Conseil d'État, 10ème - 9ème chambres réunies, 21/10/2022, 459254, Publié au recueil Lebon

Texte intégral

RÉPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS

Vu la procédure suivante :

Par une requête sommaire, un mémoire complémentaire et trois mémoires en réplique, enregistrés les 8 décembre 2021, 9 mars, 2 juin, 15 juillet et 20 septembre 2022 au secrétariat du contentieux du Conseil d'Etat, Mme A... C... demande au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir la décision du 8 octobre 2021 de la présidente de la Commission nationale de l'informatique et des libertés (CNIL) clôturant sa plainte dirigée contre la société ... ;

2°) de mettre à la charge de la société ... la somme de 3 000 euros au titre de l'article L. 761-1 du code de justice administrative.



Vu les autres pièces du dossier ;

Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code des relations entre le public et l'administration ;
- la loi n° 78-17 du 6 janvier 1978 ;
- l'arrêt C-534/20 du 22 juin 2022 de la Cour de justice de l'Union européenne ;
- le code de justice administrative ;


Après avoir entendu en séance publique :

- le rapport de Mme Isabelle Lemesle, conseillère d'Etat,

- les conclusions de Mme Esther de Moustier, rapporteure publique ;

La parole ayant été donnée, après les conclusions, à la SCP Fabiani, Luc-Thaler, Pinatel, avocat de Mme C... ;



Considérant ce qui suit :

Sur les conclusions tendant à ce que " l'intervention " de la société ... soit déclarée irrecevable :

1. La société ..., responsable du traitement de données à caractère personnel ayant donné lieu à la plainte de Mme C..., a la qualité de défendeur dans la présente instance. Les conclusions de Mme C... tendant à ce que soit déclarée irrecevable " l'intervention " de la société ... ne peuvent donc qu'être rejetées.


Sur les conclusions dirigées contre la décision de la Commission nationale de l'informatique et des libertés :

2. Aux termes de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " I.- La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :/ (...) 2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France. A ce titre :/ (...) d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire (...) ".

3. Il résulte des dispositions mentionnées au point 2 qu'il appartient à la Commission nationale de l'informatique et des libertés (CNIL) de procéder, lorsqu'elle est saisie d'une plainte ou d'une réclamation tendant à la mise en œuvre de ses pouvoirs, à l'examen des faits qui en sont à l'origine et de décider des suites à leur donner. Elle dispose, à cet effet, d'un large pouvoir d'appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu'elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l'ont été et, plus généralement, de l'ensemble des intérêts généraux dont elle a la charge. L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la CNIL d'y donner suite. Il appartient au juge de censurer celui-ci, le cas échéant, pour un motif d'illégalité externe et, au titre du bien-fondé de la décision, en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir. Toutefois, lorsque l'auteur de la plainte se fonde sur la méconnaissance par un responsable de traitement des droits garantis par la loi à la personne concernée à l'égard des données à caractère personnel la concernant, notamment les droits d'accès, de rectification, d'effacement, de limitation et d'opposition mentionnés aux articles 49, 50, 51, 53 et 56 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, le pouvoir d'appréciation de la CNIL pour décider des suites à y donner s'exerce, eu égard à la nature du droit individuel en cause, sous l'entier contrôle du juge de l'excès de pouvoir.

4. Il ressort des pièces du dossier que Mme A... C..., recrutée par la société ... à compter du ... pour exercer la fonction de déléguée à la protection des données et licenciée le ..., demande l'annulation pour excès de pouvoir de la décision du 8 octobre 2021 par laquelle la présidente de la CNIL a clôturé sa plainte relative aux conditions dans lesquelles elle a exercé ses fonctions de déléguée au sein de cette société et à l'exercice de son droit d'accès à ses données personnelles.


Quant à l'exercice du droit d'accès par Mme C... à ses données personnelles :

5. D'une part, en vertu de l'article 15 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données - RGPD), auquel renvoie l'article 49 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la personne concernée a le droit d'obtenir du responsable de traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès à ces données à caractère personnel ainsi qu'à une série d'informations limitativement énumérées.

