contrôle est établie ;
  • l’Art. 78(4) organise l’articulation avec le mécanisme de cohérence : lorsqu’une décision est prise par une autorité de contrôle après un avis ou une décision contraignante du CEPD au titre de l’Art. 64 ou 65, l’autorité doit transmettre cet avis ou cette décision à la juridiction.

L’article ne décrit pas les règles procédurales nationales : chaque État membre les organise. En France, le contentieux est centralisé devant le Conseil d’État, qui statue en premier et dernier ressort sur les décisions de la CNIL en application de l’article 21 de la loi Informatique et Libertés (LIL) et de l’article R. 311-1 du Code de justice administrative (CJA).

C’est un contentieux d’élite : représentation obligatoire par avocat aux Conseils, procédure écrite, délibéré collégial. La voie de l’Art. 78 ne concerne pas seulement les sanctions — toute décision contraignante de la CNIL est susceptible de recours, ce qui inclut les mises en demeure publiques, les refus d’autorisation, les rejets de réclamation et même les mesures correctrices non pécuniaires.

Art. 78(1) : qui peut agir et contre quoi

Le paragraphe 1 dispose : « Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne. »

Le bénéficiaire est toute personne physique ou morale. Contrairement à l’Art. 77 qui réserve la réclamation à la personne concernée (Art. 4(1)), l’Art. 78 s’ouvre aux entreprises, associations, collectivités publiques et personnes morales étrangères. C’est logique : les sanctions et mises en demeure visent majoritairement des responsables de traitement, qui sont des personnes morales.

L’objet du recours est une « décision juridiquement contraignante » qui « concerne » la personne. Trois éléments à analyser.

Premier élément : la nature juridiquement contraignante de la décision. Toutes les décisions de la CNIL ne sont pas attaquables. Les avis, les recommandations, les lignes directrices et les référentiels ne font pas grief en eux-mêmes — sauf à démontrer qu’ils produisent des effets juridiques contraignants à l’égard de leurs destinataires. Le Conseil d’État a jugé, dans un arrêt CE 19 juin 2020 La Quadrature du Net (n° 434684), que les lignes directrices CNIL sur les cookies pouvaient être contestées dans la mesure où elles fixaient des règles de droit pratiquement contraignantes pour les éditeurs. À l’inverse, un simple courrier d’observations sans mesure correctrice n’est pas une décision attaquable.

Deuxième élément : qui peut agir ? La décision doit « concerner » la personne. Cela couvre évidemment le destinataire direct (responsable de traitement sanctionné, sous-traitant mis en demeure). Mais cela couvre aussi, pour les rejets de réclamation, l’auteur de la réclamation rejetée. La CJUE C-26/22 UF c/ Land Hessen du 7 décembre 2023 a dégagé un principe fondamental : l’autorité de contrôle ne peut écarter une réclamation au motif qu’elle ne lui paraît pas fondée sans procéder à un examen au fond, et la personne concernée doit pouvoir contester ce rejet devant un juge avec un contrôle juridictionnel complet sur la légalité de la décision. La Cour précise que ce contrôle ne se limite pas à un contrôle restreint : le juge doit pouvoir examiner si l’autorité a correctement qualifié les faits et appliqué le droit.

Troisième élément : les associations et organismes représentatifs. L’Art. 80(2) permet à un État membre de prévoir qu’un organisme à but non lucratif puisse exercer le droit visé à l’Art. 78 indépendamment de tout mandat. La CJUE C-757/22 Meta Platforms Ireland du 28 avril 2022 a confirmé la qualité pour agir d’associations de consommateurs, à condition d’invoquer une violation de droits conférés par le RGPD. En France, la loi n° 2024-364 du 22 avril 2024 a refondu l’action de groupe pour permettre des recours collectifs en matière de protection des données personnelles.

Art. 78(2) : le recours contre l’inaction de l’autorité

Le paragraphe 2 dispose : « Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation introduite au titre de l’article 77. »

Trois enseignements pratiques.

D’abord, le déclencheur. Le délai de trois mois court à compter du dépôt de la réclamation, et c’est l’absence d’information sur l’état d’avancement ou l’issue qui ouvre le recours — pas seulement l’absence de décision finale. Une CNIL qui se contenterait d’accuser réception sans donner aucun point d’étape factuel s’expose à un recours en carence. La pratique française organise un accusé de réception électronique sous quelques jours via le téléservice CNIL, puis des points d’étape à 3 mois, 6 mois et au moment de la clôture — précisément pour éviter cet aléa.

