Conseil d'État
N° 504639
ECLI:FR:CECHR:2025:504639.20251113
Inédit au recueil Lebon
10ème - 9ème chambres réunies
Mme Sophie Delaporte, rapporteure
SCP GOUZ-FITOUSSI, avocats
Lecture du jeudi 13 novembre 2025
Vu la procédure suivante :
Par un mémoire distinct et deux mémoires en réplique, enregistrés les 20 août, 23 septembre et 5 octobre 2025 au secrétariat du contentieux du Conseil d'État, sous les nos 504639 et 504641, MM. C... et D... E... demandent au Conseil d'État, en application de l'article 23-5 de l'ordonnance n° 58-1067 du 7 novembre 1958 et à l'appui de leurs requêtes tendant à l'annulation des décisions des 22 octobre 2024 et 18 mars 2025 par lesquelles la présidente de la Commission nationale de l'informatique et des libertés (CNIL) a, d'une part, clos leur plainte relative à la méconnaissance par la " Charte RGPD " de l'Ecole alsacienne des dispositions du règlement général sur la protection des données (RGPD), d'autre part, rejeté leur recours gracieux contre cette décision de clôture, de renvoyer au Conseil constitutionnel la question de la conformité aux droits et libertés garantis par la Constitution du 2° du I de l'article 8, de l'article 20 et de l'article 22-1 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
....................................................................................
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule et son article 61-1 ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- l'ordonnance n° 58-1067 du 7 novembre 1958 ;
- le code des relations entre le public et l'administration ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Sophie Delaporte, conseillère d'Etat,
- les conclusions de Mme Leila Derouich, rapporteure publique ;
Vu les deux notes en délibéré, enregistrées le 13 novembre 2025 sous les n°s 504639 et 504641, présentées par MM. C... et D... E....
Considérant ce qui suit :
1. Il ressort des pièces du dossier que la CNIL, saisie par MM. E... d'une plainte relative à la méconnaissance par la " Charte RGPD " de l'Ecole alsacienne des dispositions du règlement du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données dit règlement général sur la protection des données (RGPD), après avoir, sur le fondement du III de l'article 20 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, mis l'Ecole alsacienne en demeure de modifier l'article 8 de sa " Charte RGPD " et de procéder à l'information des personnes concernées, a informé MM. E... des suites données à leur plainte et a clos celle-ci par une décision du 22 octobre 2024. A l'appui de leur requête en annulation pour excès de pouvoir de cette décision et de la décision du 18 mars 2025 rejetant leur recours gracieux, MM. E... soulèvent une question prioritaire de constitutionnalité portant sur le 2° du I de l'article 8, sur l'article 20 et sur l'article 22-1 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Sur le cadre juridique :
2. Aux termes du premier alinéa de l'article 23-5 de l'ordonnance du 7 novembre 1958 portant loi organique sur le Conseil constitutionnel : " Le moyen tiré de ce qu'une disposition législative porte atteinte aux droits et libertés garantis par la Constitution peut être soulevé, y compris pour la première fois en cassation, à l'occasion d'une instance devant le Conseil d'Etat (...) Le moyen est présenté, à peine d'irrecevabilité, dans un mémoire distinct et motivé (...) ". Il résulte des dispositions de ce même article que le Conseil constitutionnel est saisi de la question prioritaire de constitutionnalité à la triple condition que la disposition contestée soit applicable au litige ou à la procédure, qu'elle n'ait pas déjà été déclarée conforme à la Constitution dans les motifs et le dispositif d'une décision du Conseil constitutionnel, sauf changement des circonstances, et que la question soit nouvelle ou présente un caractère sérieux.
3. D'une part, aux termes du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la Commission nationale de l'informatique et des libertés " est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes : / (...) / 2° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France. / A ce titre : / (...) / d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire ; / (...) ".
