Conseil d'État
N° 423559
ECLI:FR:CECHR:2019:423559.20190417
Inédit au recueil Lebon
10ème - 9ème chambres réunies
M. Paul-François Schira, rapporteur
Mme Aurélie Bretonneau, rapporteur public
SCP FOUSSARD, FROGER, avocats
Lecture du mercredi 17 avril 2019
Vu la procédure suivante :
Par une requête sommaire, enregistrée le 24 août 2018 au secrétariat du contentieux du Conseil d'Etat, l'Association pour le développement des foyers (ADEF) demande au Conseil d'Etat :
1°) d'annuler la délibération n° SAN-2018-003 du 21 juin 2018 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une sanction pécuniaire d'un montant de 75 000 euros et ordonné la publication de sa délibération pendant une durée de 2 ans à compter de sa publication ;
2°) de mettre à la charge de la CNIL la somme de 2 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- le code des relations entre le public et l'administration ;
- la loi n° 78-17 du 6 janvier 1978 ;
- la délibération de la CNIL n° 2013-175 du 4 juillet 2013 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Paul-François Schira, auditeur,
- les conclusions de Mme Aurélie Bretonneau, rapporteur public ;
La parole ayant été donnée, avant et après les conclusions, à la SCP Foussard, Froger, avocat de l'Association pour le développement des foyers ;
Considérant ce qui suit :
1. Il résulte de l'instruction que la Commission nationale de l'informatique et des libertés (CNIL), alertée de l'existence d'un défaut de sécurité permettant à des tiers non autorisés d'accéder aux données personnelles des personnes sollicitant les services fournis par l'Association pour le développement des foyers (ADEF), a diligenté le 15 juin 2017 une mission de contrôle en ligne sur les traitements mis en oeuvre par l'association à l'occasion de laquelle un manquement aux dispositions de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés a été constaté. Malgré plusieurs demandes de la CNIL à l'association, la première dès le 15 juin 2017, tendant à ce qu'elle apporte au manquement litigieux les mesures correctrices qu'il appelait, la commission a constaté, lors d'une mission de contrôle effectuée sur place le 21 juin 2017, qu'il n'avait pas été porté remède à ce défaut de sécurité. La présidente de la CNIL a alors engagé une procédure de sanction à l'encontre de l'association. Par une délibération du 21 juin 2018, la formation restreinte de la CNIL a infligé à l'ADEF une sanction pécuniaire de 75 000 euros et a décidé de rendre cette sanction publique pendant une durée de 2 ans à compter de sa publication.
2. En premier lieu, le I de l'article 45 de la loi du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction applicable au litige issue de la loi du 7 octobre 2016 pour une République numérique, dispose que : " " I. - Lorsque le responsable d'un traitement ne respecte pas les obligations découlant de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut le mettre en demeure de faire cesser le manquement constaté dans un délai qu'il fixe. En cas d'extrême urgence, ce délai peut être ramené à vingt-quatre heures. / Si le responsable du traitement se conforme à la mise en demeure qui lui est adressée, le président de la commission prononce la clôture de la procédure. / Dans le cas contraire, la formation restreinte de la commission peut prononcer, après une procédure contradictoire, les sanctions suivantes : 1° Un avertissement ; 2° Une sanction pécuniaire, dans les conditions prévues à l'article 47, à l'exception des cas où le traitement est mis en oeuvre par l'Etat ; 3° Une injonction de cesser le traitement, lorsque celui-ci relève de l'article 22, ou un retrait de l'autorisation accordée en application de l'article 25. / Lorsque le manquement constaté ne peut faire l'objet d'une mise en conformité dans le cadre d'une mise en demeure, la formation restreinte peut prononcer, sans mise en demeure préalable et après une procédure contradictoire, les sanctions prévues au présent I. ". Il résulte de ces dispositions, éclairées par les travaux préparatoires de la loi du 7 octobre 2016, que la formation restreinte de la CNIL peut, sans mise en demeure préalable, sanctionner un responsable de traitement dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d'être régularisés, soit qu'ils soient insusceptibles de l'être, soit qu'il y ait déjà été remédié.