Ensuite, la nature du recours. C’est un recours en carence, qui se distingue du recours en annulation contre une décision explicite. Devant le Conseil d’État, il prend la forme d’un recours pour excès de pouvoir contre une décision implicite de rejet, ou d’une demande d’injonction de statuer (Art. L. 911-1 CJA). Le juge peut enjoindre à la CNIL de traiter la réclamation, sous astreinte si nécessaire.

Enfin, l’articulation avec le one-stop-shop. Lorsque la réclamation porte sur un traitement transfrontalier instruit par une autorité chef de file (Art. 56), le délai de trois mois pose une difficulté pratique : l’instruction coopérative entre autorités peut prendre plus de temps que le contentieux national. La CJUE C-645/19 Facebook Ireland du 15 juin 2021 a admis qu’une autorité concernée puisse, dans des circonstances exceptionnelles, exercer ses pouvoirs en parallèle de l’autorité chef de file — ce qui permet de surmonter une éventuelle inaction de cette dernière.

Art. 78(3) : la compétence territoriale

Le paragraphe 3 dispose : « Toute action contre une autorité de contrôle est intentée devant les juridictions de l’État membre dans lequel l’autorité de contrôle est établie. »

C’est une règle de compétence exclusive. En France, cela signifie que le Conseil d’État est seul compétent pour connaître des recours dirigés contre les décisions de la CNIL — qu’il s’agisse de sanctions, mises en demeure, refus d’autorisation, rejets de réclamation ou décisions implicites de rejet.

L’article 21 de la LIL consacre cette compétence : « Les décisions de la formation restreinte de la Commission nationale de l’informatique et des libertés mentionnées à l’article 20 peuvent faire l’objet d’un recours de pleine juridiction devant le Conseil d’État dans un délai de quatre mois à compter de leur notification. » Le délai de quatre mois — plus long que le délai de droit commun de deux mois de l’Art. R. 421-1 CJA — tient compte de la complexité technique de ces dossiers et de la nécessité de préparer un mémoire élaboré.

Attention : ce délai de quatre mois ne vaut que pour les décisions de la formation restreinte (sanctions). Pour les autres décisions de la CNIL — mises en demeure du Président, refus d’autorisation, rejets de réclamation —, le délai de droit commun de deux mois s’applique.

Le contentieux est qualifié de plein contentieux par l’article 21 LIL. Le Conseil d’État ne se borne pas à annuler ou confirmer la décision : il peut la réformer, c’est-à-dire substituer sa propre décision à celle de la CNIL. Cela inclut le pouvoir de réduire le montant d’une sanction s’il estime qu’elle est disproportionnée, ou même d’annuler partiellement une sanction tout en maintenant le principe de la condamnation. C’est ce qu’a fait le Conseil d’État dans l’arrêt CE 27 mars 2020 Google n° 433069, en confirmant la sanction de 50 millions d’euros mais en censurant l’un des fondements retenus par la CNIL.

Art. 78(4) : l’articulation avec le mécanisme de cohérence

Le paragraphe 4 dispose : « Lorsqu’une action est intentée contre une décision d’une autorité de contrôle qui a été précédée d’un avis ou d’une décision de l’EDPB rendu dans le cadre du mécanisme de cohérence, l’autorité de contrôle transmet cet avis ou cette décision à la juridiction. »

C’est une règle technique mais essentielle dans les contentieux transfrontaliers. Lorsque la CNIL a pris une décision après un avis du Comité européen de la protection des données (CEPD) au titre de l’Art. 64 ou une décision contraignante au titre de l’Art. 65 (mécanisme de règlement des différends en cas de désaccord entre autorités), elle doit transmettre cet acte à la juridiction.

Le contentieux ne porte pas directement sur l’avis ou la décision du CEPD — qui n’est pas une décision attaquable au sens de l’Art. 78(1) prise isolément — mais sur la décision nationale qui en découle. La CJUE C-768/21 TR du 14 novembre 2024 a précisé que le juge national est lié par les éléments de droit fixés par le CEPD dans une décision contraignante, sauf à saisir la CJUE d’une question préjudicielle sur la validité de cette décision elle-même. C’est une articulation à fort enjeu : la décision contraignante du CEPD du 13 avril 2023 sur les transferts de Meta vers les États-Unis (sanction de 1,2 milliard d’euros prononcée par la DPC irlandaise) a fixé un cadre de droit que les juridictions irlandaises et la CJUE ont vocation à examiner sur recours.

Les types de décisions susceptibles de recours

Vingt ans de pratique du contentieux CNIL m’ont conduit à classer les décisions attaquables en six catégories.

Les sanctions de la formation restreinte (Art. 58(2)(i), Art. 83) : amendes administratives jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. C’est le contentieux le plus visible. Voir /article-83-rgpd pour le régime de fond. Les exemples récents : CE 30 décembre 2021 Doctissimo n° 449052 (rejet du recours, sanction confirmée), CE 27 mars 2020 Google n° 433069 (sanction de 50 M€ confirmée pour l’essentiel), CE 19 juin 2020 La Quadrature du Net sur les cookies.

