Vu la procédure suivante :
Par un recours et deux nouveaux mémoires enregistrés les 1er avril 2016 et 9 janvier et 11 avril 2017 au secrétariat du contentieux du Conseil d'Etat, M. A...demande au Conseil d'Etat d'annuler, d'une part, la décision du 4 février 2016 par laquelle la Commission nationale de l'informatique et des libertés (CNIL) l'a informé de la clôture de sa plainte relative à la sécurité des données des clients de la banque Martin Maurel postérieurement au prononcé d'une sanction à l'encontre de cette dernière sans l'informer de la teneur de cette sanction et, d'autre part, la sanction prononcée en tant qu'elle serait insuffisante.
Vu les autres pièces du dossier ;
Vu :
- la loi n° 78-17 du 6 janvier 1978 ;
- le décret n° 2005-1309 du 20 octobre 2005 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Stéphane Hoynck, maître des requêtes,
- les conclusions de Mme Aurélie Bretonneau, rapporteur public ;
Considérant ce qui suit :
1. Il ressort des pièces du dossier que M. A...a saisi la Commission Nationale Informatique et Libertés (CNIL) d'une plainte dirigée contre la banque Martin Maurel dont il était le client, au motif que les mots de passe permettant d'accéder aux comptes en ligne des particuliers étaient insuffisamment protégés. Par courrier du 4 février 2016, la présidente de la CNIL a indiqué à M. A...que ses services avaient procédé à une mission de contrôle afin d'examiner la mise en oeuvre des traitements relatifs à la gestion des comptes des clients et qu'à la suite des constatations effectuées, une sanction avait été prononcée par la formation restreinte de la Commission à l'encontre de l'établissement financier. Par le même courrier, la présidente de la CNIL a indiqué à l'intéressé que, compte tenu de ces éléments, elle avait procédé à la clôture de sa plainte. Les conclusions de la requête que M. A...a présentée devant le Conseil d'Etat doivent être regardées comme tendant à l'annulation, d'une part, de cette décision, en tant qu'elle l'informe de la clôture de sa plainte sans l'informer de la teneur de la sanction prononcée et, d'autre part, de la sanction prononcée révélée par ce courrier en tant qu'elle serait insuffisante.
2. Aux termes de l'article 11 2° c) de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction applicable au litige, la CNIL " reçoit les réclamations, pétitions et plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci ". Aux termes de l'article 45 de cette loi " I. I. - La formation restreinte de la Commission nationale de l'informatique et des libertés peut prononcer, après une procédure contradictoire, un avertissement à l'égard du responsable d'un traitement qui ne respecte pas les obligations découlant de la présente loi. Cet avertissement a le caractère d'une sanction. /Le président de la commission peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu'il fixe. (...)./ Si le responsable du traitement se conforme à la mise en demeure qui lui est adressée, le président de la commission prononce la clôture de la procédure./ Dans le cas contraire, la formation restreinte peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes : /1° Une sanction pécuniaire (...);2° Une injonction de cesser le traitement (...) ". Aux termes de l'article 46 : " (...) La formation restreinte peut rendre publiques les sanctions qu'elle prononce... (...) ". Il résulte de ces dispositions qu'il appartient à la CNIL de procéder, lorsqu'elle est saisie d'une plainte ou d'une réclamation tendant à la mise en oeuvre de ses pouvoirs, à l'examen des faits qui en sont à l'origine et de décider des suites à leur donner. Elle dispose, à cet effet, d'un large pouvoir d'appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu'elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l'ont été et, plus généralement, de l'ensemble des intérêts généraux dont elle a la charge.
Sur les conclusions dirigées contre la sanction :
3. L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la CNIL d'y donner suite. Il appartient au juge de censurer celui-ci en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir. En revanche, lorsque la CNIL a décidé d'instruire une plainte, l'auteur de celle-ci n'a intérêt à contester ni la décision prise à l'issue de cette instruction, quel qu'en soit le dispositif, ni la clôture de sa plainte prononcée subséquemment. Il s'ensuit que M. A...n'est pas recevable, ainsi que le soutient la CNIL dans sa fin de non-recevoir, à demander l'annulation de la sanction prononcée à l'encontre de la banque Martin Maurel en tant que celle-ci ne serait pas assez sévère.
Sur les autres conclusions de la requête :
4. S'il résulte des motifs énoncés au point précédent que M. A...n'a pas intérêt à contester le principe de la clôture de la plainte décidée par la CNIL à l'issue de la procédure diligentée pour l'instruire, il est en revanche recevable à déférer au juge de l'excès de pouvoir, par une requête qui est suffisamment motivée, le refus de la CNIL de lui fournir les informations relatives aux suites données à sa plainte auxquelles il a droit en application des dispositions précitées de l'article 11 2° c) de la loi du 6 janvier 1978.
5. Il résulte de ces dispositions que, lorsque la plainte conduit, comme c'est le cas en l'espèce, à sanctionner la personne mise en cause, la complète information de son auteur comprend nécessairement, y compris lorsque la sanction a été rendue publique, la communication de la nature des manquements retenus et de la teneur de la sanction prononcée, sous la réserve des secrets protégés par la loi. Il résulte de ce qui précède que M. A...est fondé à demander l'annulation de la décision par laquelle la CNIL l'a informé de la clôture de sa plainte en tant seulement qu'elle ne porte à sa connaissance ni la nature des manquements relevés à l'encontre de la banque ni le quantum de la sanction prononcée pour les réprimer.
D E C I D E :
--------------
Article 1er : La décision de la CNIL du 4 février 2016 est annulée en tant qu'elle informe M. A... de la clôture de sa plainte sans porter à sa connaissance la nature des manquements relevés à l'encontre de la banque ni la teneur de la sanction prononcée.
Article 2 : Le surplus des conclusions de la requête de M. A...est rejeté.
Article 3 : La présente décision sera notifiée à M. B...A...et à la Commission nationale de l'informatique et des libertés.