Vu la procédure suivante :
Par une requête et deux mémoires en réplique, enregistrés les 3 février 2022, 9 mai 2023 et 12 janvier 2024 au secrétariat du contentieux du Conseil d'Etat, M. A... B... demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la décision du 2 décembre 2021 par laquelle la présidente de la Commission nationale de l'informatique et des libertés (CNIL) a procédé à la clôture de sa plainte relative à la mention des données à caractère personnel le concernant contenues dans le registre des baptêmes du diocèse d'Angers ;
2°) d'enjoindre à la présidente de la CNIL de mettre en demeure, dans un délai d'un mois, le responsable du registre des baptêmes du diocèse d'Angers d'effacer de ce registre les données le concernant ;
3°) de mettre à la charge de la CNIL la somme de 3 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Philippe Bachschmidt, maître des requêtes en service extraordinaire,
- les conclusions de M. Laurent Domingo, rapporteur public ;
La parole ayant été donnée, après les conclusions, à la SCP Foussard, Froger, avocat de M. B..., et à la SARL Matuchansky, Poupot, Valdelièvre, Rameix, avocat de l'association diocésaine d'Angers ;
Considérant ce qui suit :
1. Il ressort des pièces du dossier que M. B... a saisi la Commission nationale de l'informatique et des libertés (CNIL), le 15 février 2020, d'une plainte relative au refus opposé par l'association diocésaine d'Angers de faire droit à sa demande d'accès aux données à caractère personnel le concernant figurant dans le registre des baptêmes du diocèse d'Angers, ainsi qu'à l'exercice de son droit d'effacement et d'opposition au traitement de ces données. Par un courrier en date du 2 décembre 2021, la présidente de la CNIL l'a informé de sa décision de procéder à la clôture de sa plainte. M. B... demande au Conseil d'Etat d'annuler pour excès de pouvoir cette décision et d'enjoindre à la CNIL d'ordonner l'effacement des données à caractère personnel le concernant figurant dans le registre des baptêmes du diocèse d'Angers.
Sur le cadre juridique applicable au litige :
2. Aux termes du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes : / (...) 2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France. A ce titre : / (...) d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire (...) ".
3. Il résulte des dispositions mentionnées au point 2 qu'il appartient à la CNIL de procéder, lorsqu'elle est saisie d'une plainte ou d'une réclamation tendant à la mise en œuvre de ses pouvoirs, à l'examen des faits qui en sont à l'origine et de décider des suites à leur donner. Elle dispose, à cet effet, d'un large pouvoir d'appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu'elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l'ont été et, plus généralement, de l'ensemble des intérêts généraux dont elle a la charge. L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la CNIL d'y donner suite. Il appartient au juge de censurer celui-ci, le cas échéant, pour un motif d'illégalité externe et, au titre du bien-fondé de la décision, en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir. Toutefois, lorsque l'auteur de la plainte se fonde sur la méconnaissance par un responsable de traitement des droits garantis par la loi à l'égard des données à caractère personnel le concernant, notamment les droits d'accès, de rectification, d'effacement, de limitation et d'opposition mentionnés aux articles 49, 50, 51, 53 et 56 de la loi du 6 janvier 1978, qui renvoient respectivement aux articles 15, 16, 17, 18 et 21 du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel et abrogeant la directive 95/46/CE (RGPD), le pouvoir d'appréciation de la CNIL pour décider des suites à y donner s'exerce, eu égard à la nature du droit individuel en cause, sous l'entier contrôle du juge de l'excès de pouvoir.