4. D'autre part, en vertu des I et III de l'article 20 de la même loi dans sa rédaction applicable au litige, le président de la CNIL peut adresser au responsable d'un traitement de données à caractère personnel un avertissement dans le cas où ce traitement est susceptible de méconnaître cette loi ou le règlement (UE) 2016/679 du 27 avril 2016 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (dit RGPD), ainsi que, lorsqu'un manquement aux obligations découlant de ces textes est constaté, un rappel à ses obligations légales ou, si le manquement est susceptible de faire l'objet d'une mise en conformité, une mise en demeure de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, de mettre les opérations de traitement en conformité avec les dispositions applicables, de rectifier ou d'effacer des données à caractère personnel, d'en limiter le traitement ou, à l'exception des traitements intéressant la sûreté de l'Etat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel. Selon le IV du même article, s'il estime qu'un manquement a été commis, le président de la CNIL peut également, le cas échéant après avoir mis en oeuvre les mesures prévues aux I et III de cet article, saisir la formation restreinte de la commission en vue du prononcé des mesures correctrices, notamment l'injonction de mettre en conformité le traitement avec les obligations résultant du RGPD ou de la loi du 6 janvier 1978 ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, et des sanctions énumérées à ce IV. Des dispositions analogues concernent, en vertu des II et V du même article, les fournisseurs de plateformes en ligne.
5. Enfin, aux termes de l'article 22-1 de la même loi : " Le président de la Commission nationale de l'informatique et des libertés peut, lorsqu'il estime que les conditions mentionnées aux deuxième et troisième alinéas sont réunies, engager les poursuites selon une procédure simplifiée. Le président de la formation restreinte ou l'un de ses membres désigné à cet effet statue seul sur l'affaire. / (...) ".
Sur l'applicabilité des dispositions contestées au litige :
6. Il ressort des pièces du dossier que la question prioritaire de constitutionnalité soulevée par MM. E... porte sur les obligations de la CNIL à l'égard de l'auteur d'une réclamation ou d'une plainte. Il résulte des dispositions citées aux points 3 à 5 que ces obligations sont définies au d) du 2° du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les articles 20 et 22-1 de la même loi ne portant que sur les pouvoirs de la CNIL et de son président à l'égard des responsables de traitement ou de fournisseurs de plateformes en ligne mis en cause. Par suite, seules les dispositions du d) du 2 du I de l'article 8 précité doivent être regardées comme applicables au litige.
Sur le caractère sérieux de la question posée :
7. D'une part, aux termes de l'article 16 de la Déclaration des droits de l'homme et du citoyen du 26 août 1789 : " Toute société dans laquelle la garantie des droits n'est pas assurée, ni la séparation des pouvoirs déterminée, n'a point de Constitution ". Sont garantis par cette disposition le droit à un procès équitable, les droits de la défense et le principe du contradictoire qui en est le corollaire, ainsi que le droit des personnes intéressées à exercer un recours juridictionnel effectif.
8. La décision par laquelle la CNIL procède à la clôture d'une plainte ou d'une réclamation ne constitue pas une sanction ayant le caractère de punition et n'intervient pas à l'issue d'une procédure juridictionnelle. L'absence de procédure contradictoire avant l'intervention d'une telle décision est, par ailleurs, sans incidence sur le droit au recours effectif et au procès équitable de l'auteur de la plainte ou de la réclamation, qui peut former un recours pour excès de pouvoir contre cette décision devant la juridiction administrative. Les griefs invoqués par MM. E... tirés de la méconnaissance des exigences de l'article 16 de la Déclaration de 1789 ne peuvent, par suite, qu'être écartés.
9. D'autre part, l'article 2 de la Déclaration des droits de l'homme et du citoyen dispose que : " Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l'homme. Ces droits sont la liberté, la propriété, la sûreté, et la résistance à l'oppression ". La liberté proclamée par cet article implique le respect de la vie privée. La décision par laquelle la CNIL procède à la clôture d'une plainte, après avoir vérifié que le traitement mis en cause ne comporte pas ou plus d'atteintes au droit au respect de la vie privée des auteurs de cette plainte, ne porte pas, par elle-même, atteinte à ce droit. Par suite, le grief invoqué par MM. E..., tiré de ce que les dispositions du d) du 2° du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés méconnaissent le droit au respect de la vie privée des auteurs d'une plainte auprès de la CNIL, protégé par l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789, au motif qu'elles ne prévoient pas de procédure contradictoire, doit être également écarté.
10. Il résulte de tout ce qui précède que la question prioritaire de constitutionnalité soulevée par MM. E..., qui n'est pas nouvelle, ne présente pas un caractère sérieux. Il n'y a, dès lors, pas lieu de la renvoyer au Conseil constitutionnel.
D E C I D E :
--------------
Article 1er : Il n'y a pas lieu de renvoyer au Conseil constitutionnel la question prioritaire de constitutionnalité soulevée par MM. E....
Article 2 : La présente décision sera notifiée à MM. C... et D... E..., à la Commission nationale de l'informatique et des libertés et au garde des sceaux, ministre de la justice.
Copie en sera adressée au Conseil constitutionnel et au Premier ministre.