3. Il résulte de l'instruction qu'à la suite d'une mesure correctrice apportée au traitement litigieux et constatée le 27 juin 2017, le manquement aux obligations de sécurité relevé par la mission de contrôle de la CNIL avait cessé et n'était dès lors plus susceptible de faire l'objet d'une régularisation. Il s'ensuit que la formation restreinte de la CNIL a pu légalement, sur le fondement des dispositions citées au point précédent, engager, sans procéder à une mise en demeure préalable, une procédure de sanction à l'encontre de l'ADEF.
4. En deuxième lieu, la délibération attaquée est suffisamment circonstanciée en fait comme en droit. Il s'ensuit que le moyen tiré de son insuffisance de motivation ne peut qu'être écarté.
5. En troisième lieu, l'article 47 de la loi du 6 janvier 1978 dispose que : " Le montant de la sanction pécuniaire prévue au I de l'article 45 est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la CNIL prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d'atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission ".
6. Il résulte de l'instruction que le manquement constaté par la formation restreinte de la CNIL consistait en un défaut de sécurité du formulaire en ligne de demande de logement mis à la disposition des bénéficiaires des prestations offertes par l'ADEF, permettant à tout tiers non autorisé d'accéder, au moyen d'une simple modification des liens URL correspondant, aux documents téléchargés par les demandeurs de logement. Il apparaît que ces documents, bulletins de salaires, avis d'imposition, justificatifs d'identité, contiennent des données personnelles. Eu égard à la nature et à la gravité du manquement constaté qu'il aurait été possible de prévenir par des mesures simples de sécurité, comme l'occultation des chemins d'accès aux dossiers enregistrés ou l'authentification des utilisateurs du traitement, aux moyens importants dont dispose l'association et au délai avec lequel elle a apporté les mesures correctrices de nature à remédier à ce manquement, la formation restreinte de la CNIL n'a pas infligé à l'ADEF une sanction disproportionnée en prononçant à son encontre une amende d'un montant de 75 000 euros.
7. En quatrième lieu, l'article 46 de la loi du 6 janvier 1978 dispose que : " La formation restreinte peut rendre publiques les sanctions qu'elle prononce. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu'elle désigne aux frais des personnes sanctionnées ". Lorsque la CNIL prononce une sanction complémentaire de publication de sa décision de sanction, celle-ci se trouve nécessairement soumise, et alors même que la loi ne le prévoirait pas expressément, au respect du principe de proportionnalité. La légalité de cette sanction s'apprécie, notamment, au regard du support de diffusion retenu et, le cas échéant, de la durée pendant laquelle cette publication est accessible de façon libre et continue.
8. La délibération attaquée du 21 juin 2018, qui prévoit à titre de sanction complémentaire une publication de la sanction pécuniaire de 75 000 euros pendant une durée de 2 ans, doit être lue à la lumière des dispositions de l'article 70 de la délibération du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés, aux termes duquel : " Les décisions rendues publiques par la formation restreinte sont publiées sur le site internet de la commission et le site Légifrance dès leur notification ". Il s'ensuit que le moyen tiré de ce que la délibération attaquée n'aurait pas précisé les supports de diffusion de la publication contestée doit être écarté.
9. Il résulte de l'instruction que compte tenu de l'intérêt s'attachant à la publication de la sanction financière pour en assurer le caractère dissuasif et pour informer les utilisateurs du traitement concerné des risques auxquels ils ont été confrontés, cette sanction complémentaire d'une publication pendant une durée de 2 ans, laquelle publication mentionne que l'association a remédié à la défaillance fautive, est justifiée, tant au regard de la gravité du manquement sanctionné que de la quantité des données à caractère personnel concernées.
10. Il résulte de tout ce qui précède que l'association pour la défense des foyers n'est pas fondée à demander l'annulation de la délibération de la formation restreinte de la CNIL qu'elle attaque. Les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce qu'une somme soit mise à ce titre à la charge de la CNIL, qui n'est pas, dans la présente instance, la partie perdante.
D E C I D E :
--------------
Article 1er : La requête de l'ADEF est rejetée.
Article 2 : La présente décision sera notifiée à l'Association pour la défense des foyers et à la Commission nationale de l'informatique et des libertés.