4. L'article 4 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dispose que : " Les données à caractère personnel doivent être : / 1° Traitées de manière licite, loyale et, pour les traitements relevant du titre II, transparente au regard de la personne concernée ; / 2° Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des dispositions du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi, applicables à de tels traitements et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ; / 3° Adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire ou, pour les traitements relevant des titres III et IV, non excessives ; / 4° Exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ; 5° Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Toutefois, les données à caractère personnel peuvent être conservées au-delà de cette durée dans la mesure où elles sont traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques. Le choix des données conservées à des fins archivistiques dans l'intérêt public est opéré dans les conditions prévues à l'article L. 212-3 du code du patrimoine ; / 6° Traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, ou l'accès par des personnes non autorisées, à l'aide de mesures techniques ou organisationnelles appropriées ". Les données qui révèlent les convictions religieuses d'une personne sont, en vertu de l'article 6 de la loi du 6 janvier 1978 et de l'article 9 du RGPD, des données sensibles dont le traitement est, en principe, interdit. Par exception, leur traitement est autorisé notamment, en vertu du d) du paragraphe 2 de ce dernier article, s'il " est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ".
5. Le paragraphe 1 de l'article 6 du RGPD dispose que : " Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : a) La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques / (...) f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ". Selon le paragraphe 1 de son article 17 : " La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais, lorsque l'un des motifs suivants s'applique : / a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière ; / b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), et il n'existe pas d'autre fondement juridique au traitement ; / c) la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 2 ; / d) les données à caractère personnel ont fait l'objet d'un traitement illicite; (...) ". En vertu du paragraphe 1 de son article 21 : " La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l'article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice ".
Sur les conclusions de la requête :
6. Pour prononcer la clôture de la plainte de M. B..., la CNIL, après avoir constaté que la demande d'accès de l'intéressé aux informations figurant dans le registre des baptêmes du diocèse d'Angers avait été satisfaite, a estimé, d'une part, que celui-ci ne pouvait se prévaloir d'aucun des motifs d'effacement mentionnés au paragraphe 1 de l'article 17 du RGPD et, d'autre part, que l'apposition en marge du registre d'une mention selon laquelle M. B... ne reconnaissait pas la valeur de son baptême pouvait être regardée comme satisfaisant à l'exercice de son droit d'opposition fondé sur le paragraphe 1 de l'article 21 du RGPD.
7. En premier lieu, il ressort des pièces du dossier que les registres des baptêmes tenus par l'Eglise catholique sont destinés à conserver la trace d'un événement qui, pour elle, constitue l'entrée dans la communauté chrétienne. Le baptême, qui est la condition requise par l'Eglise catholique pour accéder notamment au mariage, ne peut être reçu, selon la foi catholique et l'organisation interne propre à ce culte, qu'une seule fois dans la vie d'une personne, exigence à laquelle pourrait faire obstacle l'effacement définitif de l'enregistrement du baptême dans l'hypothèse où l'intéressé, après avoir obtenu cet effacement, souhaiterait réintégrer la communauté chrétienne et notamment se marier religieusement. La personne baptisée qui entend faire valoir sa volonté de renoncer à tout lien avec la religion catholique peut obtenir que soit apposée sur le registre des baptêmes une mention en ce sens. Il ressort également des pièces du dossier que les registres des baptêmes tenus par l'Eglise catholique sont des documents non dématérialisés, dont les données ne sont accessibles qu'aux intéressés pour les mentions qui les concernent, ainsi qu'aux ministres du culte et aux personnes œuvrant sous leur autorité, aux seules fins du suivi du parcours religieux des personnes baptisées et de l'établissement éventuel d'actes ultérieurs dans le cadre de l'administration du culte catholique. Ces données ne sont pas accessibles à des tiers et les registres sont conservés dans un lieu clos, avant, au terme d'un délai de 120 ans, d'être versés aux archives historiques du diocèse.
