1) L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus du président de la CNIL d'engager une procédure sur le fondement de l'article 20 de la loi n°78-17 du 6 janvier 1978, et, notamment, saisir la formation restreinte sur le fondement du III de cet article, y compris lorsque la commission a procédé à des mesures d'instruction, constaté l'existence d'un manquement aux dispositions de cette loi et pris l'une des mesures prévues au I et II de ce même article.

2) a) En revanche, lorsque le président de la CNIL a saisi la formation restreinte sur le fondement du III de cet article, l'auteur de la plainte n'a pas intérêt à contester la décision prise à l'issue de cette procédure, quel qu'en soit le dispositif.

b) Toutefois, lorsque l'auteur de la plainte se fonde sur la méconnaissance par un responsable de traitement des droits garantis par la loi à la personne concernée à l'égard des données à caractère personnel la concernant, notamment les droits d'accès, de rectification, d'effacement, de limitation et d'opposition mentionnés aux articles 49, 50, 51, 53 et 56 de la loi du 6 janvier 1978, celui-ci, s'il ne peut contester devant le juge l'absence ou l'insuffisance de sanction une fois que la formation restreinte a été saisie, est toujours recevable à demander l'annulation du refus du président de la CNIL de mettre en demeure le responsable de traitement de satisfaire à la demande dont il a été saisi par cette personne ou du refus de la formation restreinte de lui enjoindre d'y procéder.

Il résulte de la jurisprudence de la Cour de justice de l'Union européenne (CJUE), notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein contre Wirtschaftsakademie Schleswig‑Holstein GmbH (C‑210/16), qu’au vu de l’objectif poursuivi par la directive 95/46/CE du 24 octobre 1995, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué « dans le cadre des activités » d’un établissement national non seulement si cet établissement intervient lui‑même dans la mise en œuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d'un État membre, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d'un site. Il résulte de l'arrêt de la CJUE du 15 juin 2021, Facebook Ireland Ltd e.a. (C‑645/19), que le paragraphe 1 de l’article 3 du règlement (UE) 2016/679 du 27 avril 2016, dit règlement général sur la protection des données (RGPD) doit être interprété de la même façon. Au I de l'article 3 de la loi n°78‑17 du 6 janvier 1978, le législateur a repris les termes figurant tant au paragraphe 1 de l’article 4 de la directive 95/46/CE du 24 octobre 1995 que, désormais, au paragraphe 1 de l'article 3 du RGPD et a entendu définir le champ d'application de la loi du 6 janvier 1978, y compris de son article 82‑et, en conséquence, le champ de compétence de la Commission nationale de l'informatique et des libertés (CNIL) pour sanctionner les manquements à ces dispositions, en référence à l'interprétation, rappelée au paragraphe précédent, que la CJUE a donnée de la directive 95/46/CE et, désormais, du RGPD.

1) Le prononcé d’une sanction par la formation restreinte de la CNIL n’est pas subordonné à l’intervention préalable d’une mise en demeure du responsable du traitement ou de son sous‑traitant, par le président de la CNIL. 2) Alors même que le rapporteur n’a pas voix délibérative, le moyen tiré de la méconnaissance du principe d’impartialité par le rapporteur est de nature, s’il s’avère fondé, à entraîner l’annulation de la sanction prononcée par la formation restreinte de la CNIL.

Il résulte de art. 82 de la loi du 6 janvier 1978 que toute opération de recueil ou de dépôt d'informations stockées dans le terminal d'un utilisateur doit faire l'objet d'une information préalable, claire et complète relative à la finalité des traceurs de connexion (« cookies ») ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer.

