Requête 2405754 déposée au Tribunal administratif de Paris le 11 mars 2024 concernant l’accompagnement de la CNIL auprès de la société VALIUZ
TRIBUNAL ADMINISTRATIF DE PARIS
REQUÊTE
POUR : M. Morgan Schmiedt, demeurant [RETIRÉ]
CONTRE : La décision de la Commission nationale de l’informatique et des libertés (CNIL) de rejeter la demande de M. Schmiedt de lui communiquer les documents administratifs relatifs à l’accompagnement de la société Valiuz.
L’exposant défère la décision susvisée à la censure du tribunal administratif de Paris et en requière l’annulation en tous les chefs lui faisant grief, par la présente requête.
Présentation :
CADA – CNIL – Accompagnements « sectoriel » et « renforcé » de la CNIL sur le fondement du e) de l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – Article 10 de la CESDH
Table des matières
FAITS
DISCUSSION
Sur l’illégalité des décisions attaquées
En ce qui concerne l’illégalité interne des décisions attaquées
En ce qui concerne l’illégalité externe des décisions attaquées
Sur les mesures d’exécution qu’implique le jugement à venir
PAR CES MOTIFS
FAITS
1. M. Morgan Schmiedt, exposant, est ingénieur en informatique. Il s’intéresse tout particulièrement au fonctionnement d’Internet et aux questions relatives à la protection des données. Par ailleurs, il édite un site Web – www.ewatchers.org – dont l’objectif est notamment « d’informer sur les thématiques de la protection des données et de la cybersécurité ».
2. A la suite de la constatation d’un traitement de données douteux sur le site Web de la société Boulanger – www.boulanger.com – faisant état d’échanges de données à caractère personnel avec des sociétés tierces, notamment la société Valiuz, l’exposant a questionné la société Boulanger par courriel afin d’obtenir des renseignements.
3. En l’absence d’une réponse satisfaisante de la part du délégué à la protection des données de la société Boulanger, il a déposé, le 23 février 2022, une plainte auprès de la CNIL, afin de demander notamment que la société Boulanger fournisse une information claire et compréhensible, qu’elle s’assure d’obtenir le consentement des visiteurs préalablement à tout traitement de leurs données à caractère personnel à des fins de publicité ciblée, et qu’elle informe ses clients que leurs données ont été divulguées à des sociétés tierces sans leur consentement préalable. Cette plainte a été enregistrée par la CNIL sous le n° 28-6897 (cf. pièce n° 1).
4. Dès le 13 avril suivant, la CNIL a clôturé cette plainte en indiquant qu’« il est apparu que le traitement visé […] fait l’objet d’échanges et de travaux entre la société BOULANGER et la Direction de l’accompagnement juridique de la CNIL », que « la société BOULANGER a, avant la date de dépôt de [la] plainte, initié une démarche d’accompagnement dans la mise en place de ce traitement », et enfin que « ces travaux [d’accompagnement] sont toujours en cours au sein de la CNIL et ceux-ci peuvent conduire à des évolutions des caractéristiques fondamentales du traitement objet de votre plainte » (cf. pièce n° 2).
5. Par courriel du 2 juin 2023, l’exposant a demandé à la CNIL de lui communiquer une copie des documents encadrant ces travaux d’accompagnement. La CNIL lui a répondu le 7 juillet 2023 que ces travaux d’accompagnement n’étaient en réalité, pas réalisés auprès de la société Boulanger, mais « directement auprès de la société VALIUZ » et que « les modalités de cet accompagnement s’inscrivent dans le cadre de la charte destinée aux professionnels, publiée le 12 février 2021 et accessible à l’adresse suivante https://www.cnil.fr/sites/cnil/files/atoms/files/charte_accompagnement_des_profes sionnels.pdf » (cf. pièce n° 3).
6. Par courriel du 11 octobre 2023, l’exposant a exercé son droit d’accès à des documents administratifs détenus par la CNIL et a demandé notamment à celle- ci de lui communiquer « une copie de tous les documents relatifs à cet accompagnement de la CNIL auprès de la société VALIUZ […], notamment l’éventuelle demande de conseil de la société VALIUZ auprès de la CNIL, ainsi que ses annexes ; les échanges écrits entre la société VALIUZ et la CNIL, ainsi que les documents échangés ; les notes ou rapports rédigés par la CNIL ou pour le compte de la CNIL concernant l’accompagnement de la Commission auprès de la société VALIUZ ou les traitements de données de la société VALIUZ ; et les comptes rendus des réunions ou échanges auxquels ont participé la CNIL et des employés, conseillés ou représentants de la société VALIUZ » (cf. pièce n° 4).
7. La CNIL a accusé réception de cette demande le 13 octobre suivant. Le silence gardé par la suite par celle-ci à laisser naître une décision implicite de rejet le 11 novembre suivant (cf. pièce n° 5).
8. L’exposant s’est ainsi retrouvé contraint de saisir la Commission d’accès aux documents administratifs (CADA), et en a informé la CNIL par courriel du 13 novembre 2023.
9. Par courriel du 13 décembre 2023 (cf. pièce n° 8), la CNIL a communiqué deux documents relatifs à son accompagnement auprès de la société Valiuz : d’une part, le courrier adressé à la CNIL le 8 septembre 2021 par cette société et ayant pour objet une « demande d’accompagnement sectoriel » (cf. pièce n° 6) ; d’autre part, une « présentation générale » des activités de la société Valiuz (cf. pièce n° 7).
10. La communication de ces deux documents était accompagnée d’un courrier de la CNIL précisant que « certains des documents sollicités comportent des mentions dont nous estimons qu’elles doivent être occultées » et que « l’analyse d’impact relative à la protection des données (AIPD) transmise à la CNIL comporte également des mentions relevant du secret des affaires qu’il n’est pas possible d’occulter sans la rendre inintelligible, et la priver de tout intérêt » (cf. pièce n° 8).
