Vu les procédures suivantes :
1° Sous le n°465229, par une requête, enregistrée le 23 juin 2022 au secrétariat du contentieux du Conseil d'Etat, M. A... D... demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la décision par laquelle la Commission nationale de l'informatique et des libertés (CNIL) a implicitement rejeté sa réclamation du 29 novembre 2021 enregistrée sous le n° 22000843 ;
2°) d'enjoindre à la CNIL de procéder à la communication des documents sollicités détenus par son ancien employeur, la société Biocodex, notamment un courrier électronique du 12 septembre 2017 relatif à un compte rendu d'entretien professionnel, sous astreinte de 300 euros par jour de retard ;
3°) d'enjoindre à la CNIL d'engager à l'encontre de la société Biocodex une procédure fondée sur le I de l'article 45 de la loi du 6 janvier 1978, sous astreinte de 300 euros par jour de retard.
2° Sous le n°468923, par une requête, enregistrée le 15 novembre 2022 au secrétariat du contentieux du Conseil d'Etat, M. A... D... demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir les décisions par lesquelles la Commission nationale de l'informatique et des libertés (CNIL) a implicitement rejeté ses réclamations des 29 novembre et 1er décembre 2021, enregistrées respectivement sous les n° 22000844 et 22000846 ;
2°) d'annuler pour excès de pouvoir la décision du 1er septembre 2022 par laquelle la présidente de la CNIL a clôturé sa plainte ;
3°) d'enjoindre à la CNIL de reprendre l'instruction de sa plainte n° 22000843 au vu des éléments nouveaux qui résultent de son courrier du 14 septembre 2022 adressé à la société Biocodex ;
4°) d'enjoindre à la CNIL de mener les investigations nécessaires afin de déterminer si le courriel du 12 septembre 2017 lui a bien été adressé par M. B..., responsable de production à l'usine de Beauvais ;
5°) d'enjoindre à la CNIL d'instruire ses plaintes enregistrées sous les n°s 22000844 et 22000846 ;
6°) d'enjoindre à la société Biocodex de justifier devant la CNIL de l'envoi du courriel du 12 septembre 2017, de l'usage de ses données personnelles figurant dans la messagerie électronique de M. B... et de la désactivation de cette messagerie.
....................................................................................
Vu les autres pièces des dossiers ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de procédure pénale ;
- le décret n° 2019-536 du 29 mai 2019 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Christelle Thomas, maître des requêtes,
- les conclusions de Mme Esther de Moustier, rapporteure publique ;
Considérant ce qui suit :
1. Il ressort des pièces du dossier, que dans le cadre du litige qui l'oppose à son ancien employeur, la société Biocodex, M. D... lui a demandé, les 5 et 25 octobre 2021, d'une part, sur le fondement de l'article 15 du règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel et abrogeant la directive 95/46/CE (RGPD), la communication de données à caractère personnel le concernant et, d'autre part, sur le fondement de l'article 18 du même règlement, le " gel " de toutes ses données personnelles. Après la réponse qui lui a été apportée par la société Biocodex le 23 décembre 2021, M. D..., par trois courriers reçus le 11 janvier 2022, a saisi la Commission nationale de l'informatique et des libertés (CNIL) d'une réclamation. Par une décision du 1er septembre 2022, la présidente de la CNIL a clôturé sa plainte. Sous le n° 465229, M. D... demande au Conseil d'Etat d'annuler pour excès de pouvoir le rejet implicite né de l'absence de réponse de la CNIL à sa réclamation enregistrée sous le n° 22000843 et de prononcer diverses injonctions. Sous le n° 468923, il demande au Conseil d'Etat d'annuler pour excès de pouvoir, d'une part, l'absence de réponse de la CNIL à ses réclamations enregistrées sous les n°s 22000844 et 22000846, et, d'autre part, la décision du 1er septembre 2022 par laquelle la CNIL a clôturé sa plainte, et de lui adresser diverses injonctions. Il y a lieu de joindre ces deux requêtes qui posent à juger les mêmes questions pour statuer par une même décision.
Sur les conclusions tendant à l'annulation de décisions implicites de rejet de la CNIL :
2. D'une part, en application de l'article 77 du RGPD, toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle si elle considère que le traitement de données à caractère personnel la concernant constitue une violation de ce règlement. Cette autorité de contrôle informe l'auteur de la réclamation de l'état d'avancement et de l'issue de la réclamation, y compris de la possibilité d'exercer un recours juridictionnel en vertu de l'article 78 lorsque l'autorité de contrôle compétente ne traite pas sa réclamation ou n'informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de sa réclamation.
3. D'autre part, en application du d) du 2° du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL traite les réclamations et plaintes introduites par une personne concernée, examine ou enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête est nécessaire. L'article 10 du décret du 29 mai 2019 pris pour l'application de cette loi précise que : " (...) Le silence gardé pendant trois mois par la commission sur une réclamation vaut décision de rejet ".
