Vu la procédure suivante :
Par une requête sommaire et un mémoire complémentaire, enregistrés les 27 mars et 5 juin 2024 au secrétariat du contentieux du Conseil d'Etat, l'association Reconquête demande au Conseil d'Etat :
1°) d'annuler la décision du 25 janvier 2024 par laquelle le président de la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une amende administrative d'un montant de 20 000 euros ;
2°) de mettre à la charge de la CNIL la somme de 5 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le décret n° 2019-536 du 29 mai 2019 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Philippe Bachschmidt, maître des requêtes en service extraordinaire,
- les conclusions de Mme Esther de Moustier, rapporteure publique ;
La parole ayant été donnée, après les conclusions, à la SCP Le Griel, avocat de l'association Reconquête ;
Considérant ce qui suit :
1. L'association Reconquête demande l'annulation de la décision du 25 janvier 2024 par laquelle le président de la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une amende administrative d'un montant de 20 000 euros, à raison de manquements constatés aux articles 12, 13, 14 et 17 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général sur la protection des données (RGPD), pour ne pas avoir satisfait à ses obligations d'information des personnes dont elle a collecté et traité les données, à des fins de prospection électorale, et d'effacement des données collectées.
Sur la régularité de la décision attaquée :
2. Aux termes de l'article 22-1 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction alors applicable : " Le président de la Commission nationale de l'informatique et des libertés peut, lorsqu'il estime que les conditions mentionnées aux deuxième et troisième alinéas sont réunies, engager les poursuites selon une procédure simplifiée. Le président de la formation restreinte ou l'un de ses membres désigné à cet effet statue seul sur l'affaire. / Le président de la commission peut engager les poursuites selon la procédure simplifiée lorsqu'il estime que les mesures correctrices prévues aux 1°, 2° et 7° du III de l'article 20 constituent la réponse appropriée à la gravité des manquements constatés, sous réserve que l'amende administrative encourue, mentionnée au 7° du même III, n'excède pas un montant de 20 000 € et que l'astreinte encourue, mentionnée au 2° dudit III, n'excède pas un montant de 100 € par jour de retard à compter de la date fixée par la décision. / En outre, le président de la Commission nationale de l'informatique et des libertés ne peut engager les poursuites selon la procédure simplifiée que lorsque l'affaire ne présente pas de difficulté particulière, eu égard à l'existence d'une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu'elle présente à trancher / (...) Le président de la formation restreinte ou le membre qu'il a désigné statue sur la base d'un rapport établi par un agent des services de la Commission nationale de l'informatique et des libertés, habilité dans les conditions définies au dernier alinéa de l'article 10 et placé, pour l'exercice de cette mission, sous l'autorité du président de la Commission nationale de l'informatique et des libertés. / Le rapport mentionné au cinquième alinéa du présent article est notifié au responsable de traitement ou au sous-traitant, qui est informé du fait qu'il peut se faire représenter ou assister, présenter des observations écrites et demander à être entendu. Le président de la formation restreinte ou le membre qu'il a désigné peut solliciter les observations de toute personne pouvant contribuer à son information. Il statue ensuite et ne peut rendre publiques les décisions qu'il prend (...) ".
3. En premier lieu, d'une part, il résulte de l'instruction que, par un courrier du 13 avril 2022, la CNIL a informé le président de l'association Reconquête de l'engagement d'un contrôle afin d'apprécier les conditions de mise en œuvre par l'association des traitements liés à la prospection électorale et l'a convoqué pour une audition prévue le 22 avril 2022, lui précisant qu'il était possible, pour cette audition, d'être représenté par un autre membre de l'association. M. A..., à qui le président de l'association Reconquête a d'ailleurs donné délégation pour le représenter dans le cadre de cette procédure par un acte en date du 24 avril 2022, a été entendu à ce titre. Par suite, la circonstance que M. A... serait mentionné, dans le procès-verbal de l'audition du 22 avril 2022, en la qualité erronée de président de l'association de financement de l'association Reconquête, est sans incidence sur la régularité de la procédure. D'autre part, par un courrier du 23 novembre 2023, la présidente de la CNIL a informé le président de l'association de l'engagement de poursuites selon la procédure simplifiée prévue par les dispositions de l'article 22-1 de la loi du 6 janvier 1978 précitées. Par un courrier du 27 novembre 2023, le rapport prévu par ce même article, comportant une proposition de sanction, a été communiqué au président de l'association et, par un courrier du 27 décembre 2023, signé par M. A... pour le président de l'association et par délégation, l'association Reconquête a présenté des observations écrites sur ce rapport, sans solliciter la faculté de demander à être entendue. Par suite, le moyen tiré de ce que la procédure au terme de laquelle a été prise la décision attaquée serait irrégulière, faute pour la CNIL d'avoir entendu M. A... en qualité de représentant légal de l'association, et aurait donc méconnu les droits de la défense et le principe du contradictoire, ne peut qu'être écarté.
4. En second lieu, aux termes du III de l'article 20 de la loi du 6 janvier 1978, dans sa rédaction alors applicable : " Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou après avoir prononcé à son encontre une ou plusieurs des mesures correctrices prévues au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : (...) / 7° A l'exception des cas où le traitement est mis en œuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 ".
5. D'une part, il ne résulte pas des dispositions de la loi du 6 janvier 1978 citées aux points 2 et 4 que le président de la formation restreinte de la CNIL, dans le cadre de la procédure simplifiée, soit tenu de justifier dans sa décision les motifs retenus par le président de la CNIL pour engager les poursuites selon cette procédure. Il s'ensuit que le moyen tiré de ce que la décision attaquée n'est pas suffisamment motivée sur ce point est inopérant et ne peut qu'être écarté.
