Conseil d'État
N° 495175
ECLI:FR:CECHS:2025:495175.20250723
Inédit au recueil Lebon
10ème chambre
Mme Rozen Noguellou, présidente
Mme Sophie Delaporte, rapporteure
M. Frédéric Puigserver, rapporteur public
SCP PIWNICA & MOLINIE, avocats
Lecture du mercredi 23 juillet 2025
Vu la procédure suivante :
Par une requête, un mémoire en réplique et deux nouveaux mémoires, enregistrés les 16 juin et 4 juillet 2024 et les 9 et 29 mars 2025 au secrétariat du contentieux du Conseil d'Etat, M. A... B... demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la décision du 29 mai 2024 par laquelle la présidente de la Commission nationale de l'informatique et des libertés (CNIL) a rejeté son recours contre la décision du 1er mars 2024 portant seconde clôture de sa réclamation à l'encontre de la commune de Nice relative à ses droits d'accès et à l'information concernant les dispositifs de vidéoprotection installés dans cette commune ;
2°) d'enjoindre à la CNIL de procéder à un réexamen de sa réclamation ;
3°) d'enjoindre à la CNIL de prendre toutes mesures utiles pour que la commune de Nice informe les personnes concernées en publiant les emplacements de caméras de vidéoprotection ou les zones filmées par celles-ci, y compris grâce à des dessins pour les mineurs, qu'elle conclue un contrat de sous-traitance avec l'entreprise Bitly Europe GmbH ou, à défaut, qu'elle n'utilise plus les services de cette entreprise et, enfin, réduise le nombre de destinataires des données personnelles du traitement des images de vidéoprotection ;
4°) de saisir la Cour de justice de l'Union européenne d'une question préjudicielle portant sur l'interprétation des considérants 39 et 58 ainsi que du 1 de l'article 12 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Vu les autres pièces du dossier ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de la sécurité intérieure ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Sophie Delaporte, conseillère d'Etat,
- les conclusions de M. Frédéric Puigserver, rapporteur public ;
Vu la note en délibéré, enregistrée le 19 juin 2025, présentée par M. B... ;
Considérant ce qui suit :
1. Il ressort des pièces du dossier que M. B... a, le 25 avril 2023, saisi la Commission nationale de l'informatique et des libertés (CNIL) d'une réclamation formée à l'encontre de la commune de Nice relative à l'exercice de ses droits d'accès et à l'information, au titre des articles 13 et 15 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), afin de connaître l'emplacement des caméras du système de vidéoprotection déployé dans cette commune ainsi que ses finalités et les bases juridiques du traitement de données à caractère personnel ainsi mis en oeuvre. Après avoir rappelé à la commune de Nice les règles applicables en matière de droits d'accès et d'information, la CNIL a clos la réclamation de M. B.... La commune a alors porté différentes informations à la connaissance de M. B..., précisé que son système de vidéoprotection poursuit une mission d'intérêt public au sens du e) du 1 de l'article 6 du RGPD et confirmé son refus de lui communiquer l'emplacement des caméras de vidéoprotection. Saisie par M. B... d'une demande de réouverture de sa plainte, la CNIL a donné suite à cette demande, puis, estimant que la commune de Nice se conformait aux prescriptions applicables en matière d'information relative à l'existence d'un système de vidéoprotection, a clos une nouvelle fois la plainte. M. B... demande l'annulation de la nouvelle décision de clôture de sa plainte initiale prononcée par la présidente de la CNIL.
2. En premier lieu, d'une part, aux termes du 1 de l'article 5 du RGPD : " Les données à caractère personnel doivent être : / a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ". Le 1 de l'article 12 du même règlement impose au responsable de traitement de fournir à la personne concernée les informations visées à son article 13 : " d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l'identité de la personne concernée soit démontrée par d'autres moyens ". Enfin, en vertu du 1 de cet article 13, applicable aux traitements de données à caractère personnel par un système de vidéoprotection, lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations précisées par cet article. En vertu du 1 de l'article 15 du même règlement, la personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations visées par cet article.
