Vu la procédure suivante :
Par une requête, un mémoire complémentaire et deux mémoires en réplique, enregistrés les 7 octobre et 18 décembre 2014, et les 6 mars et 27 juillet 2015 au secrétariat du contentieux du Conseil d'Etat, la société Orange demande au Conseil d'Etat :
1°) d'annuler la délibération n° 2014-298 du 7 août 2014 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre un avertissement rendu public ;
2°) de mettre à la charge de l'Etat la somme de 5 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la Charte des droits fondamentaux de l'Union européenne ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le décret n° 2005-1309 du 20 octobre 2005 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Jacques Reiller, conseiller d'Etat,
- les conclusions de Mme Emilie Bokdam-Tognetti, rapporteur public ;
La parole ayant été donnée, avant et après les conclusions, à la SCP Piwnica, Molinié, avocat de la société Orange ;
Vu la note en délibéré, enregistrée le 8 décembre 2015, présentée par la société Orange ;
1. Considérant qu'il résulte de l'instruction que, le 18 avril 2014, une intrusion illicite sur le serveur d'une société sous-traitante de la société Gutenberg, prestataire de services de la société Orange, a permis d'accéder aux données à caractère personnel de 1,3 million de clients et prospects de cette dernière ; que cet incident a été notifié par la société Orange à la Commission nationale de l'informatique et des libertés (CNIL) le 25 avril 2014, conformément aux dispositions de l'article 34 bis de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; qu'à la suite des constatations opérées par une mission de contrôle conduite par une délégation de la CNIL dans les locaux de ces trois sociétés, une procédure de sanction a été ouverte, visant la société Orange ; qu'au terme de la procédure contradictoire, la formation restreinte de la CNIL a prononcé contre la société Orange, le 7 août 2014, un avertissement pour méconnaissance des obligations prévues par l'article 34 de la loi du 6 janvier 1978, qu'elle a décidé de rendre public ;
2. Considérant, en premier lieu, qu'aux termes du premier alinéa du I de l'article 45 de la loi du 6 janvier 1978, dans sa rédaction issue de la loi du 29 mars 2011 relative au Défenseur des droits : " La formation restreinte de la Commission nationale de l'informatique et des libertés peut prononcer, après une procédure contradictoire, un avertissement à l'égard du responsable d'un traitement qui ne respecte pas les obligations découlant de la présente loi. Cet avertissement a le caractère d'une sanction. " ; que le troisième alinéa de l'article 77 du décret du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, dans sa rédaction issue du décret du 29 décembre 2011 relatif aux pouvoirs de contrôle et de sanction de la commission nationale de l'informatique et des libertés dispose : " La formation restreinte statue hors la présence du rapporteur et du commissaire du Gouvernement " ;
3. Considérant qu'il ressort des mentions de la délibération attaquée que, lors de la séance du 3 juillet 2014 de la formation restreinte, ont été entendus le commissaire rapporteur, le commissaire du Gouvernement adjoint ainsi que des représentants de la société Orange ; qu'aucun texte ni aucun principe n'imposaient que cette délibération mentionne également que la formation restreinte a statué hors la présence du rapporteur et du commissaire du Gouvernement ; qu'au surplus, en l'absence de tout élément en ce sens produit par la société requérante, il ne résulte pas de l'instruction que l'obligation prévue par les dispositions précitées du décret du 20 octobre 2005 ait été méconnue ; qu'ainsi le moyen tiré de ce que la délibération attaquée aurait été irrégulièrement prise ne peut qu'être écarté ;
4. Considérant, en deuxième lieu, que les deux premiers alinéas du II de l'article 34 bis de la loi du 6 janvier 1978 disposent : " En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et des libertés. / Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé. " ;
5. Considérant, par ailleurs, qu'aux termes du premier alinéa de l'article 34 de la même loi, dans sa rédaction applicable : " Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. " ; qu'enfin, aux termes de l'article 35 de la même loi : " Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. / Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi. / Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. / Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. " ;
