Vu la procédure suivante :
Par une requête, un mémoire en réplique et un nouveau mémoire, enregistrés les 18 avril, 28 juillet et 19 septembre 2024 au secrétariat du contentieux du Conseil d'Etat, M. C... B... demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la décision du 19 février 2024 par laquelle la Commission nationale de l'informatique et des libertés (CNIL) a prononcé la clôture de sa plainte relative au traitement de ses données à caractère personnel par la société Boursorama ;
2°) d'enjoindre à la CNIL d'instruire à nouveau sa plainte dans le respect du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et de statuer dans un délai de trois mois
3°) d'enjoindre à la CNIL de respecter les dispositions du même règlement lors de l'instruction de ses plaintes.
Vu les autres pièces du dossier ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Emmanuel Weicheldinger, maître des requêtes en service extraordinaire,
- les conclusions de Mme Esther de Moustier, rapporteure publique ;
Considérant ce qui suit :
1. Il ressort des pièces du dossier que, le 7 janvier 2022, M. B... a saisi la CNIL d'une plainte dirigée contre la société Boursorama, au motif que celle-ci demandait à ses clients de fournir leurs identifiants et mots de passe (" les identifiants de connexion ") permettant d'accéder à leur espace personnel sur le site impots.gouv.fr, dans le cadre de la procédure en ligne d'octroi d'un prêt. Par un courrier du 18 mai 2022, la CNIL a indiqué à M. B... que son dossier était en cours d'instruction et avoir contacté la société Boursorama. L'instruction ayant révélé des manquements au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit RGPD), la CNIL a, par un courrier du 8 août 2023, mis en demeure la société Boursorama de se mettre en conformité avec ses obligations au titre de ce règlement en cessant le traitement des identifiants de connexion au site impots.gouv.fr dans un délai de deux mois. Par un courrier du 19 février 2024, la CNIL a informé M. B... de l'existence d'une violation des articles 25 et 32 du RGPD et de ce que la société Boursorama avait cessé ce traitement depuis le 30 septembre 2023. Compte tenu de ces éléments, elle l'a informé de la clôture de sa plainte. M. B... demande l'annulation pour excès de pouvoir de cette décision et d'enjoindre à la CNIL de réexaminer sa plainte.
2. Selon le 2° du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de cette loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France et, à ce titre, traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable.
3. En vertu des I et II de l'article 20 de la même loi, le président de la CNIL peut adresser au responsable d'un traitement de données à caractère personnel un avertissement dans le cas où ce traitement est susceptible de méconnaître cette loi ou le RGPD ainsi que, lorsqu'un manquement aux obligations découlant de ces textes est constaté, un rappel à ses obligations légales ou, si le manquement est susceptible de faire l'objet d'une mise en conformité, une mise en demeure de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, de mettre les opérations de traitement en conformité avec les dispositions applicables, de rectifier ou d'effacer des données à caractère personnel, d'en limiter le traitement ou, à l'exception des traitements intéressant la sûreté de l'Etat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel. Selon le III du même article, s'il estime qu'un manquement a été commis, le président de la CNIL peut également, le cas échéant après avoir mis en œuvre les mesures prévues aux I et II de cet article, saisir la formation restreinte de la commission en vue du prononcé des mesures correctrices, notamment l'injonction de mettre en conformité le traitement avec les obligations résultant du RGPD ou de la loi du 6 janvier 1978 ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, et des sanctions énumérées à ce III.
4. Il résulte de l'ensemble de ces dispositions qu'il appartient à la CNIL de procéder, lorsqu'elle est saisie d'une plainte ou d'une réclamation tendant à la mise en œuvre de ses pouvoirs, à l'examen des faits qui en sont à l'origine et de décider des suites à leur donner. À cet effet, elle dispose, en principe, d'un large pouvoir d'appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu'elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l'ont été et, plus généralement, de l'ensemble des intérêts généraux dont elle a la charge.
5. L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus du président de la CNIL d'engager une procédure sur le fondement de l'article 20 de la loi du 6 janvier 1978 et, notamment, de saisir la formation restreinte sur le fondement du III de cet article, y compris lorsque la commission a procédé à des mesures d'instruction, constaté l'existence d'un manquement aux dispositions de cette loi et pris l'une des mesures prévues aux I et II de ce même article. Il appartient au juge de censurer cette décision de refus, le cas échéant, pour un motif d'illégalité externe ou, au titre du bien-fondé de la décision, en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir.
6. Il ressort des pièces du dossier que la CNIL a, eu égard aux risques induits par la collecte des données de connexion fiscale de particuliers, relevé des manquements aux obligations qui s'imposent à la société Boursorama au titre des articles 25 et 32 du RGPD, qui obligent à garantir la protection des données à caractère personnel dès la conception et par défaut, ainsi que de traiter ces données de façon à garantir leur sécurité. Eu égard au bref délai écoulé entre la mise en demeure de se mettre en conformité et la cessation du manquement, ainsi qu'à l'absence de préjudice établi pour les personnes concernées, la CNIL n'a pas commis, d'erreur manifeste d'appréciation en prenant des mesures n'impliquant pas la saisine de la formation restreinte avant de clôturer la plainte dont elle était saisie. Quant au délai de traitement de la plainte, il est sans incidence sur la légalité de la décision attaquée, de même que la circonstance que la CNIL n'aurait pas spontanément communiqué à M. B... des documents retraçant ses échanges avec le responsable du traitement.
7. Il s'ensuit que le requérant n'est pas fondé à demander l'annulation de la décision qu'il attaque. Les conclusions de sa requête à fin d'annulation doivent, dès lors, être rejetées, de même, en conséquence, que ses conclusions à fin d'injonction et celles tendant à l'application de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : La requête de M. B... est rejetée.
Article 2 : La présente décision sera notifiée à M. C... B... et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 14 novembre 2024 où siégeaient : M. Bertrand Dacosta, président de chambre, présidant ; M. Olivier Yeznikian, conseiller d'Etat et M. Emmanuel Weicheldinger, maître des requêtes en service extraordinaire-rapporteur.
Rendu le 31 décembre 2024.
Le président :
Signé : M. Bertrand Dacosta
Le rapporteur :
Signé : M. Emmanuel Weicheldinger
La secrétaire :
Signé : Mme Sylvie Leporcq
La République mande et ordonne au Premier ministre en ce qui le concerne ou à tous commissaires de justice à ce requis en ce qui concerne les voies de droit commun contre les parties privées, de pourvoir à l'exécution de la présente décision.
Pour expédition conforme,
Pour la secrétaire du contentieux, par délégation :