8. Il résulte de ce qui précède que la mention de données personnelles sur le registre des baptêmes, relatives à l'état civil, à la filiation et aux coordonnées de la personne baptisée, qui trouve sa justification dans l'objet même de ce document, ne constitue pas un traitement illicite au regard des dispositions du d) du paragraphe 2 de l'article 9 du RGPD et que la conservation des données ainsi collectées durant une période ne s'achevant qu'après le décès de la personne concernée est nécessaire au regard des finalités de ce traitement. Il ne peut donc être fait droit à une demande d'effacement de ces données sur le fondement des dispositions des a) ou d) du paragraphe 1 de l'article 17 du RGPD. En outre, dès lors que la mention de ces données personnelles sur le registre des baptêmes n'est pas fondée sur le consentement de la personne baptisée au sens du a) du paragraphe 1 de l'article 6 de ce règlement, cité au point 5, notion reprise au a) du paragraphe 2 de l'article 9 du même texte, il ne peut davantage être fait droit à une demande d'effacement de ces données sur le fondement des dispositions du b) du paragraphe 1 de l'article 17 du RGPD relatives au retrait du consentement.
9. S'il résulte des dispositions combinées du c) du paragraphe 1 de l'article 17 et de celles du paragraphe 1 de l'article 21 du RGPD que la personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant lorsqu'elle s'oppose au traitement pour des raisons tenant à sa situation particulière, et qu'il n'existe pas de motif légitime impérieux pour le traitement prévalant sur ses intérêts et ses droits et libertés, l'intérêt qui s'attache, pour l'Eglise catholique, à la conservation des données personnelles relatives au baptême figurant dans le registre, doit être regardé comme un motif légitime impérieux, prévalant sur l'intérêt moral du demandeur à demander que ces données soient définitivement effacées, eu égard, d'une part, à l'objet du registre des baptêmes et aux conditions dans lesquelles il est susceptible d'être consulté, tels qu'exposés au point 7, ainsi que, d'autre part, à la faculté ouverte à toute personne baptisée de faire apposer sur le registre une mention faisant état de sa décision de renoncer à tout lien avec la religion catholique.
10. Il résulte de ce qui précède que la CNIL, dont la décision est suffisamment motivée, n'a pas entaché sa décision d'erreur de droit ni d'erreur d'appréciation en considérant qu'aucun des motifs d'effacement prévus par le paragraphe 1 de l'article 17 du RGPD ne trouvait à s'appliquer. En outre, si elle a fait état, dans les motifs de sa décision, d'une jurisprudence du juge judiciaire antérieure à l'entrée en vigueur du RGPD, elle ne saurait être regardée comme s'étant estimant liée par celle-ci, dès lors que, comme il a été indiqué, c'est en se fondant sur les dispositions du RGPD qu'elle a procédé à l'examen de la demande d'effacement formulée par M. B....
11. En second lieu, la CNIL n'a pas davantage entaché sa décision d'erreur de droit ni d'erreur d'appréciation en estimant que l'exercice du droit d'opposition prévu par l'article 21 du RGPD pouvait être satisfait, eu égard à la nature du registre des baptêmes tenu par l'Eglise catholique, par l'ajout d'une mention, en marge de ce registre, exprimant la volonté de l'intéressé de renoncer à tout lien avec l'Eglise catholique.
12. Il résulte de tout ce qui précède que M. B... n'est pas fondé à demander l'annulation de la décision du 2 décembre 2021 par laquelle la présidente de la CNIL a procédé à la clôture de sa plainte. Ses conclusions présentées au titre de l'article L. 761-1 du code de justice administrative ne peuvent, par suite, qu'être rejetées.
D E C I D E :
--------------
Article 1er : La requête de M. B... est rejetée.
Article 2 : La présente décision sera notifiée à M. A... B..., à l'association diocésaine d'Angers et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 17 janvier 2024 où siégeaient : M. Rémy Schwartz, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; M. Olivier Yeznikian, Mme Rozen Noguellou, M. Nicolas Polge, M. Vincent Daumas, M. Didier Ribes, conseillers d'Etat, et M. Philippe Bachschmidt, maître des requêtes en service extraordinaire-rapporteur.
Rendu le 2 février 2024.
Le président :
Signé : M. Rémy Schwartz
Le rapporteur :
Signé : M. Philippe Bachschmidt
La secrétaire :
Signé : Mme Chloé-Claudia Sediang