L'article 17 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, abrogeant le cadre 2008/977/JAI du Conseil, lu en combinaison avec l'article 46, paragraphe 1, sous g), l'article 47, paragraphes 1 et 2, et l'article 53, paragraphe 1, de cette directive ainsi qu'avec l'article 8, paragraphe 3, et l'article 47 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens que lorsque les droits d'une personne ont été exercés, en application dudit article 17, par l'intermédiaire de l'autorité de contrôle compétente et que cette autorité informe ladite personne du résultat des vérifications opérées, cette dernière doit disposer d'un recours juridictionnel effectif contre la décision de ladite autorité de clôturer le processus de vérification.

Il résulte des articles L. 841‑2 et R. 841‑2 du code de la sécurité intérieure que la formation spécialisée du Conseil d’État statuant au contentieux n’est compétente, en ce qui concerne les litiges relatifs à l’accès indirect aux données recueillies dans le fichier STARTRAC, que pour celles de ces données qui intéressent la sûreté de l’État. Le tribunal administratif et la cour administrative d’appel restent compétents en première instance et en appel pour connaître des litiges relatifs à l’accès indirect aux données recueillies dans ce même fichier n’intéressant pas la sûreté de l’État.

1) En procédant aux investigations prévues à l'article 41 de la loi n° 78‑17 du 6 janvier 1978 et en indiquant à l'intéressé qu’aucune information le concernant ne figurait dans les fichiers en question, la CNIL a mis un terme à la procédure d'accès indirect engagée. Elle doit être regardée comme satisfaisante en tiérant la demande du demandeur.

2) a) Une décision par laquelle la CNIL refuse de donner suite à une demande tendant à ce qu’elle mette en œuvre les pouvoirs d’enquête dont elle peut faire usage sur le fondement de l’article 11 de la loi n° 78‑17 du 6 janvier 1978, lorsqu’elle est saisie d’une réclamation, pétition ou plainte relative à la mise en œuvre des traitements de données à caractère personnel, est susceptible de faire l’objet d’un recours pour excès de pouvoir.

b) Toutefois, si l’intéressé se borne à demander à la CNIL de manière générale, de faire respecter la loi du 6 juillet 1978 relative à l’informatique, aux fichiers et aux libertés et de faire « effacer l’ensemble des fichiers contenant des données personnelles collectées par les services consulaires français sans information préalable des personnes concernées », la CNIL ne commet pas d’erreur manifeste d’appréciation en ne donnant pas suite à ces réclamations.

ème ème

1) a) En application des stipulations de l'article 106 de la Convention d'application de l'accord de Schengen du 19 juin 1990, il incombe aux autorités françaises, saisies par une personne qui conteste son inscription dans le système informatique national du Système d'Information Schengen (SIS), de procéder, dans le cas d'un signalement opéré par la France, à l'effacement des données entachées d'erreur de droit ou d'erreur de fait. Dans le cas d'un signalement opéré par un État Partie autre que la France, il appartient à l'autorité de contrôle française, dès lors qu'elle estime disposer d'indices faisant présumer qu'une donnée est entachée d'erreur de droit ou de fait, d'en aviser les autorités de cet État.

b) Il ressort des stipulations des articles 106 et 114 de la convention du 19 juin 1990 que la Commission nationale de l'informatique et des libertés, lorsqu'elle saisit l'autorité de contrôle d'un État signalant en vue de la vérification et de l'effacement d'une inscription, est tenue de procéder à l'examen de ce signalement en étroite coordination avec celle‑ci, sans que sa responsabilité puisse être transférée à l'autorité requise. Elle doit demander l'ensemble des informations lui permettant de procéder à ce contrôle, et, en cas de désaccord avec l'autorité requise, saisir l'autorité de contrôle commune mentionnée par le paragraphe 3 de l'article 106. Si, dans certains cas limitativement énumérés par la convention, la Commission nationale de l'informatique et des libertés est tenue de ne pas communiquer au demandeur les informations le concernant, ces stipulations ne font pas obstacle à ce qu'elle exerce son contrôle sur le bien‑fondé du signalement en « étroite coordination » avec l'autorité correspondante de l'État signalant.

2) Le requérant, ressortissant français, a saisi la Commission nationale de l'informatique et des libertés d'une demande d'effacement des données le concernant contenues dans le système informatique national du Système d'Information Schengen (SIS), en faisant notamment état de sa mobilisation au début des années 1990 aux côtés d'opposants tunisiens pour dénoncer les violations par le régime tunisien des droits de l'homme et des libertés fondamentales, et en indiquant « avoir fait manifestement l'objet d'une dénonciation calomnieuse des services de ce pays ». La Commission nationale de l'informatique et des libertés, après avoir constaté que l'intéressé avait été signalé par les autorités allemandes, a saisi le 18 mai 2004 l'autorité de contrôle allemande chargée d'exercer un contrôle de la partie nationale du Système d'Information Schengen (SIS) dans le cadre de la procédure de coordination prévue au paragraphe 2 de l'article 114 de la convention du 19 juin 1990. L'autorité de contrôle allemande lui a répondu qu’« au terme de la vérification effectuée par le délégué régional compétent en matière de protection des données, (…) rien ne s'oppose, du point de vue du droit en matière de protection des données, au signalement de l'intéressé au Système d'Information Schengen (SIS) ».

Dans ces circonstances, et eu égard à l'ensemble des éléments d'information produits par le requérant, la Commission nationale de l'informatique et des libertés, en se fondant sur cette seule réponse, sans demander communication des informations nécessaires au contrôle sollicité, pour refuser de poursuivre la procédure relative à la demande d'effacement du signalement de l'intéressé, a méconnu les stipulations des articles 106 et 114 de la convention du 19 juin 1990. Elle a ainsi entaché sa décision d'erreur de droit. Le requérant est fondé à en demander l'annulation.

3) Cette annulation implique que la Commission nationale de l'informatique et des libertés reprenne la procédure de vérification relative au signalement du requérant, en « étroite coordination » avec l'autorité de contrôle allemande, aux fins d'aboutir soit au rejet de la demande en accord avec les autorités allemandes, soit à l'effacement des données litigieuses par les autorités allemandes, soit enfin, en cas de désaccord, à la saisine de l'autorité de contrôle commune mentionnée au paragraphe 3 de l'article 106 de la convention du 19 juin 1990.