11. Cette communication ne répondant que très partiellement à la demande de l’exposant, celui-ci a informé la CADA et la CNIL que sa demande était maintenue (cf. pièce n° 9).
12. Par avis n° 20236826 du 14 décembre 2023 (cf. pièce n° 10), la CADA a émis un avis partiellement favorable, sous certaines réserves :
« Monsieur Morgan SCHMIEDT a saisi la Commission d’accès aux documents administratifs, par courrier enregistré à son secrétariat le 13 novembre 2023, à la suite du refus opposé par la présidente de la Commission nationale de l’informatique et des libertés (CNIL) à sa demande de communication des documents relatifs à l’« accompagnement » effectué par la CNIL auprès de la société VALIUZ, à la suite d’une plainte relative aux traitements de données effectués par la société BOULANGER, notamment : 1) la demande de conseil de la société VALIUZ auprès de la CNIL, ainsi que ses annexes ; 2) les échanges écrits entre la société VALIUZ et la CNIL, ainsi que les documents échangés ; 3) les notes ou rapports rédigés par la CNIL ou pour le compte de la CNIL concernant l’accompagnement de la Commission auprès de la société VALIUZ ou les traitements de données de la société VALIUZ ; 4) les comptes rendus des réunions ou échanges auxquels ont participé la CNIL et des employés, conseillés ou représentants de la société VALIUZ.
La commission, qui a pris connaissance de la réponse exprimée par la présidente de la CNIL, rappelle que les documents produits et reçus par la CNIL dans le cadre de ses missions de service public sont des documents administratifs soumis au droit d’accès prévu par le livre III du code des relations entre le public et l’administration. Tel est le cas des dossiers relatifs aux plaintes que la CNIL reçoit dans le cadre de la mission prévue au d) du 2° de l’article 8 de la loi du 6 janvier 1978, à l’exclusion, d’une part, des pièces échangées avec l’autorité judiciaire et les juridictions dans le cadre des dispositions du e) et du f) du même 2° de l’article 8 et de l’article 41 de cette loi, qui revêtent un caractère judiciaire, et, d’autre part, des documents dont la communication est régie exclusivement par la loi du 6 janvier 1978, en particulier de ceux qui sont adressés par les responsables de traitement dans le cadre des procédures d’autorisation et de déclaration, qui ne sont pas soumis au droit d’accès prévu par le livre III du code des relations entre le public et l’administration.
En revanche, les documents adressés à la CNIL ou émis par cette dernière dans le cadre de la mission de conseil aux personnes et organismes définie au e) de l’article 8 de la loi du 6 janvier 1978, aux termes duquel la CNIL « conseille les personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel » sont soumis au droit d’accès prévu par le livre III du code des relations entre le public et l’administration.
En l’espèce, la commission comprend de la réponse qui lui a été adressée par la présidente de la CNIL que la société VALIUZ, spécialisée dans le traitement des données personnelles, a bénéficié de la part de la CNIL, d’une part, d’un accompagnement dit « sectoriel » en 2021 dans le cadre de la mission de conseil rappelée ci-dessus. Elle comprend que la société a sollicité, d’autre part, en 2023, un accompagnement dit « renforcé », qui lui a été refusé par décision de la CNIL du 4 mai 2023. Elle observe que, dès lors que cette seconde demande d’accompagnement a été définitivement rejetée, les documents reçus par la CNIL à cette occasion ne revêtent plus un caractère préparatoire et qu’ils sont donc communicables, au même titre que les documents relatifs à l’accompagnement dont a bénéficié la société en 2021, sous les réserves rappelées ci-dessous.
A cet égard, la commission relève, à titre liminaire, que la présidente de la CNIL lui a indiqué que la demande d’accompagnement dont a bénéficié la société VALIUZ en 2021 ainsi que la présentation générale de cette société annexée à cette demande ont été communiquées à Monsieur SCHMIEDT, occultées des mentions couvertes par le secret des affaires, par courrier du 13 décembre 2023.
La commission ne peut donc, dans cette mesure, que déclarer sans objet la demande d’avis.
En ce qui concerne le surplus, la commission estime que les documents sollicités, relatifs tant à l’accompagnement sectoriel dont a bénéficié la société VALIUZ en 2021 qu’à l’accompagnement renforcé sollicité en 2023, sont communicables à toute personne qui en fait la demande en application de l’article L311-1 du code des relations entre le public et l’administration dans le respect des secrets protégés par les articles L311-5 et L311-6 de ce code, notamment le secret de la vie privée et le secret des affaires, et par suite, après occultation des mentions relevant de ces derniers ou disjonction des documents qui en relèveraient entièrement en application des dispositions de l’article L311-7 dudit code. Elle relève qu’en application de cet article, la CNIL est fondée à refuser la communication d’un document dans son entier lorsque l’occultation partielle priverait ce document de son intelligibilité (CE, 25 mai 1990, Lebon T. 780) ou de son sens (CE, 4 janv. 1995, req. n°117750), ou la communication de tout intérêt (CE, 26 mai 2014, req. n° 342339).
A cet égard, elle relève, en premier lieu, que la présidente de la CNIL s’oppose à la communication du compte rendu de la première réunion du 19 octobre 2021 entre la CNIL et la société VALIUZ, en se prévalant de son caractère inachevé. La commission rappelle qu’aux termes de l’article L300-2 du code des relations entre le public et l’administration : « Sont considérés comme documents administratifs, (…), quels que soient leur date, leur lieu de conservation, leur forme et leur support, les documents produits ou reçus, dans le cadre de leur mission de service public, par l’État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d’une telle mission ». Elle considère que tout ensemble cohérent d’informations, quels que soient sa forme et son support, répond à la définition d’un document administratif au sens de ces dispositions. Il peut ainsi s’agir d’écrits, dactylographiés et manuscrits, d’enregistrements audio et vidéo, de photographies, de radiographies, de fichiers informatiques, de bases de données, de courriers électroniques.
