La décision est tombée, cinglante : la justice portugaise a rejeté l’appel de la municipalité de Lisbonne dans l’affaire dite Russiagate, confirmant sa condamnation pour la transmission illégale de données personnelles de militants opposés au régime de Vladimir Poutine à des entités russes. Cette affaire, révélée en 2021, dépasse largement le cadre d’un dysfonctionnement administratif : elle met en lumière les fragilités des institutions démocratiques face aux logiques opaques de gouvernance locale, aux rapports ambigus avec des puissances étrangères, et aux limites de la protection des données à l’heure du numérique.
Un contentieux persistant aux répercussions multiples
Le Tribunal Central Administrativo Sul a tranché le 1er août 2025 : le recours déposé par la Câmara Municipal de Lisboa (CML) est déclaré « totalement improcédent », tant sur le plan des faits que du droit. La sanction est donc maintenue : une amende de 738.000 euros, calculée après réduction pour prescription partielle des infractions initiales, dont le total s’élevait à plus de 1,25 million d’euros. Cette condamnation vient s’ajouter à une précédente décision défavorable, marquant la deuxième défaite judiciaire de la municipalité dans cette affaire sensible.
Au commencement
Le cœur du dossier remonte à 2021, quand il fut révélé que la ville de Lisbonne avait transmis, à plusieurs reprises, les données personnelles de citoyens russes et portugais engagés dans des manifestations contre le Kremlin. Ces informations (noms, contacts, affiliations) ont été envoyées à des institutions russes, y compris l’ambassade de Russie au Portugal. Un audit interne a identifié au moins 27 occurrences de ce type entre 2013 et 2021, période couvrant les mandats d’António Costa, puis de Fernando Medina à la tête de la mairie.
Le scandale a éclaté publiquement à l’occasion d’une manifestation de soutien à Alexeï Navalny, opposant emprisonné du régime russe. Les protestataires avaient été identifiés, leurs données transmises aux autorités contre lesquelles ils manifestaient. Un fait qui, dans n’importe quel État de droit, évoque immédiatement la notion de mise en danger des citoyens par les autorités elles-mêmes.
Sur le plan juridique, la Commission Nationale de Protection des Données (CNPD), organe indépendant chargé de veiller au respect du Règlement Général sur la Protection des Données (RGPD), a infligé une amende lourde à la municipalité pour 65 infractions avérées. Le tribunal administratif a confirmé que Lisbonne avait agi « librement, consciemment et de manière délibérée », en pleine connaissance de l’illégalité de ses actions.
Un argumentaire juridique révélateur de tensions institutionnelles
La ligne de défense adoptée par la mairie de Lisbonne s’est voulue purement juridique : nier l’application du RGPD aux entités publiques non commerciales, au motif qu’aucune sanction spécifique n’aurait été prévue par le législateur national. Une thèse rejetée à deux reprises par la justice, qui rappelle que le droit européen prime et que le RGPD s’applique indistinctement aux entités publiques et privées. Cette position du tribunal fait désormais jurisprudence, dans un contexte où plusieurs municipalités portugaises (dont Faro récemment) ont été accusées de pratiques similaires.
Des pratiques structurelles, pas des erreurs isolées
Au-delà de la ligne de défense procédurale, le cas révèle une gestion administrative marquée par une forme de banalisation des transferts de données sensibles. Ce n’est pas un acte isolé, mais une habitude enracinée : pendant près d’une décennie, la mairie a systématiquement transféré aux ambassades les données des organisateurs de manifestations internationales. Ce fonctionnement, hérité de logiques bureaucratiques peu transparentes, n’a pas été remis en question pendant des années, jusqu’au scandale de 2021.
Plus troublant encore, les responsables politiques successifs, y compris António Costa, alors maire de Lisbonne, n’ont jamais publiquement assumé cette chaîne de décisions. Le seul geste visible fut la révocation en urgence du délégué à la protection des données, Luís Feliciano, rapidement réintégré au sein de la municipalité, dans le cabinet du successeur, Carlos Moedas.
Un enjeu politique à la veille des élections municipales
La décision judiciaire intervient à un moment politiquement sensible. Carlos Moedas, président de la mairie de Lisbonne depuis 2021, fait face à une opposition renforcée à l’approche des prochaines élections municipales. Même s’il n’est pas personnellement impliqué dans les faits, il hérite d’un passif institutionnel lourd, d’autant plus que son administration choisit de poursuivre les recours « jusqu’au bout », comme il l’a lui-même annoncé. Ce choix pourrait alimenter un climat de méfiance vis-à-vis de l’exécutif local, soupçonné de chercher l’impunité plutôt que la réforme.
En refusant de reconnaître explicitement les torts passés, la municipalité entretient un rapport ambigu avec la notion de responsabilité politique. Le fait que la défense ait tenté d’écarter les témoignages du Ministère public, en qualifiant leur audition de « dilatoire », illustre une stratégie de neutralisation du débat de fond, au profit d’une bataille technique. Une posture qui tranche avec l’exigence démocratique de transparence, surtout dans un contexte de protection des droits fondamentaux.
Le RGPD à l’épreuve de l’État
L’affaire lisboète soulève une question plus vaste : celle de l’application effective du RGPD dans les administrations publiques européennes. Le texte, souvent perçu comme contraignant pour les entreprises, peine à s’imposer dans les rouages de l’État, où les procédures sont anciennes, la culture du contrôle faible, et les sanctions rares. En ce sens, la décision du Tribunal Central Administrativo Sul pourrait faire date. Elle affirme le caractère universel du RGPD, même pour les collectivités territoriales et les structures non marchandes, longtemps restées en marge de sa portée effective.
Le Portugal, souvent perçu comme un bon élève en matière de droits numériques, révèle ici une de ses failles : un droit des données personnelles qui bute encore sur des réflexes administratifs hérités du passé. Une faille d’autant plus préoccupante qu’elle touche à la sphère politique, au droit de manifester, et à la protection des minorités. Autant de piliers essentiels dans un régime démocratique.
Vers un contentieux européen ?
Le sort judiciaire de la Câmara Municipal de Lisboa n’est pas encore totalement scellé. L’administration peut encore porter l’affaire devant d’autres juridictions nationales, voire faire appel aux instances européennes. Mais un recours au niveau de l’Union ne ferait que prolonger une polémique politiquement coûteuse, tout en retardant une réforme administrative devenue nécessaire. Le coût de l’inaction, qu’il soit juridique, politique ou moral, pourrait, à terme, s’avérer bien plus élevé que celui des amendes.
Au moment où l’Europe tente de consolider ses valeurs démocratiques face aux influences extérieures, le Russiagate portugais sonne comme un avertissement : même dans des démocraties stables, la vigilance s’impose, y compris, et surtout, lorsque l’administration croit bien faire.