4. Il ressort des pièces du dossier que M. D... a saisi la CNIL de plusieurs courriers, enregistrés sous trois numéros le 11 janvier 2022, à la suite des demandes d'accès à ses données personnelles adressées à son ancien employeur, la société Biocodex. La commission lui a adressé une réponse le 4 avril suivant, avant l'échéance du délai de trois mois mentionné au point 3, l'informant de la saisine du délégué à la protection des données de la société Biocodex et de ce qu'il serait tenu informé de la suite réservée à sa réclamation. En mai 2022, il lui a été indiqué verbalement que sa réclamation était toujours en cours d'instruction. Sa plainte a finalement été clôturée par une décision de la présidente de la CNIL du 1er septembre 2022. Contrairement à ce que soutient le requérant, cette décision répond à l'ensemble de ses demandes relatives tant au traitement illicite, déloyal et non transparent de ses données à caractère personnel détenues par son ancien employeur qu'à l'exercice de ses droits. Il s'ensuit qu'il n'est pas fondé à soutenir qu'une décision implicite de rejet serait née du silence gardé par la CNIL sur ses trois demandes au-delà du délai prescrit par les articles 78 du RGPD et 10 du décret du 29 mai 2019 mentionnés aux points 2 et 3. Ses conclusions tendant, dès lors, sous les n° 465229 et 468923, à l'annulation de décisions inexistantes doivent être rejetées comme irrecevables ainsi que, par voie de conséquence et en tout état de cause, les conclusions à fin d'injonction y afférentes.
Sur les conclusions tendant à l'annulation de la décision de la présidente de la CNIL du 1er septembre 2022 clôturant la plainte de M. D... :
5. Aux termes de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " I.- La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :/ (...) 2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France. A ce titre :/ (...) d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire (...) ".
6. Il résulte des dispositions mentionnées au point 5 qu'il appartient à la CNIL de procéder, lorsqu'elle est saisie d'une plainte ou d'une réclamation tendant à la mise en œuvre de ses pouvoirs, à l'examen des faits qui en sont à l'origine et de décider des suites à leur donner. Elle dispose, à cet effet, d'un large pouvoir d'appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu'elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l'ont été et, plus généralement, de l'ensemble des intérêts généraux dont elle a la charge. L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la CNIL d'y donner suite. Il appartient au juge de censurer celui-ci, le cas échéant, pour un motif d'illégalité externe et, au titre du bien-fondé de la décision, en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir. Toutefois, lorsque l'auteur de la plainte se fonde sur la méconnaissance par un responsable de traitement des droits garantis par la loi à l'égard des données à caractère personnel le concernant, notamment les droits d'accès, de rectification, d'effacement, de limitation et d'opposition mentionnés aux articles 49, 50, 51, 53 et 56 de la loi du 6 janvier 1978, le pouvoir d'appréciation de la CNIL pour décider des suites à y donner s'exerce, eu égard à la nature du droit individuel en cause, sous l'entier contrôle du juge de l'excès de pouvoir.
Quant au moyen tiré du caractère illicite, déloyal et non transparent du traitement des données à caractère personnel figurant sur un courriel du 12 septembre 2017 :
7. Si la réclamation adressée par M. D... à la CNIL se prévalait du traitement illicite, déloyal et non transparent dont auraient fait l'objet certaines de ses données personnelles afin de réaliser un faux courriel, daté du 12 septembre 2017, émanant du responsable de production sous l'autorité duquel il se trouvait lorsqu'il était employé par la société Biocodex entre le 20 février et le 20 octobre 2017, afin de s'en servir dans le cadre de la contestation de son licenciement devant le juge prud'homal, le requérant n'a apporté aucun élément laissant suspecter que ce courriel serait un faux. Dès lors, c'est sans erreur de droit que la CNIL a écarté cette demande sans faire application ni du point 4 de l'article 34 du RGPD qui impose à l'autorité de contrôle d'exiger du responsable du traitement d'informer les personnes concernées par la violation de données personnelles susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, ni de l'article 40 du code de procédure pénale relatif à l'obligation d'information du procureur de la République de tout crime ou délit dont ses agents ont connaissance dans l'exercice de leurs fonctions.
Quant aux moyens relatifs au droit d'accès aux données personnelles détenues par la société Biocodex :
8. Aux termes du paragraphe 3 de l'article 15 du RGPD, " Le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d'usage courant, à moins que la personne concernée ne demande qu'il en soit autrement ". Il résulte de ces dispositions que lorsque la personne concernée exerce son droit d'accès à ses données à caractère personnel par voie électronique, le responsable de traitement doit, en principe, s'il y a lieu, les lui transmettre par voie électronique, par exemple dans un courriel ou en les mettant à sa disposition par un service en ligne qui lui est aisément accessible, sauf demande excessive ou manifestement infondée. Lorsque la demande est présentée par une autre voie, il est loisible au responsable de traitement d'y faire droit par voie électronique, à moins d'une demande spécifique qui ne soit pas excessive ou manifestement infondée.