6. D'autre part, le refus de la CNIL de donner suite à une plainte fondée sur la méconnaissance du droit d'accès qu'une personne concernée tient des dispositions de l'article 15 du RGPD est au nombre des décisions administratives individuelles défavorables qui refusent un avantage dont l'attribution constitue un droit pour les personnes qui remplissent les conditions légales pour l'obtenir, au sens et pour l'application du 6° de l'article L. 211-2 du code des relations entre le public et l'administration, et qui doivent, à ce titre, être motivées.

7. La décision de la présidente de la CNIL de ne pas donner suite à la plainte de Mme C... en ce qui concerne l'exercice du droit d'accès aux données à caractère personnel la concernant comporte l'énoncé des considérations de droit et de fait qui en constituent le fondement. La requérante n'est donc pas fondée à soutenir que cette décision serait entachée d'insuffisance de motivation.


Quant au respect par la société ... des dispositions relatives au délégué à la protection des données :

8. L'article 39 du RGPD prévoit que : " 1. Les missions du délégué à la protection des données sont au moins les suivantes : / a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données ;/ b) contrôler le respect du présent règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant ;/ c) dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35 ;/ d) coopérer avec l'autorité de contrôle ;/ e) faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et mener des consultations, le cas échéant, sur tout autre sujet (...) ". Aux termes de l'article 38 du même règlement, relatif à la fonction de délégué à la protection des données : " (...) / 2. Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l'article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d'entretenir ses connaissances spécialisées./ 3. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l'exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant. / 4. Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l'exercice des droits que leur confère le présent règlement (...) ". Enfin, le considérant 97 du RGPD énonce que le délégué doit être en mesure d'exercer ses fonctions " en toute indépendance ".

9. En premier lieu, la décision de la présidente de la CNIL de ne pas donner suite à la plainte de Mme C... en ce qui concerne les manquements allégués de la société ... aux règles relatives au délégué à la protection des données mentionnées au point 6 n'est pas au nombre des décisions individuelles défavorables énumérées à l'article L. 211-2 du code des relations entre le public et l'administration et, en particulier, ne constitue ni une mesure restreignant l'exercice des libertés publiques, ni le refus d'un avantage dont l'attribution constitue un droit pour les personnes qui remplissent les conditions légales pour l'obtenir, eu égard au large pouvoir d'appréciation dont bénéficie la CNIL, saisie d'une plainte qui n'est pas fondée sur l'un des droits individuels reconnus par le RGPD à la personne concernée. Ni les dispositions de ce code, ni aucune autre disposition n'impose la motivation d'une telle décision. Par suite, la requérante ne peut utilement reprocher à la CNIL d'avoir insuffisamment motivé sa décision sur ce point.

10. En deuxième lieu, il résulte des dispositions du paragraphe 3 de l'article 38 du RGPD citées au point 8, éclairées par la Cour de justice de l'Union européenne dans son arrêt du 22 juin 2022 (C-534/20), Leistritz AG c/ LH, qu'en protégeant le délégué à la protection des données contre toute décision qui mettrait fin à ses fonctions, lui ferait subir un désavantage ou qui constituerait une sanction, lorsqu'une telle décision serait en relation avec l'exercice de ses missions, ces dispositions visent essentiellement à préserver l'indépendance fonctionnelle du délégué à la protection des données et, partant, à garantir l'effectivité des dispositions du RGPD. En revanche, elles ne font pas obstacle au licenciement d'un délégué qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s'acquitterait pas de celles-ci conformément aux dispositions du RGPD. Il ressort également de cet arrêt que ces dispositions n'ont pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel, lesquelles ne sont susceptibles d'être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation des objectifs du RGPD. Il en résulte clairement que l'article 38 du RGPD ne fait pas obstacle à ce que le salarié exerçant les fonctions de délégué au sein de l'entreprise fasse l'objet d'une sanction ou d'un licenciement à raison de manquements aux règles internes à l'entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l'indépendance fonctionnelle qui lui est garantie par le RGPD.

