Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire et un mémoire en réplique, enregistrés les 1er décembre 2020, 11 février et 22 avril 2021, Mme A... B...-C... demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la décision du 20 octobre 2020 par laquelle la présidente de la Commission nationale de l'informatique et des libertés (CNIL) a clôturé les quatre plaintes qu'elle a introduites afin d'accéder aux données à caractère personnel de son père décédé détenues par des établissements financiers ;
2°) d'enjoindre à la CNIL de mettre en demeure, dans un délai de trois mois et sous astreinte, les établissements financiers en cause de lui communiquer les données à caractère personnel concernant son père.
Vu les autres pièces du dossier ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Vu la note en délibéré, enregistrée le 16 juin 2021, présentée par Mme B...-C... ;
Après avoir entendu en séance publique :
- le rapport de Mme Christelle Thomas, maître des requêtes en service extraordinaire,
- les conclusions de M. Alexandre Lallet, rapporteur public ;
Considérant ce qui suit :
1. Il ressort des pièces du dossier que Mme B...-C... a saisi la Commission nationale de l'informatique et des libertés (CNIL) les 17 octobre et 12 décembre 2019 et les 6 janvier et 10 février 2020, de quatre plaintes relatives à des demandes d'accès aux données à caractère personnel de son père décédé qu'elle a adressées à différents établissements bancaires situés en Suisse et en France. Par un courrier en date du 20 octobre 2020, la présidente de la CNIL l'a informée de sa décision de procéder à la clôture de ces plaintes. Mme B...-C... demande l'annulation pour excès de pouvoir de cette décision et qu'il soit enjoint à la CNIL de mettre en demeure, dans un délai de trois mois et sous astreinte, les établissements financiers concernés de lui communiquer les données à caractère personnel demandées.
Sur les demandes adressées à des établissements situés en Suisse :
2. En premier lieu, d'une part, l'article 3 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit " règlement général sur la protection des données ", définit son champ d'application territorial comme s'étendant au traitement des données à caractère personnel " effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union ", ainsi qu'au traitement de données à caractère personnel " relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées : / a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes; ou / b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union ". D'autre part, aux termes du I de son article 3, entrent dans le champ d'application de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, " sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l'article 3 de ce règlement ", " les traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France ". Le II de ce même article 3 prévoit que : " Les règles nationales prises sur le fondement des dispositions du même règlement renvoyant au droit national le soin d'adapter ou de compléter les droits et obligations prévus par ce règlement s'appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n'est pas établi en France. / Toutefois, lorsqu'est en cause un des traitements mentionnés au 2 de l'article 85 du même règlement, les règles nationales mentionnées au premier alinéa du II sont celles dont relève le responsable de traitement, lorsqu'il est établi dans l'Union européenne ".
3. En second lieu, d'une part, conformément au point 27 de son préambule, le règlement général sur la protection des données (RGPD) " ne s'applique pas aux données à caractère personnel des personnes décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées ". D'autre part, l'article 85 de la loi du 6 janvier 1978 ouvre la possibilité aux héritiers d'une personne décédée d'exercer temporairement les droits de cette dernière.
4. Il résulte de l'ensemble des dispositions citées aux points 2 et 3 que la loi du 6 janvier 1978, dont le périmètre d'application est plus large que celui du règlement général sur la protection des données, reprend, lorsque sont en cause des traitements de données soumis à ce règlement, les critères alternatifs, retenus par son article 3 pour la définition de son champ d'application territoriale, qui sont tirés soit du lieu de l'établissement du responsable du traitement, soit du ciblage de l'offre de biens ou services ou du comportement du consommateur. En revanche, la loi ne retient que le seul critère de l'établissement sur le territoire français du responsable du traitement lorsque sont en cause des traitements de données à caractère personnel qui ne sont pas couverts par le RGPD mais sont régis uniquement par la loi nationale, les dispositions du premier alinéa du II de ce même article n'ayant vocation à régir que les situations dans lesquelles le RGPD a expressément renvoyé au droit national le soin d'adapter ou de compléter les droits et obligations prévus par le règlement. S'agissant des données à caractère personnel relatives à une personne décédée, le point 27 du préambule du RGPD, cité au point 3, rappelle qu'elles n'entrent pas dans le champ de ce règlement. Toutefois, les héritiers de la personne décédée peuvent, en tout état de cause, se prévaloir des règles nationales, définies notamment par l'article 85 de la loi du 6 janvier 1978, lorsqu'est en cause un traitement de données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant établis sur le territoire français, que le traitement ait lieu ou non en France.
5. Il ressort des pièces du dossier que, d'une part, les demandes d'exercice du droit d'accès aux données de son père décédé, adressées par Mme B...-C..., aux sociétés Banque privée Edmond de Rothschild, Crédit Agricole Indosuez Suisse, NWT Trustees SARL, NWT Conseil SA et NW Trust SA concernent des établissements financiers situés en Suisse à raison de leurs activités exercées sur ce territoire, qui sont responsables des traitements de données à caractère personnel mis en oeuvre pour ces mêmes activités, sans qu'ait d'incidence à cet égard le fait que ces établissements soient, le cas échéant, des filiales d'un groupe dont la société mère est établie en France. Par suite, ces demandes n'entrent pas dans le champ de la loi du 6 janvier 1978. D'autre part, en tout état de cause, les données en litige ne résultent pas d'un traitement lié à une offre de biens ou services dont Mme B...-C... aurait fait l'objet en sa qualité d'héritière de son père. Elles ne pouvaient dès lors pas davantage entrer dans le champ du RGPD. Il s'ensuit que la CNIL n'a pas commis d'erreur de droit en clôturant les plaintes de la requérante au motif que ni la loi du 6 janvier 1978, ni le RGPD n'était applicable à ses demandes.
Sur la demande adressée à un établissement français :
6. Le 2° du I de l'article 8 de la loi du 6 janvier 1978 confie à la CNIL le soin de veiller " à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France. A ce titre : / (...) d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire ". Il résulte de ces dispositions qu'il appartient à la CNIL, lorsqu'elle est saisie d'une demande tendant à la mise en oeuvre de ses pouvoirs, de procéder à l'examen des faits qui en sont à l'origine et de décider des suites à leur donner. Elle dispose, à cet effet, d'un large pouvoir d'appréciation et peut tenir compte de l'ensemble des intérêts généraux dont elle a la charge.
7. Il ressort des pièces du dossier qu'à la suite de la demande d'accès aux données à caractère personnel de son père décédé, adressée par Mme B...-C... à la société Crédit Agricole Indosuez Wealth Management, située en France, le directeur général de cet établissement lui a indiqué, par un courrier en date du 21 octobre 2019, ne disposer d'aucune donnée à caractère personnel concernant M. B... au titre de ses traitements de données relatifs à ses offres de biens ou de services. Il s'ensuit que la CNIL, en l'absence de tout élément de nature à mettre en doute cette affirmation, n'a pas commis d'erreur manifeste d'appréciation en clôturant la plainte de Mme B...-C... au motif que sa demande était sans objet.
8. Il résulte de tout ce qui précède que Mme B...-C... n'est pas fondée à demander l'annulation de la décision du 20 octobre 2020 par laquelle la CNIL a clôturé ses plaintes.
D E C I D E :
--------------
Article 1er : La requête de Mme B...-C... est rejetée.
Article 2 : La présente décision sera notifiée à Mme A... B...-C... et à la Commission nationale de l'informatique et des libertés.