Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire, un mémoire en réplique et un nouveau mémoire, enregistrés les 17 novembre 2023 et les 12 février, 29 juillet et 6 septembre 2024 au secrétariat du contentieux du Conseil d'Etat, la société SAF Logistics demande au Conseil d'Etat :
1°) à titre principal, d'annuler la délibération n° SAN-2023-013 du 18 septembre 2023 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a, d'une part, prononcé à son encontre une amende administrative de 200 000 euros et, d'autre part, rendu publique cette délibération, qui n'identifiera plus nommément la société à l'expiration d'un délai de deux ans à compter de sa publication ;
2°) à titre subsidiaire, de réduire le montant de cette amende administrative et d'annuler la publication de la délibération attaquée ;
3°) d'enjoindre à la Commission nationale de l'informatique et des libertés de publier sur son site internet et sur le site Légifrance la décision d'annulation ou de réformation de la sanction à intervenir ;
4°) de mettre à la charge de la Commission nationale de l'informatique et des libertés et de l'Etat la somme de 6 000 euros au titre de l'article L. 761-1 du code justice administrative.
Vu les autres pièces du dossier ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le décret n° 2019-536 du 29 mai 2019 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Emmanuel Weicheldinger, maître des requêtes en service extraordinaire,
- les conclusions de Mme Esther de Moustier, rapporteure publique ;
La parole ayant été donnée, après les conclusions, à la SCP Rocheteau, Uzan-Sarano et Goulet, avocat de la société SAF Logistics ;
Considérant ce qui suit :
1. Il résulte de l'instruction que la Commission nationale de l'informatique et des libertés (CNIL) a été saisie, le 4 août 2020, de deux plaintes signalant que la société SAF Logistics, filiale d'un groupe chinois, intervenant dans le secteur du fret aérien, avait demandé à ses salariés de remplir un formulaire, rédigé en langue chinoise, relatif aux demandes de mobilité au sein du groupe, impliquant de renseigner certaines rubriques relatives notamment à leur famille, leur ethnie d'origine ou leur affiliation à un parti politique. A l'issue d'une procédure de contrôle diligentée par la CNIL, sa formation restreinte a prononcé à l'encontre de la société SAF Logistics, par une délibération du 18 septembre 2023, une amende administrative de 200 000 euros pour violation du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données, dit A.... Elle a retenu, pour infliger cette sanction, un manquement au principe de minimisation des données prévu au c) du paragraphe 1 de l'article 5 de ce règlement, un manquement à l'obligation de recueillir le consentement des personnes concernées au traitement de données particulières mentionnées au a) du paragraphe 2 de son article 9, un manquement à l'interdiction prévue par son article 10 de collecter ou de traiter des données relatives aux infractions, condamnations et autres mesures de sûreté et un manquement à l'obligation de coopérer avec la Commission prévue par son article 31. La formation restreinte a également décidé de rendre publique, sur le site de la CNIL et sur celui de Légifrance, cette délibération, qui n'identifiera plus nommément la société à l'expiration d'un délai de deux ans à compter de sa publication. La société SAF Logistics demande l'annulation de cette délibération.
Sur la régularité de la délibération attaquée :
2. En premier lieu, il résulte de l'instruction que la présidente de la CNIL a informé, dès le 7 octobre 2021, le procureur de la République du tribunal judiciaire de Nanterre de l'intervention d'un contrôle dans les locaux de la société SAF Logistics, le 21 octobre 2021, précisant la date, l'heure, le lieu et l'objet du contrôle ainsi que sa durée prévisible. La société n'est par suite pas fondée à soutenir que ce contrôle sur place aurait été conduit en méconnaissance des prescriptions de l'article 25 du décret du 29 mai 2019 pris pour l'application de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
3. En second lieu, il résulte des pièces produites devant le Conseil d'Etat, d'une part, que la présidente de la CNIL a effectivement saisi la formation restreinte préalablement à l'adoption de la délibération litigieuse et, d'autre part, que les membres de cette formation ont été convoqués et ont reçu le rapport de sanction conformément aux dispositions de l'article 61 du règlement intérieur de la Commission. Enfin, il ressort de la décision attaquée que la rapporteure a également été convoquée à la séance de la formation restreinte, au cours de laquelle son rapport a été entendu. Les moyens tirés de ce que la délibération attaquée serait intervenue au terme d'une procédure irrégulière doivent, par suite, être écartés.