6. Considérant que, contrairement à ce que soutient la société requérante, la circonstance qu'elle a satisfait à l'obligation prévue par les dispositions précitées de l'article 34 bis de la loi du 6 janvier 1978, ne faisait nullement obstacle à ce que la CNIL prononce, en application de l'article 45 de la loi cité au point 2 ci-dessus, un avertissement pour méconnaissance de l'obligation prévue par les dispositions citées ci-dessus de l'article 34 de la loi ;
7. Considérant que les dispositions de l'article 34 bis de la loi du 6 janvier 1978 imposent seulement aux fournisseurs de services de communications électroniques accessibles au public d'informer la CNIL et, le cas échéant, les personnes intéressées lorsqu'ils constatent une violation de données à caractère personnel ; qu'elles n'ont ni pour objet ni pour effet de leur imposer de révéler des manquements qui leur seraient imputables ; que la société requérante ne saurait dès lors utilement soutenir qu'elles méconnaîtraient les stipulations du paragraphe 1 de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, qui garantissent le droit de ne pas contribuer à sa propre incrimination, et les articles 47 et 48 de la Charte des droits fondamentaux de l'Union européenne, qui garantissent le droit d'accéder à un tribunal impartial et les droits de la défense ; que si la société soutient que la sanction litigieuse aurait été prononcée en méconnaissance de ces stipulations, au motif qu'elle aurait dû, pour satisfaire à l'obligation prévue par les dispositions de l'article 34 bis de la loi, faire connaître à la CNIL les faits que celle-ci a sanctionnés, il résulte au contraire de l'instruction que si la société a informé la CNIL des violations de données auxquelles a donné lieu l'intrusion qui s'est produite le 18 avril 2014, la délibération attaquée sanctionne des manquements à l'obligation de prendre " toutes précautions utiles " qui ont été constatés lors des contrôles effectués par la CNIL les 12 et 14 mai 2014 ; qu'ainsi, ce moyen doit être écarté ;
8. Considérant qu'il résulte de l'article 34 de la loi du 6 janvier 1978 que la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable du traitement de la responsabilité qui lui incombe de préserver la sécurité des données, sans que soit ainsi méconnu le principe constitutionnel de responsabilité personnelle, dès lors que ces sous-traitants agissent, ainsi que le prévoient les dispositions de l'article 35 de la loi citées ci-dessus, sur instruction du responsable de traitement ; que la seule mention, dans le contrat liant la société Orange à son prestataire, la société Gutenberg, d'une obligation de sécurité mise à la charge de cette dernière et de ses sous-traitants ne dispensait pas la société Orange de prendre des mesures destinées à s'assurer elle-même que la sécurité de ses données était préservée ; qu'il ressort des termes de la délibération attaquée et qu'il n'est pas sérieusement contesté que la société Orange n'avait pas fait procéder à un audit de sécurité sur l'application qui avait été spécialement définie pour la prospection commerciale de ses clients, avait utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel et n'avait pas veillé à ce que les consignes de sécurité prévues contractuellement avec Gutenberg soient portées à la connaissance du prestataire secondaire ; que, dans ces conditions, eu égard au caractère personnel des données qui ont fait l'objet d'un accès illicite et au nombre très important des personnes concernées, la formation restreinte a pu à bon droit estimer que la société Orange avait méconnu les obligations mises à sa charge par l'article 34 de la loi du 6 janvier 1978 ;
9. Considérant, en troisième lieu, d'une part, que l'avertissement prononcé par la délibération attaquée est proportionné à la nature et à la gravité des manquements constatés, alors même qu'il n'en est résulté qu'une atteinte à des données identifiantes non sensibles ; d'autre part, qu'eu égard à la nature des violations constatées et aux moyens humains et financiers dont disposait la société Orange pour les prévenir, la formation restreinte a pu à bon droit décider, en application du deuxième alinéa de l'article 46 de la loi du 6 janvier 1978, à titre de sanction complémentaire, que l'avertissement prononcé serait rendu public ;
10. Considérant qu'il résulte de tout ce qui précède que la requête de la société Orange doit être rejetée ;
11. Considérant que les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce qu'une somme soit mise à la charge de l'Etat qui n'est pas, dans la présente instance, la partie perdante ;
D E C I D E :
--------------
Article 1er : La requête présentée par la société Orange est rejetée.
Article 2 : La présente décision sera notifiée à la société Orange et à la Commission nationale pour l'informatique et les libertés.