3. D'autre part, l'article L. 255-1 du code de la sécurité intérieure renvoie à un décret en Conseil d'Etat le soin de fixer " les conditions dans lesquelles le public est informé de l'existence d'un traitement de données à caractère personnel par un système de vidéoprotection et de la manière dont les personnes concernées peuvent exercer leurs droits au titre du " RGPD. Le I de l'article R. 253-6 du même code dispose que : " L'information du public comprend les informations prévues à la section 2 du chapitre III du règlement (UE) 2016/679 du 27 avril 2016, à l'article 104 ou à l'article 116 de la loi n° 78-17 du 6 janvier 1978. Elle est délivrée par voie d'affiches ou de panonceaux comportant un pictogramme représentant une caméra. / Lorsque les affiches ou les panonceaux ne peuvent pas comporter l'ensemble des informations prévues au premier alinéa, ils mentionnent, au moins, l'identité du responsable du système, les finalités poursuivies par le traitement et les droits des personnes concernées. Les autres informations sont alors communiquées par tout autre moyen ".
4. Si le responsable d'un traitement de données à caractère personnel par un système de vidéoprotection doit informer le public de l'existence de ce traitement selon les modalités précisées par l'article R. 253-6 du code de la sécurité intérieure, ni les dispositions citées aux points 2 et 3, ni davantage les articles 39 et 58 du RGPD également cités par l'intéressé, ni enfin les lignes directrices, dénuées, au demeurant, de caractère contraignant, du comité européen de protection des données ou du groupe de travail qui l'a précédé et dont M. B... se prévaut, n'imposent au responsable d'un tel traitement, de communiquer au public une cartographie de l'emplacement exact de chaque caméra ou des zones filmées par ces caméras. L'avis rendu par le Comité national consultatif des droits de l'homme le 20 juin 2024 sur ce point n'a pas davantage de caractère contraignant. Il ressort, par ailleurs, des pièces du dossier, et il n'est pas sérieusement contesté, que la commune de Nice a installé dans la ville de nombreux panneaux d'information comportant un pictogramme, de façon visible et compréhensible par tous, à proximité des caméras et des grands axes de circulation, notamment sur l'intégralité des axes d'entrée de la commune et plus particulièrement au niveau des sites les plus couverts par les dispositifs de vidéoprotection ainsi que ceux présentant une importante densité de circulation. Par conséquent, eu égard notamment aux éléments factuels relevés par la Commission après la réouverture de l'instruction de la réclamation, la présidente de la CNIL a pu, sans erreur de droit, ni erreur d'appréciation, prendre la décision attaquée en considérant que la commune de Nice n'avait pas méconnu les dispositions applicables en matière d'information du public quant à l'existence d'un traitement de données à caractère personnel par un système de vidéoprotection.
5. En second lieu, M. B... n'avait pas initialement saisi la CNIL d'une contestation relative, ni à l'absence alléguée de contrat de sous-traitance entre la commune de Nice et la société Bitly Europe GmbH, ni à la définition des destinataires des données à caractère personnel du traitement par le système de vidéoprotection. Dès lors, le requérant qui a, par ailleurs, comme l'y invitait la réponse de la CNIL, saisi cette dernière de plaintes portant sur ces deux points, n'est pas fondé à soutenir que le refus d'instruire ces deux nouvelles contestations qui lui a été opposé à l'occasion de son recours gracieux contre la seconde décision de clôture de sa réclamation, aurait, en tout état de cause, porté atteinte à son droit à un recours juridictionnel effectif.
6. Il résulte de tout ce qui précède, et sans qu'il y ait lieu de saisir la Cour de justice de l'Union européenne d'une question préjudicielle en l'absence de doute raisonnable quant à l'interprétation du droit de l'Union européenne, que la requête de M. B... doit être rejetée, y compris ses conclusions à fin d'injonction.
7. Les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce que soit mise à la charge de M. B... la somme que la commune de Nice, qui n'est pas partie à la procédure et n'a été appelée en la cause que pour produire des observations, demande au titre de ces dispositions.
D E C I D E :
--------------
Article 1er : La requête de M. B... est rejetée.
Article 2 : Le surplus des conclusions de la commune de Nice est rejeté.
Article 3 : La présente décision sera notifiée à M. A... B... et à la Commission nationale de l'informatique et des libertés.
Copie en sera adressée à la commune de Nice.
Délibéré à l'issue de la séance du 19 juin 2025 où siégeaient : Mme Rozen Noguellou, conseillère d'Etat, présidant ; M. Olivier Yeznikian, conseiller d'Etat et Mme Sophie Delaporte, conseillère d'Etat-rapporteure.
Rendu le 23 juillet 2025.