Sur le bien-fondé de la délibération attaquée :
En ce qui concerne la qualité de responsable du traitement et la compétence de la Commission nationale de l'informatique et des libertés :
4. D'une part, il résulte du premier paragraphe de l'article 3 du A... que ce règlement s'applique aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union. En vertu, par ailleurs, des dispositions du I de l'article 8 de la loi du 6 janvier 1978, la CNIL est l'autorité de contrôle nationale française au sens et pour l'application du A....
5. D'autre part, aux termes du 2. de l'article 4 du A... : la notion de "traitement" s'applique à " toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ". En vertu du 7. du même article 4, la notion de " responsable de traitement " désigne, notamment, la personne physique ou morale qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. Selon l'interprétation donnée par la Cour de justice de l'Union européenne, une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et participe de ce fait à la détermination des finalités et des moyens de ce traitement, peut être considérée comme étant responsable du traitement au sens de ces dispositions.
6. Il résulte de l'instruction que la société SAF Logistics a pris l'initiative de diffuser largement auprès de ses salariés un formulaire qui lui avait été transmis par sa mère chinoise en réponse à sa demande d'informations sur le processus à suivre par les candidats à un poste en Chine au sein du groupe, et qu'elle a conservé les formulaires remplis jusqu'à ce qu'elle décide de les détruire à l'occasion de la procédure de contrôle. Une telle opération présente le caractère d'un traitement au sens du 2. de l'article 4 du A.... Dans les circonstances de l'espèce, la société requérante dont, par ailleurs, il ne résulte pas de l'instruction qu'elle avait la qualité de sous-traitant au sens de l'article 28 du A..., doit être regardée comme le responsable de ce traitement, d'une part, eu égard à la part déterminante qu'elle a prise dans la définition de ses modalités et, d'autre part, compte tenu de la réponse que ce traitement apportait, ainsi que la délibération attaquée l'a retenu, à ses propres finalités consistant en particulier à identifier les salariés potentiellement intéressés par un départ en Chine. Par suite, et alors même que le formulaire, que la société SAF Logistics a choisi d'utiliser sans le modifier, a été, à l'origine, conçu intégralement par sa société mère pour ses besoins propres, la CNIL, qui était compétente pour exercer le contrôle d'un traitement de données personnelles situé en France et soumis au A..., a fait une exacte application des dispositions citées au point 5 en qualifiant la société SAF Logistics de responsable de ce traitement.
En ce qui concerne les manquements contestés :
7. En premier lieu, en vertu du principe dit de " minimisation des données " mentionné au c) du 1. de l'article 5 du A..., les données à caractère personnel collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
8. Il résulte de l'instruction que le formulaire diffusé auprès des salariés a notamment permis la collecte des noms, prénoms, date de naissance, sexe, situation maritale, numéro de téléphone, employeur et fonction de leurs conjoints, parents, frères, sœurs et enfants. Si, dans sa lettre du 9 septembre 2020 adressée à la CNIL, la société requérante a indiqué que ces données étaient utiles pour permettre de contacter les proches des salariés en cas d'urgence, leur collecte excède toutefois ce qui est nécessaire à un tel objectif ainsi d'ailleurs qu'à l'identification des salariés potentiellement intéressés par un départ en Chine, également mentionnée comme objectif du traitement par la société requérante. Par suite, celle-ci n'est pas fondée à soutenir que la Commission aurait fait une inexacte application des dispositions relatives au principe de minimisation des données en les regardant comme méconnues en l'espèce.
9. En deuxième lieu, le 11. de l'article 4 du A... définit le " consentement " comme " toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ". En vertu du 4. de l'article 7 de ce règlement : " Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat ". Aux termes de l'article 9 du même règlement, relatif aux traitements portant sur des catégories particulières de données à caractère personnel : " 1. Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. / 2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie : / a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée (...) ".
10. Il est constant que le formulaire litigieux prévoit l'obligation de donner des informations qui, étant notamment relatives à l'appartenance ethnique ou à l'affiliation politique des salariés, constituent des catégories particulières de données dont l'article 9 du A... interdit le traitement sans le consentement explicite et librement donné des personnes concernées. Or, il résulte de l'instruction, d'une part, que le formulaire, dont les rubriques relatives à ces données personnelles particulières sont marquées d'un astérisque signifiant qu'elles doivent être renseignées, ne peut être regardé comme offrant le choix de consentir ou non au traitement de ces données. D'autre part, les salariés de l'entreprise qui, en vue d'une mutation en Chine, doivent remplir ce formulaire rédigé en termes impératifs et diffusé par leur employeur, doivent être regardés comme se trouvant dans une situation de déséquilibre manifeste vis-à-vis de ce dernier, responsable du traitement de données. Par suite, la société SAF Logistics, qui ne peut utilement invoquer le 4. de l'article 7 du A... s'agissant du traitement de catégories particulières de données relevant de l'article 9 de ce règlement, n'est pas fondée à soutenir que la CNIL aurait fait une inexacte application des dispositions citées au point précédent en retenant que la seule circonstance que les salariés aient rempli le formulaire litigieux ne saurait être assimilée à un consentement explicite librement donné par eux, au sens du A....