N° 504639
ECLI:FR:CECHR:2025:504639.20251113
Inédit au recueil Lebon
10ème - 9ème chambres réunies
Mme Sophie Delaporte, rapporteure
SCP GOUZ-FITOUSSI, avocats
Lecture du jeudi 13 novembre 2025
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par un mémoire distinct et deux mémoires en réplique, enregistrés les 20 août, 23 septembre et 5 octobre 2025 au secrétariat du contentieux du Conseil d'État, sous les nos 504639 et 504641, MM. C... et D... E... demandent au Conseil d'État, en application de l'article 23-5 de l'ordonnance n° 58-1067 du 7 novembre 1958 et à l'appui de leurs requêtes tendant à l'annulation des décisions des 22 octobre 2024 et 18 mars 2025 par lesquelles la présidente de la Commission nationale de l'informatique et des libertés (CNIL) a, d'une part, clos leur plainte relative à la méconnaissance par la " Charte RGPD " de l'Ecole alsacienne des dispositions du règlement général sur la protection des données (RGPD), d'autre part, rejeté leur recours gracieux contre cette décision de clôture, de renvoyer au Conseil constitutionnel la question de la conformité aux droits et libertés garantis par la Constitution du 2° du I de l'article 8, de l'article 20 et de l'article 22-1 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
....................................................................................
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule et son article 61-1 ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- l'ordonnance n° 58-1067 du 7 novembre 1958 ;
- le code des relations entre le public et l'administration ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Sophie Delaporte, conseillère d'Etat,
- les conclusions de Mme Leila Derouich, rapporteure publique ;
Vu les deux notes en délibéré, enregistrées le 13 novembre 2025 sous les n°s 504639 et 504641, présentées par MM. C... et D... E....
Considérant ce qui suit :
1. Il ressort des pièces du dossier que la CNIL, saisie par MM. E... d'une plainte relative à la méconnaissance par la " Charte RGPD " de l'Ecole alsacienne des dispositions du règlement du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données dit règlement général sur la protection des données (RGPD), après avoir, sur le fondement du III de l'article 20 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, mis l'Ecole alsacienne en demeure de modifier l'article 8 de sa " Charte RGPD " et de procéder à l'information des personnes concernées, a informé MM. E... des suites données à leur plainte et a clos celle-ci par une décision du 22 octobre 2024. A l'appui de leur requête en annulation pour excès de pouvoir de cette décision et de la décision du 18 mars 2025 rejetant leur recours gracieux, MM. E... soulèvent une question prioritaire de constitutionnalité portant sur le 2° du I de l'article 8, sur l'article 20 et sur l'article 22-1 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Sur le cadre juridique :
2. Aux termes du premier alinéa de l'article 23-5 de l'ordonnance du 7 novembre 1958 portant loi organique sur le Conseil constitutionnel : " Le moyen tiré de ce qu'une disposition législative porte atteinte aux droits et libertés garantis par la Constitution peut être soulevé, y compris pour la première fois en cassation, à l'occasion d'une instance devant le Conseil d'Etat (...) Le moyen est présenté, à peine d'irrecevabilité, dans un mémoire distinct et motivé (...) ". Il résulte des dispositions de ce même article que le Conseil constitutionnel est saisi de la question prioritaire de constitutionnalité à la triple condition que la disposition contestée soit applicable au litige ou à la procédure, qu'elle n'ait pas déjà été déclarée conforme à la Constitution dans les motifs et le dispositif d'une décision du Conseil constitutionnel, sauf changement des circonstances, et que la question soit nouvelle ou présente un caractère sérieux.
3. D'une part, aux termes du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la Commission nationale de l'informatique et des libertés " est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes : / (...) / 2° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France. / A ce titre : / (...) / d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire ; / (...) ".
4. D'autre part, en vertu des I et III de l'article 20 de la même loi dans sa rédaction applicable au litige, le président de la CNIL peut adresser au responsable d'un traitement de données à caractère personnel un avertissement dans le cas où ce traitement est susceptible de méconnaître cette loi ou le règlement (UE) 2016/679 du 27 avril 2016 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (dit RGPD), ainsi que, lorsqu'un manquement aux obligations découlant de ces textes est constaté, un rappel à ses obligations légales ou, si le manquement est susceptible de faire l'objet d'une mise en conformité, une mise en demeure de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, de mettre les opérations de traitement en conformité avec les dispositions applicables, de rectifier ou d'effacer des données à caractère personnel, d'en limiter le traitement ou, à l'exception des traitements intéressant la sûreté de l'Etat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel. Selon le IV du même article, s'il estime qu'un manquement a été commis, le président de la CNIL peut également, le cas échéant après avoir mis en oeuvre les mesures prévues aux I et III de cet article, saisir la formation restreinte de la commission en vue du prononcé des mesures correctrices, notamment l'injonction de mettre en conformité le traitement avec les obligations résultant du RGPD ou de la loi du 6 janvier 1978 ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, et des sanctions énumérées à ce IV. Des dispositions analogues concernent, en vertu des II et V du même article, les fournisseurs de plateformes en ligne.
