Les dispositions de l’article 121 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, selon lesquelles « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès », qui sont relatives aux obligations du responsable du traitement quant à l’utilisation de ce dernier, ne peuvent être utilement invoquées à l’appui de conclusions dirigées contre l’acte par lequel le traitement est autorisé.

Les dispositions du II de l'article 31 de la loi n°78-17 du 6 janvier 1978, qui régissent les modalités de publication des avis de la CNIL sur les décrets autorisant la mise en œuvre de certains traitements de données à caractère personnel mis en œuvre pour le compte de l'État, sont sans incidence sur la légalité de ce décret. Par suite, un requérant ne peut utilement soutenir que la circonstance que l'avis de la CNIL ait été publié quelques jours après la publication du décret entacherait ce dernier d'irrégularité.

1) L’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) prévoit que le responsable du traitement effectue une analyse d’impact relative à la protection des données lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Si cette analyse incombe au responsable, sa réalisation est en principe préalable à la mise en œuvre du traitement et l’analyse doit être actualisée après le lancement effectif afin de garantir en permanence une prise en compte adaptée des risques pour les droits et libertés liés aux données à caractère personnel.

2) Ainsi, alors que la réalisation d’une analyse d’impact d’un traitement de données personnelles, dont l’absence peut donner lieu à des sanctions par la CNIL en application de l’article 20 de la loi n° 78‑17 du 6 janvier 1978, est liée à la mise en œuvre de ce traitement, la seule circonstance qu’elle n’aurait pas été réalisée avant la signature de l’instruction définissant les caractéristiques du traitement n’est pas de nature à entacher celle‑ci d’illégalité.

Les dispositions de l'article 34 de la loi n°78-17 du 6 janvier 1978 relatives aux obligations de sécurité des responsables des traitements (dispositions reprises à l'article 32 du RGPD) ne peuvent être utilement invoquées à l'appui de conclusions dirigées contre l'acte précisant les modalités de mise en œuvre de ces traitements.

S'il incombe au responsable d'un traitement de données à caractère personnel de fournir à toute personne concernée par l'inscription de données personnelles dans ce traitement, dès leur enregistrement, l'ensemble des informations prévues au I de l'article 32 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction applicable au litige, y compris quand ces données personnelles ne sont pas recueillies auprès de la personne concernée elle‑même, la méconnaissance de ces obligations par le responsable d'un traitement ne peut en tout état de cause être utilement invoquée à l'appui de conclusions dirigées contre l'acte portant création de ce traitement.

1) Lorsque le juge administratif est saisi de conclusions à fin d'injonction de destruction de données illégalement recueillies dans un traitement de données à caractère personnel, il lui appartient, pour déterminer, en fonction de la situation de droit et de fait existant à la date à laquelle il statue, si l'exécution de sa décision implique nécessairement la destruction des données illégalement recueillies, de rechercher d'abord si, eu égard notamment aux motifs de la décision, une régularisation appropriée est possible. Dans la négative, il lui revient ensuite de prendre en considération, d'une part, les motifs de l'illégalité constatée, d'autre part, les conséquences de la destruction des données pour l'intérêt général, et d'apprécier, en rapprochant ces éléments, si la destruction des données n'entraîne pas une atteinte excessive à l'intérêt général.

2) En l'espèce, depuis l'introduction de la requête, un décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés et portant création d'un traitement de données à caractère personnel relatif à la gestion informatisée des détenus en établissement a été publié au Journal officiel et autorise la collecte et le traitement des données initialement contenues dans le fichier contesté. Compte tenu de l'intérêt éminent qui s'attache à la conservation des données litigieuses, notamment pour ce qui concerne la prévention des risques suicidaires en détention, il n'y a pas lieu d'enjoindre au ministre de la justice de supprimer les données recueillies dans le traitement contesté.

Requérant demandant l'annulation d'une décision portant création d'un traitement de données à caractère personnel et produisant à l'appui de sa demande des éléments qui ne permettent, en l'état, ni de regarder comme établie l'existence du traitement, ni, par suite, d'identifier une éventuelle décision de le créer. Il appartient au requérant, s'il estime cependant que ces éléments sont de nature à faire présumer de l'existence d'un traitement de données personnelles et s'il s'y croit fondé, de demander à la Commission nationale de l'informatique et des libertés (CNIL) de faire usage des pouvoirs qu'elle détient pour vérifier la licéité de traitements au regard des dispositions de la loi n° 78‑17 du 6 janvier 1978. En l'état, rejet des conclusions à fin d'annulation présentées par le requérant.