La commission précise, par ailleurs, qu’en vertu de l’article L311-2 de ce code, le droit à communication ne s’applique qu’à des documents achevés. Elle estime qu’il y a lieu de prendre en compte, pour apprécier si un document est achevé, sa cohérence et son intelligibilité, ainsi que sa finalité. Elle estime, en particulier, que les documents consistant en de simples notes informelles prises à titre d’aide-mémoire, inachevées en la forme, ne sont pas communicables sur le fondement du titre Ier du livre III du même code, s’ils ont été suivis de documents qui peuvent être considérés comme achevés.
En l’espèce, la commission, qui a pris connaissance du compte rendu sollicité, constate que ce document se résume à des notes prises de manière informelle ne présentant aucune cohérence et intelligibilité. Elle estime que ces notes ne répondent pas à la définition d’un document administratif achevé en la forme, au sens du code des relations entre le public et l’administration. La commission considère en conséquence que ce document n’est pas communicable sur le fondement du titre Ier du livre III du code des relations entre le public et l’administration. Elle émet donc un avis défavorable sur ce point.
Elle rappelle, en second lieu, qu’elle a déduit des dispositions des article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qu’une analyse d’impact relative à la protection des données (AIPD), portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constituait un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (avis n° 20183041du 8 novembre 2018).
En l’espèce, il ne lui apparaît pas que l’occultation des mentions relevant du secret des affaires que comporte l’AIPD transmise par la société VALIUZ à la CNIL en octobre 2021, dont elle a pu prendre connaissance, aurait Pour effet de rendre ce document inintelligible. Elle estime, par suite, que ce document est également communicable dans les conditions précédemment rappelées.
La commission émet donc, sous les réserves précitées, un avis favorable sur le surplus de la demande. »
13. En l’absence de décision expresse de confirmation de refus de communication, une décision implicite de confirmation du refus de communication opposé par l’administration est née, en application des dispositions des articles R. 343-4 et R. 343-5 du code des relations entre le public et l’administration, deux mois après la date à laquelle la CADA a enregistré la demande d’avis dont elle a été saisie par le demandeur, à savoir, en l’espèce, le 13 janvier 2024.
14. C’est la première décision attaquée, étant précisé que les voies et délais de recours n’ont jamais été notifiés à l’exposant, en sorte que le délai de recours à l’encontre de cette décision n’a jamais commencé à courir.
15. Par courriel du 30 janvier 2024, l’exposant a demandé à la CADA de bien vouloir lui indiquer si la CNIL l’avait informé de sa décision de se conformer ou non à son avis. La CADA lui a répondu le même jour que la CNIL ne l’avait pas informé des suites qu’elle entendait donner à sa demande.
16. Parallèlement, par courriel du même jour, l’exposant a demandé à la CNIL de bien vouloir lui communiquer les documents demandés ou, à tout le moins, de l’informer de sa décision de ne pas se conformer à l’avis de la CADA. La CNIL lui a répondu le même jour qu’elle était en train d’instruire sa demande au regard de l’avis de la CADA.
17. Par courriel du 2 février 2024 (cf. pièce n° 13), la CNIL a communiqué à l’exposant deux documents : d’une part, un courrier de la société Valiuz, daté du 3 avril 2023, intitulé « Candidature à l’offre d’accompagnement renforcé » (cf. pièce n° 11) ; d’autre part, un tableau (Excel) contenant l’analyse d’impact relative à la protection des données (AIPD), qui a été préalablement expurgée de certaines mentions (cf. pièce n° 12). Cette communication était accompagnée d’un courrier de la CNIL précisant, d’une part, que le document de l’AIPD correspondait au document transmis à la CNIL « dans le cadre de la candidature de la société VALIUZ à l’accompagnement renforcé en 2023 » et, d’autre part, que « le droit à communication ne s’appliquant qu’à des documents achevés […], les versions successives de l’AIPD transmises par cette société dans le cadre de la démarche d’accompagnement qu’elle a initiée ne sont pas communicables en l’état » (cf. pièce n° 13). Là encore, cette communication n’a pas fait droit à l’ensemble de la demande de communication de l’exposant, matérialisant ainsi la décision de maintenir le refus de communication pour le surplus de la demande, c’est-à-dire tant les mentions ayant fait l’objet d’une occultation que les autres documents administratifs dont la communication était sollicitée.
18. C’est la seconde décision attaquée.
DISCUSSION
Sur l’illégalité des décisions attaquées
En ce qui concerne l’illégalité interne des décisions attaquées
19. En premier lieu, en refusant de communiquer les documents administratifs détenus par la CNIL et relatifs à son « accompagnement » auprès de la société Valiuz, notamment les échanges écrits entre la CNIL et cette société, les notes ou rapports rédigés par la CNIL ou pour son compte concernant cet accompagnement ou les traitements de données de la société Valiuz, ainsi que les comptes-rendus des réunions ou échanges auxquels ont participé la CNIL et des personnes travaillant pour le compte de la société, la CNIL a commis une erreur manifeste d’appréciation et une erreur de droit, en méconnaissant notamment les dispositions du 1er alinéa de l’article L. 300-2 et des articles L. 311-1, L. 311-2 et L. 311-6 du code des relations entre le public et l’administration, ainsi que de l’article 10 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.
20. Aux termes de l’article 15 de la Déclaration de 1789 :
« La société a le droit de demander compte à tout agent public de son administration. »
21. Est garanti, par cette disposition, le droit d’accès aux documents administratifs. Si des limitations peuvent être apportées à ce droit, celles-ci doivent, d’une part, être liées à des exigences constitutionnelles ou justifiées par l’intérêt général et, d’autre part, ne pas engendrer d’atteintes disproportionnées à ce droit au regard de l’objectif poursuivi (cf. Cons. const., 3 avril 2020, UNEF [Communicabilité et publicité des algorithmes mis en œuvre par les établissements d’enseignement supérieur pour l’examen des demandes d’inscription en premier cycle], n° 2020-834 QPC, pt. 8).