La CNIL a, par une délibération en date du 4 juillet 2019, postérieure à l'entrée en application, le 25 mai 2018, du règlement (UE) 2016/679 du 27 avril 2016 (RGPD), adopté des lignes directrices relatives à l'application de art. 82 de la loi du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d'un utilisateur et abrogé sa recommandation antérieure du 5 décembre 2013. Ces nouvelles lignes directrices du 4 juillet 2019, destinées à adapter le cadre de référence du consentement compte tenu de la modification de la loi Informatique et Libertés par l'ordonnance n° 2018‑1125 du 12 décembre 2018 en conséquence du RGPD, n'ont pas remis en cause le régime préexistant, prévu au II de l'article 32 de cette même loi, lequel posait déjà le principe d'un consentement préalable au dépôt des cookies, celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition. Il s'ensuit, dès lors que la procédure engagée par la CNIL ne portait que sur des règles antérieures au RGPD et encadrées par la CNIL depuis 2013, que la formation restreinte de la CNIL a pu, sans méconnaître le principe de légalité des délits et des peines, engager une procédure de contrôle et de sanction quant au respect, par des sociétés, des obligations prévues à art. 82 de la loi du 6 janvier 1978, dont la portée n'a pas été modifiée à cet égard par la mise en conformité de la loi du 6 janvier 1978 avec le RGPD, s'agissant en particulier du caractère préalable du consentement.

L'auteur d'une plainte peut déférer au juge d'excès de pouvoir le refus de la CNIL d'engager une procédure de sanction, y compris lorsque la CNIL procède à des mesures d'instruction ou constate l'existence d'un manquement aux dispositions de la loi n°78‑17 du 6 janvier 1978. Il appartient au juge de censurer ce refus en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir.

En revanche, lorsque la CNIL a décidé d'engager une telle procédure, l'auteur de la plainte n'a intérêt à contester ni la décision prise à l'issue de cette procédure, quel qu'en soit le dispositif, ni le sort réservé à sa plainte à l'issue de cette dernière. Il est toutefois recevable à déférer au juge d'excès de pouvoir le défaut d'information par la CNIL des suites données à sa plainte.

1) L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la Commission nationale de l'informatique et des libertés (CNIL) d'y donner suite. Il appartient au juge de censurer ce refus en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir. En revanche, lorsque la CNIL a décidé d'instruire une plainte, l'auteur de celle-ci n'a intérêt à contester ni la décision prise à l'issue de cette instruction, quel qu'en soit le dispositif, ni la clôture de sa plainte prononcée subséquemment.

2) Il s'ensuit que l'auteur d'une plainte n'est pas recevable à demander l'annulation de la sanction prononcée par la CNIL à l'encontre d'un tiers à l'issue de l'instruction de la plainte qu'il a formée, en tant que celle-ci ne serait pas assez sévère. En revanche, l'auteur d'une plainte est recevable à déférer au juge de l'excès de pouvoir le refus de la CNIL de lui fournir les informations relatives aux suites données à sa plainte auxquelles il a droit en application des dispositions de l'article 11 2° c) de la loi n° 78‑17 du 6 janvier 1978 dans sa rédaction applicable. Il résulte de ces dispositions que, lorsque la plainte conduit à sanctionner la personne mise en cause, la complète information de son auteur comprend nécessairement, y compris lorsque la sanction a été rendue publique, la communication de la nature des manquements retenus et de la teneur de la sanction prononcée, sous réserve des secrets protégés par la loi.

1) Les dispositions de l'article 34 bis de la loi n°78‑17 du 6 janvier 1978 imposent seulement aux fournisseurs de services de communications électroniques accessibles au public d'informer la CNIL et, le cas échéant, les personnes intéressées lorsqu'ils constatent une violation de données à caractère personnel. Elles n'ont ni pour objet ni pour effet de leur imposer de révéler des manquements qui leur seraient imputables. Un requérant ne saurait dès lors utilement soutenir qu'elles méconnaîtraient les stipulations du 1 de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH), qui garantissent le droit de ne pas contribuer à sa propre incrimination, et les articles 47 et 48 de la Charte des droits fondamentaux de l'Union européenne, qui garantissent le droit d'accéder à un tribunal impartial et les droits de la défense.

2) En revanche, un requérant peut utilement soutenir qu'une sanction prononcée par la CNIL contre un fournisseur de services de communications électroniques accessibles au public à raison d'un manquement révélé du fait de l'obligation prévue par les dispositions de l'article 34 bis méconnaît ces stipulations.

ème ème