La présidente :
Signé : Mme Rozen Noguellou
La rapporteure :
Signé : Mme Sophie Delaporte
La secrétaire :
Signé : Mme Sylvie Leporcq
N° 495175
ECLI:FR:CECHS:2025:495175.20250723
Inédit au recueil Lebon
10ème chambre
Mme Rozen Noguellou, présidente
Mme Sophie Delaporte, rapporteure
M. Frédéric Puigserver, rapporteur public
SCP PIWNICA & MOLINIE, avocats
Lecture du mercredi 23 juillet 2025
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par une requête, un mémoire en réplique et deux nouveaux mémoires, enregistrés les 16 juin et 4 juillet 2024 et les 9 et 29 mars 2025 au secrétariat du contentieux du Conseil d'Etat, M. A... B... demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la décision du 29 mai 2024 par laquelle la présidente de la Commission nationale de l'informatique et des libertés (CNIL) a rejeté son recours contre la décision du 1er mars 2024 portant seconde clôture de sa réclamation à l'encontre de la commune de Nice relative à ses droits d'accès et à l'information concernant les dispositifs de vidéoprotection installés dans cette commune ;
2°) d'enjoindre à la CNIL de procéder à un réexamen de sa réclamation ;
3°) d'enjoindre à la CNIL de prendre toutes mesures utiles pour que la commune de Nice informe les personnes concernées en publiant les emplacements de caméras de vidéoprotection ou les zones filmées par celles-ci, y compris grâce à des dessins pour les mineurs, qu'elle conclue un contrat de sous-traitance avec l'entreprise Bitly Europe GmbH ou, à défaut, qu'elle n'utilise plus les services de cette entreprise et, enfin, réduise le nombre de destinataires des données personnelles du traitement des images de vidéoprotection ;
4°) de saisir la Cour de justice de l'Union européenne d'une question préjudicielle portant sur l'interprétation des considérants 39 et 58 ainsi que du 1 de l'article 12 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Vu les autres pièces du dossier ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de la sécurité intérieure ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Sophie Delaporte, conseillère d'Etat,
- les conclusions de M. Frédéric Puigserver, rapporteur public ;
Vu la note en délibéré, enregistrée le 19 juin 2025, présentée par M. B... ;
Considérant ce qui suit :
1. Il ressort des pièces du dossier que M. B... a, le 25 avril 2023, saisi la Commission nationale de l'informatique et des libertés (CNIL) d'une réclamation formée à l'encontre de la commune de Nice relative à l'exercice de ses droits d'accès et à l'information, au titre des articles 13 et 15 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), afin de connaître l'emplacement des caméras du système de vidéoprotection déployé dans cette commune ainsi que ses finalités et les bases juridiques du traitement de données à caractère personnel ainsi mis en oeuvre. Après avoir rappelé à la commune de Nice les règles applicables en matière de droits d'accès et d'information, la CNIL a clos la réclamation de M. B.... La commune a alors porté différentes informations à la connaissance de M. B..., précisé que son système de vidéoprotection poursuit une mission d'intérêt public au sens du e) du 1 de l'article 6 du RGPD et confirmé son refus de lui communiquer l'emplacement des caméras de vidéoprotection. Saisie par M. B... d'une demande de réouverture de sa plainte, la CNIL a donné suite à cette demande, puis, estimant que la commune de Nice se conformait aux prescriptions applicables en matière d'information relative à l'existence d'un système de vidéoprotection, a clos une nouvelle fois la plainte. M. B... demande l'annulation de la nouvelle décision de clôture de sa plainte initiale prononcée par la présidente de la CNIL.
2. En premier lieu, d'une part, aux termes du 1 de l'article 5 du RGPD : " Les données à caractère personnel doivent être : / a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ". Le 1 de l'article 12 du même règlement impose au responsable de traitement de fournir à la personne concernée les informations visées à son article 13 : " d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l'identité de la personne concernée soit démontrée par d'autres moyens ". Enfin, en vertu du 1 de cet article 13, applicable aux traitements de données à caractère personnel par un système de vidéoprotection, lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations précisées par cet article. En vertu du 1 de l'article 15 du même règlement, la personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations visées par cet article.
