Décret n°2025-1061 : nouvelles autorités de contrôle des données judiciaires

Publié le 7 novembre 2025, le décret n° 2025-1061 relatif aux autorités de contrôle des opérations de traitements de données à caractère personnel marque une étape importante dans la régulation de l’utilisation des données personnelles au sein des juridictions administratives, judiciaires et financières.

Un nouveau cadre pour le contrôle des données des juridictions

Pris en application du RGPD et de la loi n°2024-449 du 21 mai 2024 relative à la sécurisation et à la régulation de l’espace numérique, dire loi « SREN », ce décret instaure des autorités de contrôle indépendantes au sein des trois grands ordres de juridictions :

• Le Conseil d’État,
• La Cour de cassation, et
• La Cour des comptes.

Ces autorités sont chargées de veiller à la conformité des traitements de données à caractère personnel effectués dans le cadre des fonctions juridictionnelles, c’est-à-dire le jugement des affaires, à l’exclusion des activités purement administratives.

Composition et fonctionnement des nouvelles autorités de contrôle

Chaque autorité est composée :

• D’un membre titulaire désigné par la juridiction concernée : conseiller d’État, magistrat hors hiérarchie de la Cour de cassation, magistrat pour la Cour des comptes ;
• Et d’un membre suppléant nommé dans les mêmes conditions.

Elles peuvent être assistées par des agents ou des membres des juridictions, sous réserve d’habilitation et du respect des conditions de probité et d’indépendance.
Elles disposent du pouvoir d’exiger la communication de documents, y compris en traduction française lorsque nécessaire.

Des pouvoirs étendus de contrôle et de sanction

Le décret encadre les modalités de contrôle :

• Contrôles sur place possibles entre 6h et 21h, avec procès-verbal obligatoire ;
• Auditions des responsables de traitement ou sous-traitants ;
• Recours à des experts pour les vérifications techniques.

En cas de manquement au RGPD ou à la loi « Informatique et Libertés » :

• L’autorité peut adresser une mise en demeure ;
• Prononcer des mesures correctrices (limitation ou suspension du traitement, injonction, etc.) ;
• Et, en cas d’urgence, agir sous huit jours.

Ces procédures sont contradictoires : les responsables de traitement disposent de délais pour présenter leurs observations, assistés le cas échéant de leur conseil.

Plaintes, réclamations et notification des violations de données

Toute personne peut saisir l’autorité compétente en cas de traitement jugé irrégulier.
Le silence gardé pendant trois mois par l’autorité vaut décision implicite de rejet.
Les juridictions ont par ailleurs l’obligation de notifier toute violation de données personnelles dans le cadre de leurs activités juridictionnelles, sans qu’un délai soit précisé.

Recours contre les décisions des autorités de contrôle

Les décisions rendues par ces autorités peuvent faire l’objet d’un recours devant le Conseil d’Etat pour les juridictions administratives et financières ou devant la Cour de cassation pour les juridictions judiciaires.

Le délai de recours est de deux mois à compter de la notification.
Le juge peut, en cas de risque de préjudice grave, ordonner un sursis à exécution.

Entrée en vigueur et portée

Le décret est entré en vigueur le 8 novembre 2025, soit le lendemain de sa publication au Journal officiel.

Il renforce la protection des données personnelles dans le fonctionnement de la justice, tout en assurant le respect de son indépendance juridictionnelle.

FAQ – Vos questions sur le décret n°2025-1061 sur le contrôle des données judiciaires

Quel est l’objectif principal du décret ?

Garantir un équilibre entre la protection des données personnelles et l’indépendance du pouvoir judiciaire.

Ce texte renforce la confiance dans la justice numérique et assure une meilleure conformité au RGPD, sans ingérence d’autorités externes.

Pourquoi la CNIL ne peut-elle pas contrôler directement les tribunaux ?

La CNIL est une autorité administrative indépendante.

Or, selon la séparation des pouvoirs, une autorité administrative ne peut pas contrôler l’activité juridictionnelle.

Les juridictions doivent donc avoir leurs propres organes de contrôle pour assurer la conformité au RGPD sans compromettre leur indépendance. C’est ce que prévoit l’article 55 du RGPD.

Quels types de traitements de données sont concernés ?

Sont concernés tous les traitements de données à caractère personnel liés à la fonction de jugement :

• Gestion des dossiers contentieux,
• Enregistrement et archivage des décisions,
• Utilisation de systèmes numériques de suivi des affaires,
• Transmission électronique de pièces ou de jugements.

En revanche, les traitements administratifs internes, tels que les ressources humaines, la logistique ou autre, restent sous le contrôle de la CNIL.

Quels pouvoirs ont les autorités de contrôle créées par le décret ?

Les autorités de contrôle peuvent :

• Vérifier les traitements de données dans les juridictions,
• Mener des contrôles sur place,
• Auditionner les responsables de traitement,
• Ordonner des corrections ou suspendre un traitement,
• Et sanctionner les manquements au RGPD ou à la loi « Informatique et Libertés ».

Elles peuvent également être saisies par toute personne estimant qu’un traitement porte atteinte à ses droits.

Que faire en cas de désaccord avec une décision de l’autorité de contrôle ?

Une juridiction, un responsable de traitement ou toute personne concernée peut former un recours :

• Devant le Conseil d’État pour les juridictions administratives ou financières,
• Devant la Cour de cassation pour les juridictions judiciaires.

Ces recours doivent être déposés dans les deux mois suivant la notification de la décision.

👉 Pour toute question ou besoin d’accompagnement : Contactez-nous

Pour ne rater aucune actualité, pensez à vous inscrire à nos actualités 👇