Conseil d'État, 10ème - 9ème chambres réunies, 10/12/2020, 429571

Texte intégral

RÉPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS

Vu la procédure suivante :

Par une requête et deux mémoires en réplique, enregistrés les 8 avril 2019, 2 mars et 17 novembre 2020 au secrétariat du contentieux du Conseil d'Etat, la société Cdiscount demande au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir la décision implicite de la présidente de la Commission nationale de l'informatique et des libertés (CNIL) rejetant la demande qu'elle a présentée le 7 décembre 2018 tendant à la modification de la délibération n° 2018-303 du 6 septembre 2018 ;

2°) d'enjoindre à la CNIL de réexaminer, à l'aune de la décision à intervenir, le régime de conservation des données de cartes bancaires pour les clients non abonnés, et ce dans un délai d'un mois à compter de la notification de la décision à intervenir ;

3°) à titre subsidiaire, de saisir à titre préjudiciel la Cour de justice de l'Union européenne d'une question portant sur l'interprétation du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

4°) de mettre à la charge de la CNIL la somme de 3 000 euros au titre des dispositions de l'article L. 761-1 du code de justice administrative.


Vu les autres pièces du dossier ;

Vu :
- la Constitution ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la charte des droits fondamentaux de l'Union européenne ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative et le décret n° 2020-1406 du 18 novembre 2020 ;


Après avoir entendu en séance publique :

- le rapport de Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire,

- les conclusions de M. Alexandre Lallet, rapporteur public ;

La parole ayant été donnée, après les conclusions, à la SCP Piwnica, Molinié, avocat de la société Cdiscount ;



Considérant ce qui suit :

1. Il ressort des pièces du dossier que, par une délibération du 6 septembre 2018, la Commission nationale de l'informatique et des libertés (CNIL) a adopté une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. Par cette recommandation, la CNIL a indiqué que ces données ne peuvent être collectées et traitées par une société vendant des biens ou des services à distance que pour permettre la réalisation d'une transaction dans le cadre de l'exécution d'un contrat et que la conservation de ces données afin de faciliter d'éventuels paiements ultérieurs n'est possible que si les personnes auxquelles ces données se rapportent ont donné préalablement et explicitement leur consentement, à moins qu'elles aient souscrit un abonnement donnant accès à des services additionnels, traduisant leur inscription dans une relation commerciale régulière.

2. La société Cdiscount a saisi la présidente de la CNIL d'une demande de modification de la délibération du 6 septembre 2018, afin d'autoriser la conservation des numéros de cartes bancaires pour les clients non abonnés mais dont la récurrence des achats laisse supposer qu'ils peuvent raisonnablement s'attendre à ce que leurs données bancaires soient conservées pour simplifier leurs achats ultérieurs. Elle demande l'annulation pour excès de pouvoir du refus opposé par la présidente de la CNIL à cette demande.

3. D'une part, aux termes de l'article 6 du règlement du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données : " 1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; / b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;/ c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis; / d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique; /e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement; / f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. (...) ". Selon le considérant 47 des motifs de ce règlement : " Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement (...) ".

4. D'autre part, l'article 58 du règlement dispose que : " 3. Chaque autorité de contrôle dispose de tous les pouvoirs d'autorisation et de tous les pouvoirs consultatifs suivants : (...) b) émettre, de sa propre initiative ou sur demande, des avis à l'attention du parlement national, du gouvernement de l'État membre ou, conformément au droit de l'État membre, d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel ;(...) ". Aux termes de l'article 11 de la loi du 6 janvier 1978 relative à l'informatique et aux libertés dans sa version applicable au litige : " I. La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle exerce les missions suivantes : (...) 2° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France. / A ce titre : (...) a bis) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants (...) ".

5. En premier lieu, par la délibération litigieuse, la CNIL s'est bornée, dans le cadre des prérogatives que lui confèrent les dispositions mentionnées au point 4, à donner son interprétation des dispositions du règlement du 27 avril 2016 mentionnées au point 3 en ce qui concerne les modalités selon lesquelles un responsable de traitement peut légalement conserver les données de cartes bancaires des clients de ses services d'achat en ligne. Par suite, le moyen tiré de ce qu'elle aurait incompétemment modifié ce règlement ne peut qu'être écarté.

