Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire et un mémoire en réplique, enregistrés les 15 août et 12 novembre 2022 et 9 mai 2023 au secrétariat du contentieux du Conseil d'Etat, Mme B... D... demande au Conseil d'Etat :
1°) à titre principal, d'annuler pour excès de pouvoir les décisions par lesquelles la Commission nationale de l'informatique et des libertés (CNIL) a, le 16 juillet 2021, clôturé sa réclamation contre la société 2Checkout et, le 21 septembre 2021, rejeté son recours gracieux contre cette décision de clôture, à l'exception de la partie de sa réclamation relative à son adresse de messagerie électronique ;
2°) à titre subsidiaire, de saisir la Cour de justice de l'Union européenne d'une question préjudicielle portant sur l'interprétation de l'article 16 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), lu conjointement avec les articles 21, 51 et 52 de la charte 2000/C 364/01 des droits fondamentaux de l'Union européenne ;
3°) d'enjoindre à la CNIL de prendre à nouveau une décision, après une nouvelle instruction, dans un délai de trois mois.
Vu les autres pièces du dossier ;
Vu :
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la charte des droits fondamentaux de l'Union européenne ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code pénal ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire,
- les conclusions de M. Laurent Domingo, rapporteur public ;
Considérant ce qui suit :
1. Il ressort des pièces du dossier que A... C... a sollicité d'un tribunal de l'Etat de Virginie, aux Etats-Unis, qu'il ordonne de remplacer ce prénom et ce nom par ceux de B... D.... A la suite de l'ordonnance rendue le 23 décembre 2019 par cette juridiction, qui a fait droit à cette demande à compter de son prononcé, Mme B... D... a demandé à la société 2Checkout, devenue Verifone, de rectifier les données à caractère personnel par lesquelles elle était identifiée dans ses systèmes d'information sous sa précédente identité. Le 14 octobre 2020, elle a saisi la Commission nationale de l'informatique et des libertés (CNIL) d'une réclamation relative aux refus de rectification qu'elle s'est vu opposer. La CNIL a clôturé sa réclamation le 16 juillet 2021, puis rejeté son recours gracieux le 21 septembre 2021. Mme D... demande l'annulation pour excès de pouvoir de ces deux décisions, sauf en ce qui concerne l'adresse de messagerie électronique figurant dans son compte client.
2. En premier lieu, aux termes du d) du 1 de l'article 5 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), les données à caractère personnel utilisées dans un traitement doivent être " " exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ". L'article 16 du RGPD dispose que : " La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d'obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire ".
3. Il ressort des pièces du dossier que les données à caractère personnel concernant Mme D... détenues par la société 2Checkout sont, d'une part, les données de son compte client, d'autre part, les données relatives à la commande d'une licence informatique passée en 2019 sous sa précédente identité.
4. S'agissant des premières, il n'est pas contesté qu'à la suite des interventions de la CNIL, la société a mis à jour le prénom, le nom et l'adresse de messagerie de la requérante. Il ne ressort pas des pièces du dossier, et il n'est pas même allégué par Mme D..., que d'autres données du compte client devraient être rectifiées pour tenir compte de l'ordonnance du 23 décembre 2019 mentionnée au point 1.
5. S'agissant des secondes, les données à caractère personnel figurant sur des documents produits antérieurement à l'ordonnance du 23 décembre 2019 mentionnée au point 1, dont il n'est pas contesté qu'elle ne revêt, en tout état de cause, aucun caractère rétroactif, ne sont pas entachées d'inexactitude. En outre, la société a indiqué, sans que Mme D... le conteste dans la présente instance, qu'elle se trouvait, en vertu de la législation américaine, dans l'obligation de conserver la mention, sur l'ensemble des documents relatifs à la commande de la licence informatique, du nom de A... C..., patronyme de la personne qui avait passé cette commande, et d'associer cette commande avec le compte client de Mme D.... Ces données ne sont donc pas entachées d'inexactitude au regard de la finalité pour laquelle elles sont conservées et l'article 16 du RGPD ne fait ainsi pas obligation au responsable de traitement de supprimer le nom de A... C... des documents relatifs à cette commande, même ceux émis postérieurement à l'ordonnance du 23 décembre 2019. S'il est vrai que la société s'est, à tort, adressée à A... C... dans les correspondances qu'elle a envoyées à Mme D... postérieurement à cette ordonnance concernant cette commande, elle a, ainsi qu'il a été dit au point 4, mis à jour les informations du compte client de l'intéressée et lui a en outre proposé de masquer les éléments relatifs à la commande de 2019 dans la page d'accueil de son compte. Dans ces conditions, la CNIL n'a pas méconnu l'article 16 du RGPD ni entaché sa décision d'une erreur d'appréciation en estimant que la société 2Checkout n'avait pas manqué aux obligations s'imposant à elle.
6. En deuxième lieu, il résulte de l'article 226-19 du code pénal que " le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître (...) l'identité de genre (...), est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende... ". Le rapprochement du prénom masculin A... et du prénom mixte B... dans les données à caractère personnel détenues par la société 2Checkout concernant Mme D..., ne fait pas apparaître, directement ou indirectement, une donnée relative à son identité de genre. En tout état de cause, à supposer que le responsable de traitement conserve d'autres mentions, comme la civilité de Mme D..., permettant, par rapprochement avec les données relatives à son changement de patronyme, de révéler indirectement cette identité de genre, la conservation de ces données est légalement justifiée pour les raisons mentionnées aux points 4 et 5. Par suite, et en tout état de cause, Mme D... n'est pas fondée à soutenir que la CNIL aurait méconnu ces dispositions.
7. En dernier lieu, dès lors que la décision attaquée est exclusivement fondée sur ce que les données à caractère personnel en cause ne présentent pas un caractère inexact et n'avaient donc pas vocation à être rectifiées, et sur ce qu'elles sont par ailleurs conservées par la société 2Checkout dans le cadre des obligations légales auxquelles elle est soumise, la requérante n'est, en tout état de cause, pas fondée à se plaindre de ce que cette décision présenterait un caractère discriminatoire et méconnaîtrait ainsi le principe de non-discrimination garanti par l'article 21 de la charte des droits fondamentaux de l'Union européenne et les articles 225-1 et 432-7 du code pénal, ni qu'elle serait constitutive d'une violation de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.
8. Il résulte de tout ce qui précède, sans qu'il soit besoin de saisir la Cour de justice de l'Union européenne d'une question préjudicielle en l'absence de doute raisonnable quant à l'interprétation de l'article 16 du RGPD, que la requérante n'est pas fondée à demander l'annulation des décisions qu'elle attaque. Ses conclusions à fin d'injonction ne peuvent, par suite, qu'être rejetées.
D E C I D E :
--------------
Article 1er : La requête de Mme D... est rejetée.
Article 2 : La présente décision sera notifiée à Mme B... D... et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 8 juin 2023 où siégeaient : Mme Nathalie Escaut, conseillère d'Etat, présidant ; M. Alexandre Lallet, conseiller d'Etat et Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire-rapporteure.
Rendu le 26 juin 2023.
La présidente :
Signé : Mme Nathalie Escaut
La rapporteure :
Signé : Mme Myriam Benlolo Carabot
La secrétaire :
Signé : Mme Sylvie Leporcq