11. En troisième lieu, il résulte des dispositions des articles 31 du A... et 18 de la loi du 6 janvier 1978 que les dirigeants d'entreprises privées et les responsables de traitement ont le devoir de coopérer avec la CNIL. A ce titre, et sous réserve des secrets mentionnés au III de l'article 19 de la loi du 6 janvier 1978, ils doivent en particulier répondre avec diligence, aux demandes de communication de toute information ou document que la Commission leur adresse, pour l'accomplissement de sa mission, en vertu de ses pouvoirs d'enquête.
12. Il résulte de l'instruction, d'une part, que la société SAF Logistics s'est abstenue, sans justification valable, de communiquer à la CNIL, en dépit de ses demandes répétées, la traduction complète et fiable du formulaire litigieux et, ainsi que la Commission a pu le vérifier en ayant recours à un traducteur tiers, que les omissions constatées portaient sur des rubriques de données particulières au sens de l'article 9 du A... relatives notamment à l'appartenance ethnique et à l'affiliation politique des salariés. Il résulte, d'autre part, de l'instruction que la société requérante a continué d'envoyer à des salariés de l'entreprise ce formulaire par l'intermédiaire d'une messagerie WeChat le 18 novembre 2020 alors qu'elle avait indiqué à la Commission avoir cessé de le faire dans sa lettre du 13 août 2020. Par conséquent, la société SAF Logistics n'est pas fondée à soutenir que la CNIL aurait fait une inexacte application des dispositions de l'article 31 du A... en retenant qu'elle avait manqué à son devoir de coopération.
En ce qui concerne la sanction infligée :
13. En vertu du 7° du IV de l'article 20 de la loi du 6 janvier 1978, la formation restreinte de la CNIL prend en compte, pour prononcer une amende administrative à l'encontre d'un responsable de traitement qui ne respecte pas les obligations résultant du A..., les critères précisés à l'article 83 de ce règlement, lequel prévoit que les amendes administratives imposées par les autorités de contrôle nationales doivent, dans chaque cas, être "effectives, proportionnées et dissuasives ". Pour la fixation de l'amende, qui ne peut, conformément au 5. de l'article 83 du A..., excéder, en cas de manquement aux articles 5 et 9 du même règlement, la somme de 20 millions d'euros ou, s'agissant d'une entreprise et si ce montant est supérieur, 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, doivent, notamment, être pris en considération: " a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ; / (...) / f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ; / g) les catégories de données à caractère personnel concernées par la violation ; / (...) ".
14. En outre, aux termes du deuxième alinéa de l'article 22 de la loi du 6 janvier 1978 : " La formation restreinte peut rendre publiques les mesures qu'elle prend. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu'elle désigne, aux frais des personnes sanctionnées ".
15. Il ne résulte pas de l'instruction, contrairement à ce qui est soutenu, que l'amende de 200 000 euros prononcée à l'encontre de la société SAF Logistics, qui appartient à un groupe international, dont le montant représente 0,95 % du chiffre d'affaires de 21 millions d'euros qu'elle a réalisé en 2022, excéderait ses capacités contributives, et ce, en dépit d'un chiffre d'affaires en baisse de 24 % par rapport à celui de l'année 2021 et d'un résultat négatif de 260 583 euros, ou que le paiement de cette amende menacerait sa viabilité économique. Par conséquent, et eu égard au nombre, à la nature et à la gravité des manquements constatés, la société SAF Logistics n'est pas fondée à soutenir que la formation restreinte de la CNIL lui a infligé une sanction disproportionnée en prononçant à son encontre cette amende assortie, pour en assurer le caractère dissuasif, d'une sanction complémentaire consistant en la publication de la délibération attaquée pendant une durée de deux ans avant son anonymisation.
16. Il résulte de tout ce qui précède que la société SAF Logistics n'est pas fondée à demander l'annulation de la délibération de la formation restreinte de la CNIL qu'elle attaque.
17. Les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce qu'une somme soit mise à ce titre à la charge de la CNIL, qui n'est pas, dans la présente instance, la partie perdante.
D E C I D E :
Article 1er : La requête de la société SAF Logistics est rejetée.
Article 2 : La présente décision sera notifiée à la société SAF Logistics et à la Commission nationale de l'informatique et des libertés.