6. En deuxième lieu, l'article 9 du règlement du 27 avril 2016 dispose que " 1. Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. / 2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie: / a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée (...) ". Contrairement à ce que soutient la société Cdiscount, la CNIL n'a pas fondé l'exigence de consentement préalable des personnes concernées par les traitements considérés sur les dispositions de l'article 9 du règlement du 27 avril 2016 qui viennent d'être citées, mais sur celles de son article 6. Par suite, le moyen selon lequel la CNIL aurait à tort assimilé les données bancaires à des données sensibles au sens de l'article 9 du règlement du 27 avril 2016 ne peut qu'être écarté.

7. En troisième lieu, il résulte clairement des dispositions de l'article 6 du règlement du 27 avril 2016 citées au point 3 qu'un traitement de données à caractère personnel ne satisfait aux exigences du règlement, dès lors qu'il n'est nécessaire ni au respect d'une obligation légale à laquelle le responsable du traitement est soumis, ni à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, que si la personne concernée a consenti au traitement de ses données, sauf à ce que le traitement soit nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci, ou à ce qu'il soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à la condition, dans ce dernier cas, que ces intérêts légitimes puissent être regardés comme prévalant sur les intérêts des personnes concernées ou sur leurs libertés et droits fondamentaux. Pour porter cette appréciation, il y a lieu de mettre en balance, d'une part, l'intérêt légitime poursuivi par le responsable du traitement et, d'autre part, l'intérêt ou les libertés et droits fondamentaux des personnes concernées, eu égard notamment à la nature des données traitées, à la finalité et aux modalités du traitement ainsi qu'aux attentes que ces personnes peuvent raisonnablement avoir quant à l'absence de traitement ultérieur des données collectées.

8. D'une part, il n'est pas contesté que la conservation des numéros de cartes bancaires pour certains clients des sites de commerce en ligne non abonnés pour faciliter des achats ultérieurs n'est nécessaire ni au respect d'une obligation légale, ni à l'exécution d'une mission d'intérêt public, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne. S'agissant de l'exécution d'un contrat auquel la personne concernée est partie, la conservation du numéro de carte bancaire ne saurait se justifier une fois ce contrat exécuté.

9. D'autre part, si la société soutient que la conservation du numéro de carte bancaire du client qui a procédé à un achat en ligne est nécessaire aux fins de l'intérêt légitime consistant à faciliter des paiements ultérieurs en dispensant le client de le saisir à chacun de ses achats, notamment dans le cadre d'une fonctionnalité d'achat rapide - dite " en un clic " - cet intérêt ne saurait prévaloir sur l'intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d'une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s'attendre à ce que les entreprises concernées conservent de telles données sans leur consentement. Par suite, la CNIL a pu à bon droit estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs. Il suit de là que le moyen tiré de la méconnaissance par la délibération litigieuse du règlement du 27 avril 2016 doit être écarté.

10. En quatrième lieu, la circonstance alléguée que la délibération litigieuse aurait pour effet de créer une distorsion de concurrence au bénéfice d'opérateurs économiques étrangers relevant des régulateurs d'autres pays, ou n'étant soumis à aucune régulation, est, par elle-même, sans incidence sur sa légalité.

11. Il résulte de tout ce qui précède que, sans qu'il y ait lieu de saisir la Cour de justice de l'Union européenne à titre préjudiciel, la société Cdiscount n'est pas fondée à demander l'annulation pour excès de pouvoir de la décision implicite de la présidente de la CNIL rejetant sa demande tendant à la modification de la délibération du 6 septembre 2018. Ses conclusions à fins d'injonction ainsi que celles présentées au titre de l'article L. 761-1 du code de justice administrative doivent, par voie de conséquence, être rejetées.



D E C I D E :
--------------

Article 1er : La requête de la Société Cdiscount est rejetée.
Article 2 : La présente décision sera notifiée à la Société Cdiscount et à la commission nationale de l'informatique et des libertés.


ECLI:FR:CECHR:2020:429571.20201210
Retourner en haut de la page