22. Aux termes de l’article L. 300-1 du code des relations entre le public et l’administration (CRPA) :
« Le droit de toute personne à l’information est précisé et garanti par les dispositions des titres Ier, III et IV du présent livre en ce qui concerne la liberté d’accès aux documents administratifs. »
23. Le 1er alinéa de l’article L. 300-2 de ce code précise que :
« Sont considérés comme documents administratifs, au sens des titres Ier, III et IV du présent livre, quels que soient leur date, leur lieu de conservation, leur forme et leur support, les documents produits ou reçus, dans le cadre de leur mission de service public, par l’État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d’une telle mission. Constituent de tels documents notamment les dossiers, rapports, études, comptes rendus, procès- verbaux, statistiques, instructions, circulaires, notes et réponses ministérielles, correspondances, avis, prévisions, codes sources et décisions. (…) »
24. L’article L. 311-1 du même code dispose que :
« Sous réserve des dispositions des articles L. 311-5 et L. 311-6, les administrations mentionnées à l’article L. 300-2 sont tenues de publier en ligne ou de communiquer les documents administratifs qu’elles détiennent aux personnes qui en font la demande, dans les conditions prévues par le présent livre. »
25. Les documents produits ou reçus par des agents d’une administration dans le cadre de leurs activités de recherche et de constatation des manquements à des dispositions qui sont susceptibles de donner lieu à des sanctions administratives, ou dans le cadre des contrôles administratifs que ces agents sont susceptibles de diligenter, revêtent le caractère de document administratif, quand bien même ils seraient par la suite transmis à une juridiction (cf. CE, 6 décembre 2023, n° 470726 : s’agissant des agents de la concurrence, de la consommation et de la répression des fraudes (CCRF) ; CE, 6 décembre 2023, n° 468626 : s’agissant des documents produits par les agents de police municipale dans l’exercice de leur mission de service public, notamment ceux par lesquels ils rendent compte des opérations de police administrative qu’ils effectuent, de leur propre initiative ou à la suite d’un signalement, à des fins de prévention et de surveillance du bon ordre, de la tranquillité, de la sécurité et de la salubrité publiques, sur le fondement de l’article L. 511-1 du code de la sécurité intérieure, quand bien même ils seraient par la suite transmis à une juridiction). Il en va a fortiori de même s’agissant des documents produits ou reçus par des agents d’une administration ou d’une autorité administrative indépendante, dans le cadre de ses activités de conseil ou d’accompagnement, notamment l’activité de conseil qui incombe à la CNIL en vertu du e) de l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
26. Si le code des relations entre le public et l’administration n’impose pas à l’administration d’élaborer un document dont elle ne disposerait pas pour faire droit à une demande de communication, des documents qui peuvent être établis par extraction des bases de données dont l’administration dispose constituent des documents administratifs communicables si cela ne fait pas peser sur elle une charge de travail déraisonnable (cf. CE, 13 novembre 2020, Solona, n° 432832, Rec. T. p. 747 ; v. également, dans une logique similaire : CJUE, 11 janvier 2017, Typke c/ Commission, n° C-491/15). Autrement dit, « un document administratif peut ne pas exister matériellement mais seulement virtuellement, dès lors qu’il peut être constitué par l’administration à l’aide d’un traitement » (conclusions de M. Laurent Domingo sur la décision n° 432832).
27. Aux termes du 1° de l’article L. 311-6 du code des relations entre le public et l’administration :
« Ne sont communicables qu’à l’intéressé les documents administratifs :
1° Dont la communication porterait atteinte (...) au secret des affaires, lequel comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles et est apprécié en tenant compte, le cas échéant, du fait que la mission de service public de l’administration mentionnée au premier alinéa de l’article L. 300-2 est soumise à la concurrence (...) »
28. Le « secret des affaires » est défini par l’article L. 151-1 du code de commerce, qui dispose que :
« Est protégée au titre du secret des affaires toute information répondant aux critères suivants :
1° Elle n’est pas, en elle-même ou dans la configuration et l’assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d’informations en raison de leur secteur d’activité ;
2° Elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret ;
3° Elle fait l’objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret. »
29. Ne porte pas atteinte au secret en matière commerciale et industrielle, la divulgation des statistiques relatives au taux de réussite à l’examen du permis de conduire pour chacune des auto-écoles d’un département (cf. CE, 3 juillet 2022, n° 157402), de documents contractuels passés entre une société et l’Etat, ainsi que leurs annexes qui ne comportent aucune indication relevant de ce secret (cf. CE, 3 février 1992, Société Sécuripost et Ministre des Postes, n° 118563, 118565, Rec. p. 50), d’un état récapitulatif des objets recommandés déposés sans affranchissement traités par une direction départementale des postes (cf. CE, 13 novembre 1992, Bertin, n° 59058), de la convention et du protocole financier passés entre le ministre des PTT et la société française de messages internationales, filiales de La Poste (cf. CE, 3 février 1993, Ministre des postes des télécommunications et de l’espace, n° 120579, Rec. p. 49), ou encore de la liste des dispositifs médicaux qui ont été mis sur le marché après que le marquage « CE » leur a été refusé, en France, mais leur a été délivré par un autre organisme d’évaluation au sein de l’Union européenne ou de l’Espace économique européen (cf. CE, 8 avril 2022, Société éditrice du Monde, n° 447701, pt. 8).
30. Par ailleurs, aux termes de l’article 10 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales :
« 1. Toute personne a droit à la liberté d’expression. Ce droit comprend la liberté d’opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorités publiques et sans considération de frontière. Le présent article n’empêche pas les États de soumettre les entreprises de radiodiffusion, de cinéma ou de télévision à un régime d’autorisations.