11. Il ressort des pièces du dossier que, pour déterminer s'il y avait lieu de poursuivre la société ... en raison de manquements aux règles garantissant l'indépendance du délégué à la protection des données énoncées au paragraphe 3 de l'article 38 du RGPD, la CNIL a confronté les faits et griefs évoqués dans la plainte de Mme C... avec la réponse de la société. Celle-ci a réfuté avoir donné des instructions à l'intéressée en sa qualité de déléguée à la protection des données et a exposé que son licenciement résultait de défaillances dans l'exercice de ses fonctions, en mentionnant notamment, à ce titre, l'absence de production d'une feuille de route demandée, des alertes répétées de non-conformité non motivées et non documentées, une absence de réponse aux sollicitations des salariés de la société et une absence de disponibilité délibérée, en sus du non-respect de processus internes à la société, consistant notamment à s'affranchir des chaînes hiérarchiques en s'adressant directement aux collaborateurs d'une équipe sans l'aval du chef de celle-ci ou à prendre des congés sans en avertir en temps utile sa hiérarchie. La société ... a, en outre, fait valoir que Mme C... n'avait jamais fait l'objet de sanctions directes ou indirectes, en soutenant que la circonstance qu'elle n'ait pas obtenu le taux maximum de sa prime de performance en mars 2019 tenait à ce qu'elle ne satisfaisait pas pleinement aux exigences liées à sa fonction. La CNIL a pris sa décision après avoir examiné l'ensemble des éléments en sa possession.

12. En estimant que l'exigence de protection de l'indépendance fonctionnelle du délégué à la protection des données ne faisait pas obstacle, par principe, à ce que la société ... puisse reprocher à l'intéressée des carences dans l'exercice de ses fonctions ainsi que le non-respect de règles internes à la société, dont il n'est pas allégué qu'elles étaient incompatibles avec l'indépendance fonctionnelle du délégué, la CNIL n'a pas commis d'erreur de droit. Par ailleurs, eu égard aux justifications avancées par la société ... pour motiver les mesures prises à l'égard de Mme C..., et quand bien même la matérialité de certains des faits reprochés à cette dernière ne serait pas établie avec certitude, il ne ressort pas des pièces du dossier que la CNIL, dans l'exercice du large pouvoir d'appréciation qui est le sien, ait entaché sa décision d'une erreur manifeste en estimant qu'il n'y avait pas lieu, en l'espèce, d'engager des poursuites à l'encontre de la société ... à raison d'un manquement au paragraphe 3 de l'article 38 du RGPD.

13. En troisième et dernier lieu, il ressort des pièces du dossier que d'importantes ressources humaines et opérationnelles ont été octroyées à Mme C..., dont une équipe de trois collaborateurs et un budget d'intervention important dont elle décidait de l'affectation, qu'elle exerçait ses fonctions de délégué à temps complet et à titre exclusif, et animait un comité de pilotage de la protection des données à caractère personnel réunissant des cadres dirigeants. En se fondant sur ces circonstances pour estimer qu'il n'y avait pas lieu de donner suite à la plainte en ce qui concerne un manquement à l'obligation, prévue au paragraphe 2 de l'article 38 du RGPD, de fournir au délégué à la protection des données les ressources nécessaires à l'exercice de ses missions, la CNIL, qui n'a pas commis d'erreur de droit, n'a pas entaché sa décision d'erreur manifeste d'appréciation.

14. Il résulte de ce qui précède que la requête de Mme C... doit être rejetée, y compris les conclusions qu'elle présente au titre de l'article L. 761-1 du code de justice administrative. Dans les circonstances de l'espèce, il y a lieu de mettre à sa charge la somme de 1 000 euros que la société ... demande au même titre.




D E C I D E :
--------------
Article 1er : La requête de Mme C... est rejetée.
Article 2 : Mme C... versera à la société ... la somme de 1 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Article 3 : La présente décision sera notifiée à Mme A... C..., à la Commission nationale de l'informatique et des libertés et à la société ....

ECLI:FR:CECHR:2022:459254.20221021
Retourner en haut de la page