Par une décision en date du 5 juin 2025 (nos 499596, 499597), le Conseil d’État a tranché une question sensible soulevée dans le cadre de sanctions infligées par la formation restreinte de la CNIL. Les sociétés Cosmospace et Télémaque soutenaient que les articles 19 et 22 de la loi Informatique et Libertés méconnaissaient le droit de ne pas s’incriminer soi-même, en ce qu’ils ne prévoient pas d’information préalable sur le droit de se taire lors des enquêtes et procédures de sanction menées par l’Autorité.
Le Conseil d’État a jugé que les pouvoirs d’enquête prévus par l’article 19 de la loi du 6 janvier 1978 doivent être distingués de la procédure de sanction proprement dite. Ces pouvoirs, qui permettent aux agents de la CNIL d’accéder aux locaux professionnels, de se faire remettre tout document utile, quel qu’en soit le support, et de recueillir des renseignements ou justifications auprès des responsables de traitement et de leurs représentants, interviennent en amont. Leur finalité est de vérifier la conformité des traitements de données aux exigences légales et réglementaires, sans que la personne contrôlée soit, à ce stade, mise en cause dans une procédure répressive.
Dans cette perspective, le Conseil d’État rappelle que les actes d’enquête administrative ne visent pas à obtenir l’aveu d’une personne poursuivie mais à collecter des éléments objectifs nécessaires à l’exercice des missions de contrôle de la CNIL. Ils se distinguent donc de l’instruction pénale, dans laquelle le droit de ne pas s’incriminer soi-même trouve son terrain naturel d’application. L’autorité administrative se borne à demander des explications factuelles, à vérifier l’existence et la conformité de documents, ou encore à comprendre le fonctionnement des dispositifs mis en place par l’organisme audité.
La juridiction souligne ainsi que la garantie constitutionnelle du droit au silence ne saurait être invoquée pour faire obstacle à ces investigations préliminaires, qui relèvent d’une logique de régulation et de prévention plutôt que de sanction. L’obligation de coopérer avec les agents de la CNIL, notamment en communiquant les informations et justificatifs sollicités, découle directement des missions confiées à l’Autorité par la loi et par le RGPD. Reconnaître un droit de se taire à ce stade reviendrait, selon le Conseil d’État, à vider de leur substance les prérogatives de contrôle conférées à la CNIL et, par extension, à compromettre l’effectivité de la protection des données personnelles.
En conséquence, la haute juridiction écarte toute atteinte aux droits et libertés constitutionnellement garantis s’agissant de l’article 19 : les contrôles menés par la CNIL ne nécessitent pas l’information préalable des organismes vérifiés sur un éventuel droit de garder le silence.
En revanche, s’agissant de l’article 22, qui encadre la procédure devant la formation restreinte, le Conseil d’État estime que la question prioritaire de constitutionnalité (QPC) mérite d’être posée. Il renvoie donc au Conseil constitutionnel l’examen de la conformité de ces dispositions, afin de déterminer si les personnes morales poursuivies devant une autorité administrative indépendante investie d’un pouvoir de sanction doivent être informées de leur droit de garder le silence, et selon quelles modalités.
Cette décision illustre la spécificité des contrôles opérés par la CNIL, qui reposent largement sur la coopération des organismes vérifiés. Elle rappelle également que le droit au silence, reconnu en matière pénale, n’est pas automatiquement transposable aux procédures administratives. Le Conseil constitutionnel devra désormais préciser les garanties minimales applicables dans le cadre des sanctions prononcées par la CNIL, et plus largement par les autorités administratives indépendantes dotées d’un pouvoir répressif.