5. Enfin, aux termes de l'article 22-1 de la même loi : " Le président de la Commission nationale de l'informatique et des libertés peut, lorsqu'il estime que les conditions mentionnées aux deuxième et troisième alinéas sont réunies, engager les poursuites selon une procédure simplifiée. Le président de la formation restreinte ou l'un de ses membres désigné à cet effet statue seul sur l'affaire. / (...) ".
Sur l'applicabilité des dispositions contestées au litige :
6. Il ressort des pièces du dossier que la question prioritaire de constitutionnalité soulevée par MM. E... porte sur les obligations de la CNIL à l'égard de l'auteur d'une réclamation ou d'une plainte. Il résulte des dispositions citées aux points 3 à 5 que ces obligations sont définies au d) du 2° du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les articles 20 et 22-1 de la même loi ne portant que sur les pouvoirs de la CNIL et de son président à l'égard des responsables de traitement ou de fournisseurs de plateformes en ligne mis en cause. Par suite, seules les dispositions du d) du 2 du I de l'article 8 précité doivent être regardées comme applicables au litige.
Sur le caractère sérieux de la question posée :
7. D'une part, aux termes de l'article 16 de la Déclaration des droits de l'homme et du citoyen du 26 août 1789 : " Toute société dans laquelle la garantie des droits n'est pas assurée, ni la séparation des pouvoirs déterminée, n'a point de Constitution ". Sont garantis par cette disposition le droit à un procès équitable, les droits de la défense et le principe du contradictoire qui en est le corollaire, ainsi que le droit des personnes intéressées à exercer un recours juridictionnel effectif.
8. La décision par laquelle la CNIL procède à la clôture d'une plainte ou d'une réclamation ne constitue pas une sanction ayant le caractère de punition et n'intervient pas à l'issue d'une procédure juridictionnelle. L'absence de procédure contradictoire avant l'intervention d'une telle décision est, par ailleurs, sans incidence sur le droit au recours effectif et au procès équitable de l'auteur de la plainte ou de la réclamation, qui peut former un recours pour excès de pouvoir contre cette décision devant la juridiction administrative. Les griefs invoqués par MM. E... tirés de la méconnaissance des exigences de l'article 16 de la Déclaration de 1789 ne peuvent, par suite, qu'être écartés.
9. D'autre part, l'article 2 de la Déclaration des droits de l'homme et du citoyen dispose que : " Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l'homme. Ces droits sont la liberté, la propriété, la sûreté, et la résistance à l'oppression ". La liberté proclamée par cet article implique le respect de la vie privée. La décision par laquelle la CNIL procède à la clôture d'une plainte, après avoir vérifié que le traitement mis en cause ne comporte pas ou plus d'atteintes au droit au respect de la vie privée des auteurs de cette plainte, ne porte pas, par elle-même, atteinte à ce droit. Par suite, le grief invoqué par MM. E..., tiré de ce que les dispositions du d) du 2° du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés méconnaissent le droit au respect de la vie privée des auteurs d'une plainte auprès de la CNIL, protégé par l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789, au motif qu'elles ne prévoient pas de procédure contradictoire, doit être également écarté.
10. Il résulte de tout ce qui précède que la question prioritaire de constitutionnalité soulevée par MM. E..., qui n'est pas nouvelle, ne présente pas un caractère sérieux. Il n'y a, dès lors, pas lieu de la renvoyer au Conseil constitutionnel.
D E C I D E :
--------------
Article 1er : Il n'y a pas lieu de renvoyer au Conseil constitutionnel la question prioritaire de constitutionnalité soulevée par MM. E....
Article 2 : La présente décision sera notifiée à MM. C... et D... E..., à la Commission nationale de l'informatique et des libertés et au garde des sceaux, ministre de la justice.
Copie en sera adressée au Conseil constitutionnel et au Premier ministre.