Conseil d'État
N° 375669
ECLI:FR:CESSR:2015:375669.20150511
Publié au recueil Lebon
10ème / 9ème SSR
M. Jacques Reiller, rapporteur
Mme Emilie Bokdam-Tognetti, rapporteur public
Lecture du lundi 11 mai 2015
Par une requête sommaire, un mémoire complémentaire et un mémoire en réplique, enregistrés les 21 février, 20 mai et 27 novembre 2014 au secrétariat du contentieux du Conseil d'Etat, la société Renault Trucks demande au Conseil d'Etat d'annuler pour excès de pouvoir la délibération de la Commission nationale de l'informatique et des libertés (CNIL) n° 2013-377 du 5 décembre 2013 portant refus d'autorisation de mise en oeuvre par la société Renault Trucks d'un traitement automatisé de données à caractère personnel en matière d'infractions pédopornographiques.
Vu les autres pièces du dossier ;
Vu :
- la loi n° 78-17 du 6 janvier 1978 ;
- le décret n° 2005-1309 du 20 octobre 2005 ;
- la décision du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Jacques Reiller, conseiller d'Etat,
- les conclusions de Mme Emilie Bokdam-Tognetti, rapporteur public ;
1. Considérant que, par une décision du 5 décembre 2013, la Commission nationale de l'informatique et des libertés a refusé à la société Renault Trucks l'autorisation de mettre en oeuvre un traitement de recherche des infractions à caractère pédopornographique que pourraient commettre ses salariés ;
Sur la régularité de la décision attaquée :
2. Considérant, en premier lieu, que la circonstance que la décision de la Commission omette de mentionner la date de la demande d'autorisation du traitement est dénuée d'incidence sur sa régularité ; qu'aucun texte n'impose que le procès-verbal de la délibération indique si le quorum a été atteint ou si la majorité qualifiée requise a été obtenue ; que la seule absence de ces mentions est sans incidence sur la régularité de la décision ;
3. Considérant, en deuxième lieu, que le moyen tiré de la tardiveté de la notification de cette décision, au regard des exigences du décret du 20 octobre 2005, qui est par elle-même dénuée de conséquence sur la régularité de la décision attaquée, ne peut qu'être écarté ;
Sur la légalité interne de la décision attaquée :
4. Considérant que le traitement envisagé par la société consiste à rapprocher les consultations de sites et les chargements de toute origine opérés à partir des postes informatiques de chacun de ses salariés avec un fichier d'empreintes numériques correspondant à des contenus pédopornographiques communiqués par les autorités de police afin, en cas de coïncidence, de provoquer une alerte, conduisant les gestionnaires de la base, après analyse des faits, à saisir, le cas échéant, les autorités compétentes d'une infraction suspectée ;
5. Considérant, d'une part, qu'aux termes des dispositions de l'article 2 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne " ; qu'il résulte de ces dispositions que le rapprochement qu'opère le traitement en litige entre un contenu de poste informatique et l'identité de son utilisateur habituel constitue un traitement de données à caractère personnel ; que le cryptage de ces données, qui est opéré par la société et peut être levé par celle-ci, leur absence d'utilisation ou le fait que la société les collecte à raison de leur contenu et non de la personne qui les utilise, sont sans incidence sur cette qualification ; qu'ainsi, la Commission n'a pas commis d'erreur de droit en retenant que le traitement litigieux portait sur des données à caractère personnel ;
6. Considérant, d'autre part, qu'aux termes de l'article 9 de la loi du 6 janvier 1978 : " Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que par :/ 1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;/ 2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;/ (...) 4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits " ; que ces dispositions ne font, en outre, pas obstacle à la mise en oeuvre de traitements de données à caractère personnel relatives à des infractions par les personnes qui en ont été victimes ou sont susceptibles de l'être ; que doivent être regardées comme entrant dans le champ d'application de cet article, non seulement les données relatives aux infractions, condamnations ou mesures de sûreté elles-mêmes, mais également les données qui, en raison des finalités du traitement automatisé, ne sont collectées que dans le but d'établir l'existence ou de prévenir la commission d'infractions, y compris par des tiers ; qu'en vertu du 3° de l'article 25 de la même loi, les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées, doivent être autorisés par la Commission nationale de l'informatique et des libertés ;
7. Considérant qu'il résulte de ce qui a été dit au point 4 que le traitement automatisé qu'envisage de mettre en oeuvre la société requérante, lequel a pour seul but de rechercher et de constater l'existence d'infractions pénales en matière de pédopornographie, porte sur des données relatives à des infractions, au sens de l'article 9 et du 3° de l'article 25 de la loi du 6 janvier 1978 ; que la société ne conteste pas ne pas être au nombre des personnes mentionnées à l'article 9, qui seules peuvent être habilitées à créer de tels traitements ; que la circonstance que le traitement litigieux serait au nombre de ceux mentionnés au 4° de l'article 25, qui soumet également à autorisation " les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire ", ne saurait, en tout état de cause, lui ouvrir droit à la création de ce traitement ; que, par suite, la société requérante n'est pas fondée à soutenir que la Commission nationale de l'informatique et des libertés aurait fait une inexacte application des dispositions des articles 9 et 25 de la loi du 6 janvier 1978 ;
8. Considérant qu'il résulte de ce qui précède que la requête de la société Renault Trucks ne peut qu'être rejetée ;
D E C I D E :
--------------
Article 1er : La requête de la société Renault Trucks est rejetée.
Article 2 : La présente décision sera notifiée à la société Renault Trucks et à la Commission nationale de l'informatique et des libertés.