N° 423559
ECLI:FR:CECHR:2019:423559.20190417
Inédit au recueil Lebon
10ème - 9ème chambres réunies
M. Paul-François Schira, rapporteur
Mme Aurélie Bretonneau, rapporteur public
SCP FOUSSARD, FROGER, avocats
Lecture du mercredi 17 avril 2019
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par une requête sommaire, enregistrée le 24 août 2018 au secrétariat du contentieux du Conseil d'Etat, l'Association pour le développement des foyers (ADEF) demande au Conseil d'Etat :
1°) d'annuler la délibération n° SAN-2018-003 du 21 juin 2018 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une sanction pécuniaire d'un montant de 75 000 euros et ordonné la publication de sa délibération pendant une durée de 2 ans à compter de sa publication ;
2°) de mettre à la charge de la CNIL la somme de 2 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- le code des relations entre le public et l'administration ;
- la loi n° 78-17 du 6 janvier 1978 ;
- la délibération de la CNIL n° 2013-175 du 4 juillet 2013 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Paul-François Schira, auditeur,
- les conclusions de Mme Aurélie Bretonneau, rapporteur public ;
La parole ayant été donnée, avant et après les conclusions, à la SCP Foussard, Froger, avocat de l'Association pour le développement des foyers ;
Considérant ce qui suit :
1. Il résulte de l'instruction que la Commission nationale de l'informatique et des libertés (CNIL), alertée de l'existence d'un défaut de sécurité permettant à des tiers non autorisés d'accéder aux données personnelles des personnes sollicitant les services fournis par l'Association pour le développement des foyers (ADEF), a diligenté le 15 juin 2017 une mission de contrôle en ligne sur les traitements mis en oeuvre par l'association à l'occasion de laquelle un manquement aux dispositions de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés a été constaté. Malgré plusieurs demandes de la CNIL à l'association, la première dès le 15 juin 2017, tendant à ce qu'elle apporte au manquement litigieux les mesures correctrices qu'il appelait, la commission a constaté, lors d'une mission de contrôle effectuée sur place le 21 juin 2017, qu'il n'avait pas été porté remède à ce défaut de sécurité. La présidente de la CNIL a alors engagé une procédure de sanction à l'encontre de l'association. Par une délibération du 21 juin 2018, la formation restreinte de la CNIL a infligé à l'ADEF une sanction pécuniaire de 75 000 euros et a décidé de rendre cette sanction publique pendant une durée de 2 ans à compter de sa publication.
2. En premier lieu, le I de l'article 45 de la loi du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction applicable au litige issue de la loi du 7 octobre 2016 pour une République numérique, dispose que : " " I. - Lorsque le responsable d'un traitement ne respecte pas les obligations découlant de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut le mettre en demeure de faire cesser le manquement constaté dans un délai qu'il fixe. En cas d'extrême urgence, ce délai peut être ramené à vingt-quatre heures. / Si le responsable du traitement se conforme à la mise en demeure qui lui est adressée, le président de la commission prononce la clôture de la procédure. / Dans le cas contraire, la formation restreinte de la commission peut prononcer, après une procédure contradictoire, les sanctions suivantes : 1° Un avertissement ; 2° Une sanction pécuniaire, dans les conditions prévues à l'article 47, à l'exception des cas où le traitement est mis en oeuvre par l'Etat ; 3° Une injonction de cesser le traitement, lorsque celui-ci relève de l'article 22, ou un retrait de l'autorisation accordée en application de l'article 25. / Lorsque le manquement constaté ne peut faire l'objet d'une mise en conformité dans le cadre d'une mise en demeure, la formation restreinte peut prononcer, sans mise en demeure préalable et après une procédure contradictoire, les sanctions prévues au présent I. ". Il résulte de ces dispositions, éclairées par les travaux préparatoires de la loi du 7 octobre 2016, que la formation restreinte de la CNIL peut, sans mise en demeure préalable, sanctionner un responsable de traitement dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d'être régularisés, soit qu'ils soient insusceptibles de l'être, soit qu'il y ait déjà été remédié.