9. En premier lieu, le requérant ne saurait utilement se prévaloir d'un droit d'obtenir une copie " papier " des données personnelles, transmise par voie postale, qui résulterait des lignes directrices sur le droit d'accès adoptées par le comité européen de la protection des données, dès lors que, d'une part, ces dernières sont dépourvues de valeur contraignante et que, d'autre part, en tout état de cause, elles ne prévoient pas de modalités différentes de communication de la copie de données à caractère personnel de celles prévues par les dispositions, citées au point 8, de l'article 15 du RGPD. Dès lors, la CNIL a pu sans erreur de droit considérer que la communication à M. D... par la seule voie du téléchargement, des documents demandés qui faisaient partie du dossier contentieux prud'homal de la société Biocodex, eu égard à leur volume, et en l'absence de toute demande spécifique préalable adressée par le requérant, constituait une " réponse appropriée " à sa demande d'accès.
10. En deuxième lieu, il ressort des pièces du dossier que c'est sans entacher sa décision d'erreur de fait que la CNIL a relevé que, le 30 juin 2022, le délégué à la protection des données de la société Biocodex l'avait informée de l'envoi à M. D... de toutes les données personnelles auxquelles il avait demandé à accéder à l'exclusion des données inexistantes ou non conservées.
11. En troisième lieu, dès lors que la CNIL a clôturé la plainte du requérant dans une décision du 1er septembre 2022, ce dernier ne saurait utilement lui reprocher de ne pas avoir tenu compte de la réponse qu'il a apportée postérieurement, le 14 septembre suivant, à la lettre du délégué à la protection des données de la société Biocodex du 30 juin 2022, laquelle, en tout état de cause, n'apportait aucun élément nouveau.
12. En dernier lieu, si le requérant est fondé à soutenir que la circonstance que le responsable du traitement avait auparavant répondu favorablement à une demande de communication présentée par son avocat, formulée dans le cadre du litige l'opposant à son ancien employeur, est sans influence sur l'exercice ultérieur de son droit d'accès à ces mêmes données dès lors que sa demande ne présente pas un caractère abusif, il ressort des pièces du dossier qu'en l'espèce, la société Biocodex a fait droit intégralement à sa demande d'accès. Il s'ensuit que la CNIL n'a entaché sa décision d'aucune erreur d'appréciation en estimant que la société Biocodex avait répondu à l'intégralité de la demande d'accès à ses données personnelles présentée par le requérant.
Quant aux moyens relatifs au droit à limitation du traitement des données à caractère personnel :
13. Aux termes de l'article 18 du RGPD : " 1-La personne concernée a le droit d'obtenir du responsable du traitement la limitation du traitement lorsque l'un des éléments suivants s'applique: (...) / c) le responsable du traitement n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice; (...) ; / 2-Lorsque le traitement a été limité en vertu du paragraphe 1, ces données à caractère personnel ne peuvent, à l'exception de la conservation, être traitées qu'avec le consentement de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice, ou pour la protection des droits d'une autre personne physique ou morale, ou encore pour des motifs importants d'intérêt public de l'Union ou d'un État membre ". Son article 19 prévoit que " Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l'article 16, à l'article 17, paragraphe 1, et à l'article 18, à moins qu'une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande ".
14. Il ressort des pièces du dossier que les données personnelles de M. D... que la société Biocodex continue de détenir depuis son départ de l'entreprise en octobre 2017 ne figurent plus que dans sa base " archives " et n'ont été conservées que pour permettre la défense des droits de la société dans le contentieux prud'homal qui l'oppose à son ancien employé. Dès lors que l'accès à ces données est limité à cette seule finalité, le requérant ne peut se prévaloir d'un droit à une limitation supplémentaire du traitement des données personnelles sur le fondement des dispositions, citées au point 13, de l'article 18 du RGPD. Il s'ensuit que la CNIL n'a pas méconnu les dispositions des articles 18 et 19 du RGPD en estimant qu'une " réponse appropriée " avait été apportée à la demande du requérant de limitation de ses données.
15. Il résulte de tout ce qui précède que M. D... n'est pas fondé à demander l'annulation de la décision de la présidente de la CNIL du 1er septembre 2022 qu'il attaque. Il s'ensuit que ses conclusions doivent être rejetées, y compris ses conclusions à fin d'injonction.
D E C I D E :
--------------
Article 1er : Les requêtes de M. D... sont rejetées.
Article 2 : La présente décision sera notifiée à M. A... D... et à la commission nationale de l'informatique et des libertés.
Copie en sera adressée à la société Biocodex.
Délibéré à l'issue de la séance du 5 juillet 2023 où siégeaient : M. Bertrand Dacosta, président de chambre, présidant, Mme Anne Egerszegi, présidente de chambre ; Mme Nathalie Escaut, M. Alexandre Lallet, M. Nicolas Polge, M. Vincent Daumas, M. Didier Ribes, conseillers d'Etat et Mme Christelle Thomas, maître des requêtes-rapporteure.
Rendu le 24 juillet 2023
Le président :
Signé : M. Bertrand Dacosta
La rapporteure :
Signé : Christelle Thomas
La secrétaire :
Signé : Mme Claudine Ramalahanoharana