N° 375669
ECLI:FR:CESSR:2015:375669.20150511
Publié au recueil Lebon
10ème / 9ème SSR
M. Jacques Reiller, rapporteur
Mme Emilie Bokdam-Tognetti, rapporteur public
Lecture du lundi 11 mai 2015
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Par une requête sommaire, un mémoire complémentaire et un mémoire en réplique, enregistrés les 21 février, 20 mai et 27 novembre 2014 au secrétariat du contentieux du Conseil d'Etat, la société Renault Trucks demande au Conseil d'Etat d'annuler pour excès de pouvoir la délibération de la Commission nationale de l'informatique et des libertés (CNIL) n° 2013-377 du 5 décembre 2013 portant refus d'autorisation de mise en oeuvre par la société Renault Trucks d'un traitement automatisé de données à caractère personnel en matière d'infractions pédopornographiques.
Vu les autres pièces du dossier ;
Vu :
- la loi n° 78-17 du 6 janvier 1978 ;
- le décret n° 2005-1309 du 20 octobre 2005 ;
- la décision du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Jacques Reiller, conseiller d'Etat,
- les conclusions de Mme Emilie Bokdam-Tognetti, rapporteur public ;
1. Considérant que, par une décision du 5 décembre 2013, la Commission nationale de l'informatique et des libertés a refusé à la société Renault Trucks l'autorisation de mettre en oeuvre un traitement de recherche des infractions à caractère pédopornographique que pourraient commettre ses salariés ;
Sur la régularité de la décision attaquée :
2. Considérant, en premier lieu, que la circonstance que la décision de la Commission omette de mentionner la date de la demande d'autorisation du traitement est dénuée d'incidence sur sa régularité ; qu'aucun texte n'impose que le procès-verbal de la délibération indique si le quorum a été atteint ou si la majorité qualifiée requise a été obtenue ; que la seule absence de ces mentions est sans incidence sur la régularité de la décision ;
3. Considérant, en deuxième lieu, que le moyen tiré de la tardiveté de la notification de cette décision, au regard des exigences du décret du 20 octobre 2005, qui est par elle-même dénuée de conséquence sur la régularité de la décision attaquée, ne peut qu'être écarté ;
Sur la légalité interne de la décision attaquée :
4. Considérant que le traitement envisagé par la société consiste à rapprocher les consultations de sites et les chargements de toute origine opérés à partir des postes informatiques de chacun de ses salariés avec un fichier d'empreintes numériques correspondant à des contenus pédopornographiques communiqués par les autorités de police afin, en cas de coïncidence, de provoquer une alerte, conduisant les gestionnaires de la base, après analyse des faits, à saisir, le cas échéant, les autorités compétentes d'une infraction suspectée ;
5. Considérant, d'une part, qu'aux termes des dispositions de l'article 2 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne " ; qu'il résulte de ces dispositions que le rapprochement qu'opère le traitement en litige entre un contenu de poste informatique et l'identité de son utilisateur habituel constitue un traitement de données à caractère personnel ; que le cryptage de ces données, qui est opéré par la société et peut être levé par celle-ci, leur absence d'utilisation ou le fait que la société les collecte à raison de leur contenu et non de la personne qui les utilise, sont sans incidence sur cette qualification ; qu'ainsi, la Commission n'a pas commis d'erreur de droit en retenant que le traitement litigieux portait sur des données à caractère personnel ;
6. Considérant, d'autre part, qu'aux termes de l'article 9 de la loi du 6 janvier 1978 : " Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que par :/ 1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;/ 2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;/ (...) 4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits " ; que ces dispositions ne font, en outre, pas obstacle à la mise en oeuvre de traitements de données à caractère personnel relatives à des infractions par les personnes qui en ont été victimes ou sont susceptibles de l'être ; que doivent être regardées comme entrant dans le champ d'application de cet article, non seulement les données relatives aux infractions, condamnations ou mesures de sûreté elles-mêmes, mais également les données qui, en raison des finalités du traitement automatisé, ne sont collectées que dans le but d'établir l'existence ou de prévenir la commission d'infractions, y compris par des tiers ; qu'en vertu du 3° de l'article 25 de la même loi, les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées, doivent être autorisés par la Commission nationale de l'informatique et des libertés ;
7. Considérant qu'il résulte de ce qui a été dit au point 4 que le traitement automatisé qu'envisage de mettre en oeuvre la société requérante, lequel a pour seul but de rechercher et de constater l'existence d'infractions pénales en matière de pédopornographie, porte sur des données relatives à des infractions, au sens de l'article 9 et du 3° de l'article 25 de la loi du 6 janvier 1978 ; que la société ne conteste pas ne pas être au nombre des personnes mentionnées à l'article 9, qui seules peuvent être habilitées à créer de tels traitements ; que la circonstance que le traitement litigieux serait au nombre de ceux mentionnés au 4° de l'article 25, qui soumet également à autorisation " les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire ", ne saurait, en tout état de cause, lui ouvrir droit à la création de ce traitement ; que, par suite, la société requérante n'est pas fondée à soutenir que la Commission nationale de l'informatique et des libertés aurait fait une inexacte application des dispositions des articles 9 et 25 de la loi du 6 janvier 1978 ;
8. Considérant qu'il résulte de ce qui précède que la requête de la société Renault Trucks ne peut qu'être rejetée ;
D E C I D E :
--------------
Article 1er : La requête de la société Renault Trucks est rejetée.
Article 2 : La présente décision sera notifiée à la société Renault Trucks et à la Commission nationale de l'informatique et des libertés.