3. Il résulte de l'instruction qu'à la suite d'une mesure correctrice apportée au traitement litigieux et constatée le 27 juin 2017, le manquement aux obligations de sécurité relevé par la mission de contrôle de la CNIL avait cessé et n'était dès lors plus susceptible de faire l'objet d'une régularisation. Il s'ensuit que la formation restreinte de la CNIL a pu légalement, sur le fondement des dispositions citées au point précédent, engager, sans procéder à une mise en demeure préalable, une procédure de sanction à l'encontre de l'ADEF.
4. En deuxième lieu, la délibération attaquée est suffisamment circonstanciée en fait comme en droit. Il s'ensuit que le moyen tiré de son insuffisance de motivation ne peut qu'être écarté.
5. En troisième lieu, l'article 47 de la loi du 6 janvier 1978 dispose que : " Le montant de la sanction pécuniaire prévue au I de l'article 45 est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la CNIL prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d'atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission ".
6. Il résulte de l'instruction que le manquement constaté par la formation restreinte de la CNIL consistait en un défaut de sécurité du formulaire en ligne de demande de logement mis à la disposition des bénéficiaires des prestations offertes par l'ADEF, permettant à tout tiers non autorisé d'accéder, au moyen d'une simple modification des liens URL correspondant, aux documents téléchargés par les demandeurs de logement. Il apparaît que ces documents, bulletins de salaires, avis d'imposition, justificatifs d'identité, contiennent des données personnelles. Eu égard à la nature et à la gravité du manquement constaté qu'il aurait été possible de prévenir par des mesures simples de sécurité, comme l'occultation des chemins d'accès aux dossiers enregistrés ou l'authentification des utilisateurs du traitement, aux moyens importants dont dispose l'association et au délai avec lequel elle a apporté les mesures correctrices de nature à remédier à ce manquement, la formation restreinte de la CNIL n'a pas infligé à l'ADEF une sanction disproportionnée en prononçant à son encontre une amende d'un montant de 75 000 euros.
7. En quatrième lieu, l'article 46 de la loi du 6 janvier 1978 dispose que : " La formation restreinte peut rendre publiques les sanctions qu'elle prononce. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu'elle désigne aux frais des personnes sanctionnées ". Lorsque la CNIL prononce une sanction complémentaire de publication de sa décision de sanction, celle-ci se trouve nécessairement soumise, et alors même que la loi ne le prévoirait pas expressément, au respect du principe de proportionnalité. La légalité de cette sanction s'apprécie, notamment, au regard du support de diffusion retenu et, le cas échéant, de la durée pendant laquelle cette publication est accessible de façon libre et continue.
8. La délibération attaquée du 21 juin 2018, qui prévoit à titre de sanction complémentaire une publication de la sanction pécuniaire de 75 000 euros pendant une durée de 2 ans, doit être lue à la lumière des dispositions de l'article 70 de la délibération du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés, aux termes duquel : " Les décisions rendues publiques par la formation restreinte sont publiées sur le site internet de la commission et le site Légifrance dès leur notification ". Il s'ensuit que le moyen tiré de ce que la délibération attaquée n'aurait pas précisé les supports de diffusion de la publication contestée doit être écarté.
9. Il résulte de l'instruction que compte tenu de l'intérêt s'attachant à la publication de la sanction financière pour en assurer le caractère dissuasif et pour informer les utilisateurs du traitement concerné des risques auxquels ils ont été confrontés, cette sanction complémentaire d'une publication pendant une durée de 2 ans, laquelle publication mentionne que l'association a remédié à la défaillance fautive, est justifiée, tant au regard de la gravité du manquement sanctionné que de la quantité des données à caractère personnel concernées.
10. Il résulte de tout ce qui précède que l'association pour la défense des foyers n'est pas fondée à demander l'annulation de la délibération de la formation restreinte de la CNIL qu'elle attaque. Les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce qu'une somme soit mise à ce titre à la charge de la CNIL, qui n'est pas, dans la présente instance, la partie perdante.
D E C I D E :
--------------
Article 1er : La requête de l'ADEF est rejetée.
Article 2 : La présente décision sera notifiée à l'Association pour la défense des foyers et à la Commission nationale de l'informatique et des libertés.