3. D'autre part, l'article L. 255-1 du code de la sécurité intérieure renvoie à un décret en Conseil d'Etat le soin de fixer " les conditions dans lesquelles le public est informé de l'existence d'un traitement de données à caractère personnel par un système de vidéoprotection et de la manière dont les personnes concernées peuvent exercer leurs droits au titre du " RGPD. Le I de l'article R. 253-6 du même code dispose que : " L'information du public comprend les informations prévues à la section 2 du chapitre III du règlement (UE) 2016/679 du 27 avril 2016, à l'article 104 ou à l'article 116 de la loi n° 78-17 du 6 janvier 1978. Elle est délivrée par voie d'affiches ou de panonceaux comportant un pictogramme représentant une caméra. / Lorsque les affiches ou les panonceaux ne peuvent pas comporter l'ensemble des informations prévues au premier alinéa, ils mentionnent, au moins, l'identité du responsable du système, les finalités poursuivies par le traitement et les droits des personnes concernées. Les autres informations sont alors communiquées par tout autre moyen ".
4. Si le responsable d'un traitement de données à caractère personnel par un système de vidéoprotection doit informer le public de l'existence de ce traitement selon les modalités précisées par l'article R. 253-6 du code de la sécurité intérieure, ni les dispositions citées aux points 2 et 3, ni davantage les articles 39 et 58 du RGPD également cités par l'intéressé, ni enfin les lignes directrices, dénuées, au demeurant, de caractère contraignant, du comité européen de protection des données ou du groupe de travail qui l'a précédé et dont M. B... se prévaut, n'imposent au responsable d'un tel traitement, de communiquer au public une cartographie de l'emplacement exact de chaque caméra ou des zones filmées par ces caméras. L'avis rendu par le Comité national consultatif des droits de l'homme le 20 juin 2024 sur ce point n'a pas davantage de caractère contraignant. Il ressort, par ailleurs, des pièces du dossier, et il n'est pas sérieusement contesté, que la commune de Nice a installé dans la ville de nombreux panneaux d'information comportant un pictogramme, de façon visible et compréhensible par tous, à proximité des caméras et des grands axes de circulation, notamment sur l'intégralité des axes d'entrée de la commune et plus particulièrement au niveau des sites les plus couverts par les dispositifs de vidéoprotection ainsi que ceux présentant une importante densité de circulation. Par conséquent, eu égard notamment aux éléments factuels relevés par la Commission après la réouverture de l'instruction de la réclamation, la présidente de la CNIL a pu, sans erreur de droit, ni erreur d'appréciation, prendre la décision attaquée en considérant que la commune de Nice n'avait pas méconnu les dispositions applicables en matière d'information du public quant à l'existence d'un traitement de données à caractère personnel par un système de vidéoprotection.
5. En second lieu, M. B... n'avait pas initialement saisi la CNIL d'une contestation relative, ni à l'absence alléguée de contrat de sous-traitance entre la commune de Nice et la société Bitly Europe GmbH, ni à la définition des destinataires des données à caractère personnel du traitement par le système de vidéoprotection. Dès lors, le requérant qui a, par ailleurs, comme l'y invitait la réponse de la CNIL, saisi cette dernière de plaintes portant sur ces deux points, n'est pas fondé à soutenir que le refus d'instruire ces deux nouvelles contestations qui lui a été opposé à l'occasion de son recours gracieux contre la seconde décision de clôture de sa réclamation, aurait, en tout état de cause, porté atteinte à son droit à un recours juridictionnel effectif.
6. Il résulte de tout ce qui précède, et sans qu'il y ait lieu de saisir la Cour de justice de l'Union européenne d'une question préjudicielle en l'absence de doute raisonnable quant à l'interprétation du droit de l'Union européenne, que la requête de M. B... doit être rejetée, y compris ses conclusions à fin d'injonction.
7. Les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce que soit mise à la charge de M. B... la somme que la commune de Nice, qui n'est pas partie à la procédure et n'a été appelée en la cause que pour produire des observations, demande au titre de ces dispositions.
D E C I D E :
--------------
Article 1er : La requête de M. B... est rejetée.
Article 2 : Le surplus des conclusions de la commune de Nice est rejeté.
Article 3 : La présente décision sera notifiée à M. A... B... et à la Commission nationale de l'informatique et des libertés.
Copie en sera adressée à la commune de Nice.
Délibéré à l'issue de la séance du 19 juin 2025 où siégeaient : Mme Rozen Noguellou, conseillère d'Etat, présidant ; M. Olivier Yeznikian, conseiller d'Etat et Mme Sophie Delaporte, conseillère d'Etat-rapporteure.
Rendu le 23 juillet 2025.
La présidente :
Signé : Mme Rozen Noguellou
La rapporteure :
Signé : Mme Sophie Delaporte
La secrétaire :
Signé : Mme Sylvie Leporcq