2. L’exercice de ces libertés comportant des devoirs et des responsabilités peut être soumis à certaines formalités, conditions, restrictions ou sanctions prévues par la loi, qui constituent des mesures nécessaires, dans une société démocratique, à la sécurité nationale, à l’intégrité territoriale ou à la sûreté publique, à la défense de l’ordre et à la prévention du crime, à la protection de la santé ou de la morale, à la protection de la réputation ou des droits d’autrui, pour empêcher la divulgation d’informations confidentielles ou pour garantir l’autorité et l’impartialité du pouvoir judiciaire. »
31. Si ces stipulations n’accordent pas un droit d’accès à toutes les informations détenues par une autorité publique ni n’obligent l’Etat à les communiquer, il peut en résulter un droit d’accès à des informations détenues par une autorité publique lorsque l’accès à ces informations est déterminant pour l’exercice du droit à la liberté d’expression et, en particulier, à la liberté de recevoir et de communiquer des informations, selon la nature des informations demandées, de leur disponibilité, du but poursuivi par le demandeur et de son rôle dans la réception et la communication au public d’informations. Dans cette hypothèse, le refus de fournir les informations demandées constitue une ingérence dans l’exercice du droit à la liberté d’expression qui, pour être justifiée, doit être prévue par la loi, poursuivre un des buts légitimes mentionnés au point 2 de l’article 10 et être strictement nécessaire et proportionnée (cf. CE, 3 juin 2020, Associations « Pouvoir citoyen » et Les Effronté-e-s », n° 421615, Rec. T. pp. 739-746, pt. 4 in fine ; CE, 8 avril 2022, Société éditrice du Monde, n° 447701, pt. 14).
32. Enfin, lorsque la demande porte sur un document comportant des mentions qui ne sont pas communicables en application des articles L. 311-5 et L. 311-6 du code des relations entre le public et l’administration, mais qu’il est possible d’occulter ou de disjoindre, le document est communiqué au demandeur après occultation ou disjonction de ces mentions (cf. article L. 311-7 du code des relations entre le public et l’administration).
33. En outre, la CNIL a notamment pour mission de « conseille[r] les personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel » selon le e) de l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
34. Les documents produits et reçus par la CNIL dans le cadre de ses missions de service public, dont fait partie le conseil, constituent donc des documents administratifs soumis au droit d’accès prévu par le livre III du code des relations entre le public et l’administration.
35. Dans la « Charte d’accompagnement des professionnels »[1] de février 2021 et celle de février 2023, la CNIL confirme le caractère communicable des documents traités dans le cadre de ses prestations de conseil : « Néanmoins, comme tout document administratif, les réponses aux demandes de conseil sont en principe communicables au public au sens de la loi du 17 juillet 1978 mais il est précisé que « les tiers ne peuvent pas accéder aux informations couvertes par le secret industriel et commercial » ».
36. En l’espèce, dans son avis n° 20236826 du 14 décembre 2023, la CADA a également confirmé le caractère communicable des documents traités par la CNIL dans le cadre de ses missions de service public : « la commission, qui a pris connaissance de la réponse exprimée par la présidente de la CNIL, rappelle que les documents produits et reçus par la CNIL dans le cadre de ses missions de service public sont des documents administratifs soumis au droit d’accès prévu par le livre III du code des relations entre le public et l’administration », en précisant que « les documents adressés à la CNIL ou émis par cette dernière dans le cadre de la mission de conseil aux personnes et organismes définie au e) de l’article 8 de la loi du 6 janvier 1978, aux termes duquel la CNIL « conseille les personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel » sont soumis au droit d’accès prévu par le livre III du code des relations entre le public et l’administration ».
37. La CNIL ne communique pas publiquement sur les prestations de conseil ou d’« accompagnement » qu’elle réalise. Elle ne donne aucune indication sur les noms des organismes qui bénéficient de telles prestations ou sur la nature des travaux réalisés (périmètre des travaux, durée des travaux, objectifs, etc.).
38. Certaines informations éparses et générales ont toutefois été rendues publiques par la CNIL dans la « Charte d’accompagnement des professionnels », ainsi que dans un article de février 2023 publié sur son site Web. Elle indique ainsi que la charte a été publiée « dans une logique de transparence, et dans la mesure où cette mission s’exerce dans un contexte où ses ressources sont limitées », qu’elle permet « d’exposer les grands principes guidant l’action d’accompagnement de la CNIL, sa méthode, mais aussi ses limites », et précise que « l’accompagnement offert par la CNIL s’exerce à trois niveaux : l’accompagnement général, sectoriel et individuel ».
39. Concernant « l’accompagnement général et sectoriel », la charte indique qu’« il se traduit le plus souvent par la publication d’instruments dits « de droit souple » (référentiels, recommandations, lignes directrices, guides pratiques, etc.) et par la mise en ligne d’informations disponibles sur le site web de la CNIL. Elle précise également que « cet accompagnement se traduit également par la mise en œuvre d’une collaboration avec des « têtes de réseaux » […], destinée à faciliter l’appropriation du RGPD par les professionnels d’un secteur » et que « ces partenariats permettent la rédaction commune de guides pratiques, de codes de bonnes pratiques ou de mécanismes de certification ». L’article publié sur le site de la CNIL confirme ces affirmations et indique que « l’accompagnement général et sectoriel » correspond à la « publication sur cnil.fr de fiches pratiques, guides, référentiels, lignes directrices pour aider les professionnels d’un secteur ».
40. S’agissant de l’« accompagnement individuel », la charte indique qu’il « se concrétise dans les différentes permanences téléphoniques proposées par la CNIL : permanence juridique « généraliste » ; permanence réservée aux DPO ; permanences axées sur le secteur de la santé ou des transferts internationaux de données » et qu’il « se matérialise également par les réponses aux demandes de conseil individuelles, dans les réunions pouvant être organisées avec les services de la CNIL ou encore par des modes d’accompagnement innovants (Bac à sable ou accompagnement « renforcé ») ». L’article publié sur le site de la CNIL précise que cet « accompagnement individuel » correspond à des « réponses écrites aux demandes de conseil, organisation de réunions avec les services de la CNIL, permanences téléphoniques ».