Les mises en demeure (Art. 58(2)(d)) : injonctions de mise en conformité dans un délai déterminé. Elles sont attaquables même lorsqu’elles ne s’accompagnent pas de sanction pécuniaire. Le Conseil d’État vérifie la matérialité des manquements, la proportionnalité du délai et la compétence territoriale de la CNIL.

Les refus de désignation des autorités (Art. 58(2)) et les refus d’autorisation (Art. 36(2), traitements de l’État, recherches en santé). Ce contentieux est plus rare mais structurant pour les acteurs publics.

Les rejets de réclamation (Art. 77, Art. 78(1)). Sur le fondement de la jurisprudence CJUE C-26/22 UF c/ Land Hessen précitée, le rejet d’une réclamation déposée par une personne concernée peut être contesté avec un contrôle juridictionnel complet. C’est une voie de plus en plus utilisée par les associations de défense des droits numériques.

Les décisions implicites de rejet (Art. 78(2)). L’absence de réponse de la CNIL pendant trois mois ouvre un recours en carence. Le juge peut enjoindre à la CNIL de statuer.

Les avertissements et rappels à l’ordre (Art. 58(2)(b)). Mesures correctrices sans amende mais publiques, donc faisant grief. Le Conseil d’État admet leur recevabilité et exerce un contrôle de proportionnalité sur la publication.

Stratégie contentieuse : les six chantiers

Sur la base des contentieux que j’ai vus aboutir ou échouer, six chantiers structurent une stratégie efficace.

Chantier 1 : la qualification du grief. Avant de saisir le Conseil d’État, il faut identifier précisément le fondement de la décision contestée — quelle disposition du RGPD, quelle disposition de la LIL, quelle motivation factuelle — et bâtir une grille de moyens qui couvre la légalité externe (compétence, procédure, motivation), la légalité interne (qualification, application de la loi, proportionnalité) et la régularité du quantum (en pleine juridiction).

Chantier 2 : la stratégie procédurale. Recours en annulation simple ou recours pour excès de pouvoir avec demande de référé suspension (Art. L. 521-1 CJA) ? Le référé suspension exige urgence et doute sérieux sur la légalité — il est rarement admis pour des sanctions financières (présumées non urgentes) mais plus régulièrement pour des mises en demeure ou des publications.

Chantier 3 : la documentation accountability. Devant le Conseil d’État, c’est l’absence de documentation conforme à l’Art. 24 qui condamne le plus souvent les recours. La CJUE C-340/21 NAP du 14 décembre 2023 a posé que la charge de la preuve des mesures de sécurité incombe au responsable de traitement. Avoir un registre des traitements, une AIPD, une politique de sécurité à jour transforme radicalement la position défensive.

Chantier 4 : la coordination contentieuse. Lorsque le contentieux Art. 78 se déroule en parallèle d’un contentieux civil (Art. 79 ou Art. 82) ou pénal (Art. 226-16 du Code pénal), il faut coordonner les écritures pour éviter les contradictions factuelles. L’autorité de la chose jugée par le Conseil d’État sur les éléments de droit (qualification de la violation) peut être invoquée devant le juge civil ; l’autorité de la chose jugée par le juge civil sur les éléments de fait (réalité du dommage) peut influencer le contentieux administratif.

Chantier 5 : la communication. Les sanctions CNIL sont publiques et la procédure devant le Conseil d’État aussi. La gestion de la communication externe (clients, salariés, partenaires, médias) doit être anticipée dès le dépôt du recours.

Chantier 6 : la prévention. Le meilleur recours juridictionnel est celui qu’on n’a pas à former. La phase contradictoire devant la formation restreinte de la CNIL, antérieure à la sanction, est l’occasion de faire valoir les arguments qui peuvent éviter la décision défavorable. Mobiliser un conseil expert à ce stade — pas seulement après la sanction — fait souvent la différence.

C’est ce type de coordination que Legiscope outille pour les responsables de traitement : registre vivant, traçabilité des décisions, journal des incidents, documentation des consultations DPO. Pas une garantie contre la sanction, mais un dossier d’accountability solide quand la CNIL frappe à la porte.

