1) Le prononcé d’une sanction par la formation restreinte de la CNIL n’est pas subordonné à l’intervention préalable d’une mise en demeure du responsable du traitement ou de son sous‑traitant, par le président de la CNIL. 2) Alors même que le rapporteur n’a pas voix délibérative, le moyen tiré de la méconnaissance du principe d’impartialité par le rapporteur est de nature, s’il s’avère fondé, à entraîner l’annulation de la sanction prononcée par la formation restreinte de la CNIL.

Il résulte de art. 82 de la loi du 6 janvier 1978 que toute opération de recueil ou de dépôt d'informations stockées dans le terminal d'un utilisateur doit faire l'objet d'une information préalable, claire et complète relative à la finalité des traceurs de connexion (« cookies ») ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer.

La CNIL a, par une délibération en date du 4 juillet 2019, postérieure à l'entrée en application, le 25 mai 2018, du règlement (UE) 2016/679 du 27 avril 2016 (RGPD), adopté des lignes directrices relatives à l'application de art. 82 de la loi du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d'un utilisateur et abrogé sa recommandation antérieure du 5 décembre 2013. Ces nouvelles lignes directrices du 4 juillet 2019, destinées à adapter le cadre de référence du consentement compte tenu de la modification de la loi Informatique et Libertés par l'ordonnance n° 2018‑1125 du 12 décembre 2018 en conséquence du RGPD, n'ont pas remis en cause le régime préexistant, prévu au II de l'article 32 de cette même loi, lequel posait déjà le principe d'un consentement préalable au dépôt des cookies, celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition. Il s'ensuit, dès lors que la procédure engagée par la CNIL ne portait que sur des règles antérieures au RGPD et encadrées par la CNIL depuis 2013, que la formation restreinte de la CNIL a pu, sans méconnaître le principe de légalité des délits et des peines, engager une procédure de contrôle et de sanction quant au respect, par des sociétés, des obligations prévues à art. 82 de la loi du 6 janvier 1978, dont la portée n'a pas été modifiée à cet égard par la mise en conformité de la loi du 6 janvier 1978 avec le RGPD, s'agissant en particulier du caractère préalable du consentement.

L'auteur d'une plainte peut déférer au juge d'excès de pouvoir le refus de la CNIL d'engager une procédure de sanction, y compris lorsque la CNIL procède à des mesures d'instruction ou constate l'existence d'un manquement aux dispositions de la loi n°78‑17 du 6 janvier 1978. Il appartient au juge de censurer ce refus en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir.

En revanche, lorsque la CNIL a décidé d'engager une telle procédure, l'auteur de la plainte n'a intérêt à contester ni la décision prise à l'issue de cette procédure, quel qu'en soit le dispositif, ni le sort réservé à sa plainte à l'issue de cette dernière. Il est toutefois recevable à déférer au juge d'excès de pouvoir le défaut d'information par la CNIL des suites données à sa plainte.

1) L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la Commission nationale de l'informatique et des libertés (CNIL) d'y donner suite. Il appartient au juge de censurer ce refus en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir. En revanche, lorsque la CNIL a décidé d'instruire une plainte, l'auteur de celle-ci n'a intérêt à contester ni la décision prise à l'issue de cette instruction, quel qu'en soit le dispositif, ni la clôture de sa plainte prononcée subséquemment.

2) Il s'ensuit que l'auteur d'une plainte n'est pas recevable à demander l'annulation de la sanction prononcée par la CNIL à l'encontre d'un tiers à l'issue de l'instruction de la plainte qu'il a formée, en tant que celle-ci ne serait pas assez sévère. En revanche, l'auteur d'une plainte est recevable à déférer au juge de l'excès de pouvoir le refus de la CNIL de lui fournir les informations relatives aux suites données à sa plainte auxquelles il a droit en application des dispositions de l'article 11 2° c) de la loi n° 78‑17 du 6 janvier 1978 dans sa rédaction applicable. Il résulte de ces dispositions que, lorsque la plainte conduit à sanctionner la personne mise en cause, la complète information de son auteur comprend nécessairement, y compris lorsque la sanction a été rendue publique, la communication de la nature des manquements retenus et de la teneur de la sanction prononcée, sous réserve des secrets protégés par la loi.

1) Les dispositions de l'article 34 bis de la loi n°78‑17 du 6 janvier 1978 imposent seulement aux fournisseurs de services de communications électroniques accessibles au public d'informer la CNIL et, le cas échéant, les personnes intéressées lorsqu'ils constatent une violation de données à caractère personnel. Elles n'ont ni pour objet ni pour effet de leur imposer de révéler des manquements qui leur seraient imputables. Un requérant ne saurait dès lors utilement soutenir qu'elles méconnaîtraient les stipulations du 1 de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH), qui garantissent le droit de ne pas contribuer à sa propre incrimination, et les articles 47 et 48 de la Charte des droits fondamentaux de l'Union européenne, qui garantissent le droit d'accéder à un tribunal impartial et les droits de la défense.

2) En revanche, un requérant peut utilement soutenir qu'une sanction prononcée par la CNIL contre un fournisseur de services de communications électroniques accessibles au public à raison d'un manquement révélé du fait de l'obligation prévue par les dispositions de l'article 34 bis méconnaît ces stipulations.

ème ème