41. Quant à l’« accompagnement renforcé », la charte précise qu’il permet à la CNIL d’« apporter à quelques entreprises, sélectionnées sur des critères transparents, des réponses pragmatiques et concrètes et, ainsi, de la sécurité juridique sur leurs activités impliquant des données personnelles » et qu’il se concrétise par « un appui juridique et technique dans des délais rapides (réponses à des questions juridiques, formation et assistance à la réalisation d’AIPD, recommandations en matière de cybersécurité, etc.) ; une revenue de conformité des traitements mis en œuvre qui conduira à la délivrance de recommandations juridiques et techniques ; des actions de sensibilisation aux enjeux de la protection des données (à destination des salariés et/ou des dirigeants) ». D’après l’article de la CNIL de février 2023, la Commission a réalisé un premier appel à candidatures pour un accompagnement qui « débutera au courant du 2e trimestre 2023 ».
42. Au cas présent, l’exposant a sollicité la communication de certains documents administratifs détenus par la CNIL et relatifs à son « accompagnement » de la société Valiuz. Toutefois, en dépit de l’avis favorable de la CADA, la CNIL n’a que très partiellement fait droit à la demande de communication de l’exposant, maintenant son refus pour le surplus et occultant de nombreuses informations dans les documents épars qu’elle lui a communiqués. Or, la décision de refuser de communiquer les documents en cause, de même que celle de communiquer certains documents uniquement après avoir préalablement occulté certaines mentions, est tout à la fois entachée d’une erreur manifeste d’appréciation et d’une erreur de droit, en méconnaissance notamment des dispositions du 1er alinéa de l’article L. 300-2 et des articles L. 311-1, L. 311-2 et L. 311-6 du code des relations entre le public et l’administration, ainsi que des stipulations de l’article 10 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.
43. Premièrement, l’existence des travaux d’accompagnement « sectoriel » par la CNIL auprès de la société Valiuz a été connue à la suite d’une plainte déposée auprès de la CNIL à propos d’un traitement de données à caractère personnel impliquant un partage de données entre la société Boulanger et la société Valiuz. La CNIL a affirmé que ce traitement « fait l’objet d’échanges et de travaux entre la société BOULANGER et la Direction de l’accompagnement juridique de la CNIL » et a ensuite précisé, en réponse à une première demande d’accès concernant ces travaux, que l’« accompagnement de la CNIL est réalisé directement auprès de la société VALIUZ ».
44. D’après la demande d’accompagnement de la société Valiuz du 8 septembre 2021, cette société a sollicité un accompagnement sectoriel de la CNIL. La demande précise que la société Valiuz « représente l’alliance formée depuis 2018 par les entreprises détenues par la famille Mulliez » et que cette « alliance compte aujourd’hui 21 entreprises du secteur de la grande distribution, qui sont bien connues du public : AUCHAN, DÉCATHLON, LEROY MERLIN, KIABI, BOULANGER, ELECTRO DEPOT, NORAUTO, CHRONODRIVE, ONEY BANK, SAINT MACLOU, ALINEA, FLUNCH, 3BRASSEURS, PIMKIE, ROUGE GORGE, GRAIN DE MALICE, JULES, TOP OFFICE, TAPE A L’OEIL, BIZZBEE, NHOOD ».
45. Le caractère « sectoriel » de cet accompagnement est toutefois atypique, premièrement, car les sociétés que représente la société Valiuz appartiennent toutes au même groupe d’actionnaires – la famille Mulliez – ; deuxièmement, car contrairement à ce qui est indiqué dans la demande d’accompagnement, ces sociétés n’appartiennent pas toutes au secteur de la grande distribution – la société Oney Bank est par exemple une banque – ; troisièmement, car la société Valiuz a sollicité un accompagnement « renforcé » par la suite, ce qui remet en cause le caractère de « tête de réseau » de la société Valiuz (cf. infra) ; et, quatrièmement, car l’accompagnement n’a pas abouti à la « publication d’instruments dits « de droit souple » (référentiels, recommandations, lignes directrices, guides pratiques, etc.) », ni à « la mise en ligne d’informations disponibles sur le site web de la CNIL », comme cela est en principe le cas, selon les précisions mêmes de la CNIL, lors d’accompagnements sectoriels. Les autres sociétés de la grande distribution, telles que Carrefour ou E. Leclerc, n’ont par exemple pas bénéficié de cet accompagnement « sectoriel » représentant le « secteur de la grande distribution ».
46. En toute hypothèse, cette demande d’accompagnement a manifestement été acceptée par la CNIL, d’après le courrier du 2 juin 2023 que celle-ci a adressé à l’exposant. La réponse de la CNIL à la société Valiuz n’a toutefois pas été communiquée à l’exposant, en dépit de sa demande de communication. Les documents administratifs exposant les modalités encadrant cet accompagnement (sa durée, ses objectifs, ses moyens, les activités planifiées dans le cadre de cet accompagnement, etc.), n’ont pas plus été communiqués.
47. De plus, d’après le courrier du 13 avril 2022 par lequel la CNIL a clôturé la plainte de l’exposant, les modalités relatives aux transferts de données entre la société Valiuz et la société Boulanger ont « fait l’objet d’échanges et de travaux » avec la CNIL. Or, les documents relatifs à ces « échanges et travaux » n’ont pas, non plus, été communiqués. L’accompagnement a pourtant débuté en septembre 2021, c’est-à-dire il y a plus de deux ans et demi déjà. De nombreux documents ou échanges devraient donc matérialiser une période de travail aussi significative.