Ce qu’il faut retenir

  • L’Art. 78 ouvre à toute personne physique ou morale un droit à un recours juridictionnel effectif contre une décision juridiquement contraignante de l’autorité de contrôle, ainsi qu’un recours contre l’inaction (3 mois) au titre de l’Art. 78(2).
  • En France, le Conseil d’État est seul compétent en premier et dernier ressort sur les décisions de la CNIL ; le délai de recours est de 4 mois pour les sanctions de la formation restreinte (Art. 21 LIL) et de 2 mois pour les autres décisions (Art. R. 421-1 CJA).
  • Le contentieux est de pleine juridiction : le Conseil d’État peut annuler, confirmer ou réformer la décision (réduction de sanction, annulation partielle).
  • La CJUE C-26/22 UF c/ Land Hessen 7 décembre 2023 impose un contrôle juridictionnel complet sur les rejets de réclamation, ce qui ouvre une voie majeure aux personnes concernées et aux associations.
  • L’articulation avec le mécanisme de cohérence (Art. 78(4)) est essentielle pour les contentieux transfrontaliers : la décision du CEPD est transmise à la juridiction et lie le juge national sur les éléments de droit.
  • Le succès d’un recours dépend de la documentation accountability (registre, AIPD, Art. 24, Art. 32) constituée avant la procédure, pas pendant.

FAQ

Quel est le délai pour contester une sanction CNIL devant le Conseil d’État ?

Le délai est de quatre mois à compter de la notification de la décision, en application de l’article 21 de la loi Informatique et Libertés. Ce délai dérogatoire — plus long que le délai de droit commun de deux mois — vaut uniquement pour les décisions de la formation restreinte (sanctions). Pour les autres décisions de la CNIL (mises en demeure du Président, refus d’autorisation, rejets de réclamation), le délai de droit commun de deux mois s’applique (Art. R. 421-1 CJA).

Le Conseil d’État peut-il réduire le montant d’une amende prononcée par la CNIL ?

Oui. L’article 21 LIL qualifie le contentieux de plein contentieux, ce qui permet au Conseil d’État de réformer la décision et de substituer sa propre appréciation à celle de la CNIL sur le quantum. Le juge contrôle la proportionnalité de la sanction au regard des onze critères de l’Art. 83(2) et peut réduire le montant si la décision est entachée d’une erreur d’appréciation. C’est ce qu’il a fait, par exemple, dans l’arrêt CE 27 mars 2020 Google n° 433069, en confirmant la sanction sur le principe mais en censurant l’un des fondements retenus.

Une personne ayant déposé une réclamation peut-elle contester son rejet par la CNIL ?

Oui. La CJUE C-26/22 UF c/ Land Hessen du 7 décembre 2023 a posé que toute décision de l’autorité de contrôle, y compris le rejet d’une réclamation, doit pouvoir faire l’objet d’un recours juridictionnel effectif avec un contrôle complet du juge — qui ne se limite pas à un contrôle restreint, mais permet de vérifier la qualification des faits et l’application du droit. C’est une voie de plus en plus utilisée par les associations de défense des droits numériques. Pour la chaîne complète des recours, voir l’article 77 RGPD.

Quelle est la différence entre l’article 78 et l’article 79 du RGPD ?

L’Art. 78 ouvre un recours juridictionnel contre l’autorité de contrôle (décision de la CNIL ou inaction de la CNIL). L’Art. 79 ouvre un recours juridictionnel directement contre le responsable de traitement ou le sous-traitant qui aurait violé les droits de la personne concernée — devant le tribunal judiciaire en France. Ces deux voies sont autonomes et peuvent être exercées simultanément, sans hiérarchie ni épuisement préalable, comme l’a confirmé la CJUE C-132/21 NAIH du 12 janvier 2023. La voie de l’Art. 79 vise généralement à obtenir une cessation du traitement et/ou une indemnisation au titre de l’article 82 RGPD.

Faut-il un avocat pour saisir le Conseil d’État au titre de l’article 78 ?

Oui, dans la quasi-totalité des cas. La représentation par un avocat aux Conseils (avocat au Conseil d’État et à la Cour de cassation) est obligatoire pour les recours en pleine juridiction contre les sanctions et pour la plupart des recours contentieux administratifs devant le Conseil d’État (Art. R. 432-1 CJA). Quelques exceptions existent pour les recours pour excès de pouvoir simples, mais la complexité technique des contentieux RGPD rend l’assistance d’un avocat spécialisé indispensable, en pratique, pour bâtir une argumentation crédible.

Restez à jour sur la jurisprudence RGPD et les décisions structurantes de la CNIL et du Conseil d’État. Recevez chaque semaine nos analyses conformité directement dans votre boîte mail — abonnez-vous à la newsletter de donneespersonnelles.fr.

Articles lies

RGPD

Article 79 RGPD : recours juridictionnel contre le responsable

9 mai 2026 · 18 min
RGPD

Article 77 RGPD : porter réclamation auprès de la CNIL

8 mai 2026 · 18 min
RGPD

Article 44 RGPD : le principe général des transferts

7 mai 2026 · 16 min