ePrivacy and GPDR Cookie Consent by Cookie Consent

Données personnelles : qui est recevable à saisir la CNIL ?

Actu Tribunal administratif/ Procédure administrative publiée le 28/04 2025

Séparateur déco
Le Conseil d’État répond dans un arrêt du 20 février 2025, n°493843.
 

Le contexte :

En février 2025, le Conseil d’État a été amené à répondre à une question simple en apparence, mais fondamentale : qui est recevable à saisir la CNIL dès lors qu’un traitement de données à caractère personnel est susceptible de contrevenir à la réglementation applicable, à savoir la loi Informatique et Libertés et au RGPD ?


Le 18 août 2024, le conseiller des Français de l’étranger pour la 2ème circonscription de l’Algérie avait déposé une plainte auprès de la CNIL. En effet, il contestait la pratique du consulat de France à Annaba et Constantine, tendant à demander aux parents, souhaitant déclarer une naissance, la communication de documents de suivi de grossesse au titre de pièces complémentaires. Le conseiller des Français soutenait, à l’occasion de sa plainte, que cette collecte de données sensibles était contraire au principe de minimisation des données, et que l’atteinte à la vie privée était disproportionnée par rapport au but poursuivi.

Cependant, la CNIL a clôturé la plainte après avoir considéré :
 
  • que la collecte des données liées au suivi de la grossesse était pertinente dans le cadre de la finalité poursuivie par le traitement ainsi mis en œuvre, à savoir la lutte contre la fraude, 
  • et que ces données sensibles bénéficiaient d’un traitement présentant les garanties exigées par la réglementation, puisque consultées sur place en présence du déclarant.
Le Conseiller éconduit a alors saisi le Conseil d’état d’un recours pour excès de pouvoir à l’encontre de la décision de la Cnil ayant rejeté sa plainte, pour en obtenir l’annulation.

Le Conseil d’État a rejeté le recours considérant que le requérant ne justifiait pas d’un intérêt, comme n’étant pas une personne concernée par le traitement.

L’on peut regretter que le Conseil d’État ne se soit pas prononcé sur le fond de l’affaire, et se soit contenté de s’interroger sur l’éventuelle recevabilité du recours pour excès de pouvoir présenté par une personne ne pouvant être considérée comme concernée par le traitement litigieux, ni mandatée par une personne concernée. 

En toute hypothèse, la réponse du Conseil d’Etat est claire, au visa de l’article 8 de la Loi informatique et libertés et de l’article 77 du RGPD : seules les personnes concernées sont recevables à saisir la CNIL d’une réclamation, pétition ou plainte. Elles peuvent agir seules ou donner mandat de représentation à une association ou un organisme pour le faire. La CNIL ne peut donc être saisie pour la défense de l’intérêt général.

Un élu, un organisme, ou même une association engagée dans la défense de la vie privée ne peuvent donc agir seuls, sauf à prouver qu’ils sont personnellement concernés par le traitement litigieux, ou qu’ils sont mandatés en ce sens par des personnes concernées.

Le Conseil d’État confirme une lecture et une application stricte de la Loi informatique et libertés que l’on peut résumer ainsi, en France, seules les personnes concernées peuvent saisir la CNIL dès lors qu’elles estiment que leurs données font l’objet d’un traitement non conforme.

La CNIL ne peut donc, en l’état, défendre l’intérêt général qu’à l’occasion de ses missions de consultation. Le Conseil d’État, fidèle à sa jurisprudence, vient rappeler que le droit à la protection des données est un droit personnel, et que l’intérêt à agir doit être direct et certain. 

Cet arrêt illustre le fait que la France ne s’est pas emparée de la faculté offerte par l’article 80 alinéa 2 du RGPD. Cette disposition permet aux Etats- membres d’intégrer dans leur législation nationale la possibilité que certains organismes, organisations ou associations puissent introduire une réclamation devant l’autorité de contrôle de cet Etat membre, indépendamment de tout mandat confié par une personne concernée, s'ils ont des raisons de considérer que les droits d'une personne concernée ont été violés du fait d’un traitement de données à caractère personnel réalisé en méconnaissance du RGPD. 

Cette action est différente de l’action de groupe prévue aux articles 77 et 79, et l’intégrer dans le droit positif français aurait permis de saisir aisément la CNIL de recours permettant de préserver l’intérêt général en sanctionnant, en amont, des pratiques illégales susceptibles de porter atteinte au plus grand nombre. 


Cet article n'engage que son auteur.
https://www.eurojuris.fr/medias/org-224/shared/donnees-personnelles-saisine-cnil.jpg