48. Du reste, la circonstance que la société Valiuz a sollicité, le 3 avril 2023, un nouvel accompagnement, en complément du premier, confirme bien que celui- ci est désormais achevé. Il apparait, en effet, invraisemblable qu’un organisme qui bénéficie déjà d’un accompagnement en sollicite un second, sauf si l’accompagnement initial est terminé.
49. Par ailleurs, contrairement à ce qu’a estimé la CADA au prix d’une contradiction de motifs manifeste, le compte rendu de la première réunion du 19 octobre 2021 entre la CNIL et la société Valiuz était bien communicable à l’exposant et le refus opposé par la présidente de la CNIL à cet égard est ici encore entaché d’erreur manifeste d’appréciation et d’erreur de droit au regard notamment des dispositions des articles L. 300-2 et L. 311-2 du code des relations entre le public et l’administration, ainsi que des stipulations de l’article 10 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.
50. En effet, la CADA a rappelé à juste titre qu’en application de l’article L. 300-2 du code des relations entre le public et l’administration :
« (…) tout ensemble cohérent d’informations, quels que soient sa forme et son support, répond à la définition d’un document administratif au sens de ces dispositions. Il peut ainsi s’agir d’écrits, dactylographiés et manuscrits, d’enregistrements audio et vidéo, de photographies, de radiographies, de fichiers informatiques, de bases de données, de courriers électroniques. »
51. Elle a ensuite ajouté, en se fondant sur l’article L. 311-2 du même code, que :
« (…) les documents consistant en de simples notes informelles prises à titre d’aide-mémoire, inachevées en la forme, ne sont pas communicables sur le fondement du titre Ier du livre III du même code, s’ils ont été suivis de documents qui peuvent être considérés comme achevés ».
52. Autrement dit, pour qu’une autorité administrative puisse légalement refuser de communiquer « de simples notes informelles prises à titre d’aide- mémoire, inachevées en la forme » à une personne qui en fait la demande, encore faut-il que ces notes aient « été suivi[e]s de documents qui peuvent être considérés comme achevés ». Or, à supposer que le compte-rendu de la réunion du 19 octobre 2021 « se résume à des notes prises de manière informelle ne présentant aucune cohérence et intelligibilité » en sorte que ces notes ne répondaient pas « à la définition d’un document administratif achevé en la forme » – ce qu’il appartiendra à la juridiction de céans de vérifier en faisant usage de ses pouvoirs d’instruction sur ce point – encore fallait-il, pour que la présidente de la CNIL puisse légalement refuser de communiquer ce document, qu’il ait été suivi de documents ayant un objet identique et pouvant être considérés comme achevés, ce que la CADA s’est abstenue de rechercher, privant ainsi son avis de base légale, à l’instar des décisions attaquées.
53. Deuxièmement, la société Valiuz a, par courrier du 3 avril 2023, sollicité un accompagnement « renforcé » de la CNIL. Si cette société affirmait, lors de sa demande d’accompagnement « sectoriel » de septembre 2021, qu’elle représentait « 21 entreprises de la grande distribution » et qu’elle estimait qu’elle devait être « considérée comme une « tête de réseau » », elle indique toutefois, dans cette seconde demande d’accompagnement, qu’elle « a pour activité la fourniture à des entreprises qui interviennent dans le commerce de détail, d’un service basé de l’intelligence collective des données » et que le service qu’elle propose « permet à Valiuz de rapprocher les données collectées par les entreprises dans le cadre de leur relation client, et de les agréger autour d’un identifiant unique propre à chaque client ». Ainsi, contrairement à ce qu’elle affirmait en 2021, la société Valiuz ne représente donc pas réellement 21 entreprises de la grande distribution, mais exerce, en réalité, une activité commerciale à part entière pour certains clients, dont les entreprises membres, « mais également leurs fournisseurs ».
54. Les explications fournies par la société Valiuz confirment le caractère atypique de l’accompagnement initial, car cette société a, dans un second temps, arrêté de prétendre incarner une « tête de réseau » et a sollicité un accompagnement « renforcé » destiné à directement lui bénéficier.
55. En toute hypothèse, uniquement deux documents relatifs à cet accompagnement ont été communiqués à l’exposant par la CNIL : le courrier de candidature de la société Valiuz du 3 avril 2023, et l’analyse d’impact relative à la protection des données (AIPD). La réponse de la CNIL à cette demande d’accompagnement « renforcé » n’a toutefois pas été communiquée. Dans son avis, la CADA a pourtant confirmé l’existence d’un courrier de refus de la CNIL, en affirmant que l’accompagnement « a été refusé par décision de la CNIL du 4 mai 2023 ».
56. Or, dans les circonstances particulières de l’espèce, l’exposant disposait d’un droit d’accès aux documents administratifs détenus par la CNIL et dont il demandait communication, dès lors que l’accès à ces documents était déterminant pour l’exercice de son droit à la liberté d’expression et, en particulier, à la liberté de recevoir et de communiquer des informations, compte tenu de la nature des documents en cause et des informations qu’ils comportent, de leur disponibilité, du but poursuivi par l’exposant et de son rôle dans la réception et la communication au public d’informations en tant qu’éditeur du site web www.ewatchers.org. Dans ces circonstances, le refus de fournir les documents demandés constitue une ingérence dans l’exercice du droit à la liberté d’expression qui n’était pas prévue par la loi, ne poursuivait aucun des buts légitimes mentionnés au point 2 de l’article 10 et, en toute hypothèse, n’était pas nécessaire et radicalement disproportionnée.
57. En deuxième lieu, la décision de ne communiquer les documents qui l’ont été qu’après en avoir préalablement occulté certaines mentions, est tout à la fois entachée d’une erreur manifeste d’appréciation et d’une erreur de droit, en méconnaissance notamment des dispositions du 1er alinéa de l’article L. 300-2 et des articles L. 311-1 et L. 311-6 du code des relations entre le public et l’administration, ainsi que des stipulations de l’article 10 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.