6. D'autre part, il ne résulte ni de l'instruction, ni des énonciations de la décision attaquée que les manquements reprochés à l'association Reconquête, qu'au demeurant celle-ci n'a pas contestés, présentaient une difficulté particulière. Par suite, la présidente de la CNIL a pu légalement décider d'engager les poursuites selon la procédure simplifiée.
Sur le bien-fondé de la décision attaquée :
En ce qui concerne la qualité de responsable du traitement :
7. Aux termes de l'article 4 du RGPD, le responsable du traitement est défini comme " la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ".
8. Si l'association requérante soutient qu'elle ne saurait être regardée comme responsable du traitement des données en litige, il résulte de l'instruction qu'elle a effectivement collecté et traité les données personnelles de ses adhérents, sympathisants et donateurs et effectué, avec le concours de prestataires, des opérations ciblées de prospection électorale par courrier postal, téléphone et courrier électronique, en vue de promouvoir la candidature de son président à l'élection présidentielle. Elle a ainsi défini tant les finalités que les moyens du traitement de ces données. Par suite, l'association requérante n'est pas fondée à soutenir que le président de la formation restreinte de la CNIL, en la regardant comme responsable du traitement, a entaché sa décision d'erreur de droit, d'erreur de fait ou d'erreur de qualification juridique des faits.
En ce qui concerne la motivation et le caractère proportionné de la sanction :
9. En vertu du 7° du III de l'article 20 de la loi du 6 janvier 1978, cité au point 4 et applicable à la décision prise au terme de la procédure simplifiée prévue par l'article 22-1 de la même loi, le président de la formation restreinte de la CNIL, pour la détermination du montant, qui ne peut excéder 20 000 euros, de l'amende qu'il peut prononcer à l'encontre d'un responsable de traitement qui ne respecte pas les obligations résultant du RGPD, prend en compte les critères précisés par l'article 83 de ce réglement. Doivent ainsi, notamment, être pris en considération : " a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ; / b) le fait que la violation a été commise délibérément ou par négligence ; / c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ; / d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32 ; / e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ; / f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ; / g) les catégories de données à caractère personnel concernées par la violation ; h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ; / i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ; / j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et / k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ".
10. En outre, aux termes de l'article 43 du décret du 29 mai 2019 pris pour l'application de la loi du 6 janvier 1978 : " La décision de la formation restreinte énonce les considérations de droit et de fait sur lesquels elle est fondée ".
11. Il résulte des dispositions qui précèdent que, dans l'hypothèse où la légalité d'une décision administrative repose sur la prise en compte d'un certain nombre de considérations, le respect de l'exigence de motivation qu'elles prévoient ne conduit son auteur à ne devoir énoncer que celles sur lesquelles se fonde la décision qu'il a prise. Il ne résulte en outre d'aucune disposition que le président de la formation restreinte de la CNIL devrait procéder à une explicitation du montant des sanctions qu'il prononce. Il suit de là que le président de la formation restreinte de la CNIL n'avait ni à se prononcer sur l'ensemble des critères prévus à l'article 83 du RGPD, ni à indiquer les éléments chiffrés relatifs au mode de détermination du montant de la sanction infligée.
12. Il résulte de l'instruction que, pour fixer à 20 000 euros le montant de l'amende administrative infligée à l'association Reconquête, le président de la formation restreinte de la CNIL s'est notamment fondé sur les critères prévus aux a, c, f et g du paragraphe 2 de l'article 83 du RGPD, en prenant en considération la nature, la gravité et la durée de la violation, relevant à ce titre que les manquements constatés avaient concerné des millions de personnes et que l'association n'avait pas tenu compte du courrier du 6 avril 2022 par lequel la CNIL lui avait rappelé les règles et bonnes pratiques à suivre en matière de prospection électorale. La formation restreinte a également pris en compte le fait que l'association avait par la suite mis en œuvre certaines mesures pour atténuer les manquements qui lui étaient reprochés. Eu égard aux manquements en cause, qui faisaient notamment obstacle à l'expression, par les personnes concernées, de leur consentement au traitement de leurs données ainsi qu'à l'exercice des droits qu'elles tiennent du RGPD, en particulier des droits d'opposition et d'effacement, le président de la formation restreinte de la CNIL, qui a suffisamment motivé sa décision, n'a pas, en retenant le montant maximal pouvant être prononcé au terme de la procédure simplifiée, infligé à l'association Reconquête une amende d'un montant disproportionné.
13. Il résulte de tout ce qui précède que l'association Reconquête n'est pas fondée à demander l'annulation de la décision du président de la formation restreinte de la CNIL qu'elle attaque.
14. Les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce qu'une somme soit mise, à ce titre, à la charge de la CNIL, qui n'est pas, dans la présente instance, la partie perdante.
D E C I D E :
--------------
Article 1er : La requête de l'association Reconquête est rejetée.
Article 2 : La présente décision sera notifiée à l'association Reconquête et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 24 mars 2025 où siégeaient : Mme Rozen Noguellou, conseillère d'Etat, présidant ; M. Olivier Yeznikian, conseiller d'Etat et M. Philippe Bachschmidt, maître des requêtes en service extraordinaire-rapporteur.
Rendu le 15 avril 2025.
La présidente :
Signé : Mme Rozen Noguellou
Le rapporteur :
Signé : M. Philippe Bachschmidt
La secrétaire :
Signé : Mme Sylvie Leporcq