58. En l’espèce, les documents épars qui ont été communiqués à l’exposant, ne l’ont été qu’après avoir occultés nombre de leurs mentions.
59. Ces nombreuses occultations sont toutefois légalement injustifiées. Elles sont au demeurant contraires à la volonté de la société Valiuz, qui indiquait dans sa demande d’accompagnement initiale que celle-ci s’inscrivait « dans une démarche responsable, avec à cœur d’utiliser les données des clients dans le but de mieux les servir, ce en parfaite transparence ». Cette volonté, louable, de transparence a été réitérée par la société Valiuz dans sa seconde demande d’accompagnement, dans laquelle elle indiquait que « la protection des données personnelles est au cœur de l’activité de Valiuz et une priorité pour nos entreprises et pour Valiuz qui travaille au quotidien dans un objectif de transparence et de confiance avec les personnes dont elle traite les données ».
60. Surtout, ces occultations sont contraires à l’intérêt général. En effet, la société Valiuz affirmait dans sa demande d’accompagnement initiale « connaître probablement 100 % des foyers français ». Un traitement aussi important, agrégeant des données sur l’intégralité, ou la quasi-intégralité de la population française, devrait être connu, en détail, par la population française et ses représentants, afin de connaître ses conséquences, d’évaluer ses risques et de prendre d’éventuelles mesures protectrices. Les intérêts des citoyens devraient surpasser les intérêts économiques d’une société commerciale, au profit d’un seul et même actionnaire, ou petit groupe d’actionnaires.
61. Ici encore, dans les circonstances particulières de l’espèce, l’exposant disposait un droit d’accès aux informations qui ont été occultées, dès lors que l’accès à ces informations était déterminant pour l’exercice de son droit à la liberté d’expression et, en particulier, à la liberté de recevoir et de communiquer des informations, compte tenu de la nature des informations en cause, de leur disponibilité, du but poursuivi par l’exposant et de son rôle dans la réception et la communication au public d’informations en tant qu’éditeur du site web www.ewatchers.org. Dans ces circonstances, le refus de fournir les informations demandées constitue une ingérence dans l’exercice du droit à la liberté d’expression qui n’était pas prévue par la loi, ne poursuivait aucun des buts légitimes mentionnés au point 2 de l’article 10 et, en toute hypothèse, n’était pas nécessaire et radicalement disproportionnée.
En ce qui concerne l’illégalité externe des décisions attaquées
62. En troisième lieu, les décisions attaquées sont irrégulières, dès lors qu’entachées d’un défaut de motivation.
63. À tous égards, l’annulation s’impose.
Sur les mesures d’exécution qu’implique le jugement à venir
64. Après avoir annulé les décisions attaquées, le tribunal administratif de Paris pourra enjoindre à la CNIL de communiquer les documents administratifs sollicités par l’exposant dans un délai de 8 jours calendaires à compter de la notification du jugement à venir, sous astreinte de 500 euros par jour de retard, en application des dispositions combinées des articles L. 911-1 et L. 911-3 du code de justice administrative.
PAR CES MOTIFS, l’exposant conclut qu’il plaise au tribunal administratif de Paris :
ANNULER les décisions attaquées ;
ENJOINDRE à la CNIL de communiquer à l’exposant les documents, non occultés, dont il demandait la communication, à savoir, notamment, d’une part, ceux relatifs à l’accompagnement « sectoriel » de la CNIL auprès de la société Valiuz, en particulier le courrier de réponse de la CNIL à la demande d’accompagnement de la société Valiuz, le document encadrant l’accompagnement de la CNIL auprès de cette société, les documents reçus ou réalisés par la CNIL dans le cadre de cet accompagnement et les échanges entre la CNIL et la société, d’autre part, ceux relatifs à l’accompagnement « renforcé » de la CNIL, en particulier le courrier de réponse de la CNIL à la demande d’accompagnement de la société Valiuz, dans un délai de 8 jours calendaires à compter de la notification du jugement à venir, sous astreinte de 500 euros par jour de retard ;
METTRE A LA CHARGE de l’Etat une somme de 3 500 euros au titre des dispositions de l’article L. 761-1 du code de justice administrative.
Fait à Paris, 11 mars 2024
Alexis FITZJEAN Ó COBHTHAIGH
Avocat au Barreau de Paris
Médiateur auprès de la cour d’appel de Paris
[RETIRÉ]
Toque n° C0473
BORDEREAU DES PRODUCTIONS
1. Plainte enregistrée par la CNIL le 23 février 2022 sous le n° 28-6897 concernant la société Boulanger
2. Courrier du 13 avril 2022 par lequel la CNIL a informé l’exposant qu’elle clôturé sa plainte n° 28- 6897
3. Courriel du 7 juillet 2023 de la CNIL
4. Courriel du 11 octobre 2023 de l’exposant à la CNIL – Demande d’accès aux documents administratifs
5. Courriel du 13 octobre 2023 de la CNIL – Accusé réception de la demande d’accès
6. Courrier du 8 septembre 2021 de la société Valiuz à la CNIL– Demande d’accompagnement sectoriel
7. Présentation générale des activités de la société VALIUZ
8. Courrier du 13 décembre 2023 de la CNIL
9. Courriel du 14 décembre 2023 de l’exposant à la CADA– Maintien de la demande d’avis
10. Avis de la CADA n° 20236826 du 14 décembre 2023
11. Courrier du 3 avril 2023 de la société Valiuz à la CNIL– Candidature à l’offre d’accompagnement renforcé
12. Analyse d’impact relative à la protection des données (AIPD) associée à la candidature à l’offre d’accompagnement renforcé
13. Courrier du 2 février 2024 de la CNIL à l’exposant
- ↑https://cnil.fr/sites/cnil/files/atoms/files/charte_accompagnement_des_professionnels.pdf
Le texte correspond au texte original. Des modifications visuelles ont pu toutefois être apportées pour améliorer la lecture du document.