Le paragraphe I de l'article L. 852‑1 du code de la sécurité intérieure autorise les interceptions administratives de correspondances émises par la voie des communications électroniques ; les personnes appartenant à l'entourage d'une personne concernée par l'autorisation d'interception peuvent également faire l'objet de ces interceptions lorsqu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Le paragraphe II de ce même article prévoit que, pour les finalités mentionnées aux 1°, 4° et a) du 5° de l'article L. 811‑3, l'utilisation d'un appareil ou dispositif permettant d'intercepter, sans le consentement de leur auteur, des paroles ou des correspondances émises, transmises ou reçues par la voie électronique ou d'accéder à des données informatiques peut être autorisée afin d'intercepter des correspondances émises ou reçues par un équipement terminal. Ces techniques de recueil de renseignement s'exercent, sauf disposition spécifique, dans les conditions prévues au chapitre I du titre II du code de la sécurité intérieure :

• elles sont autorisées par le Premier ministre, sur demande écrite et motivée du ministre de la défense, du ministre de l'intérieur ou des ministres chargés de l'économie, du budget ou des douanes, après avis préalable de la Commission nationale de contrôle des techniques de renseignement et ne peuvent être mises en œuvre que par des agents individuellement désignés et habilités ;

• elles sont réalisées sous le contrôle de la Commission nationale de contrôle des techniques de renseignement dont la composition et l'organisation sont définies aux articles L. 831‑1 à L. 832‑5 dans des conditions qui assurent son indépendance et dont les missions sont définies aux articles L. 833‑1 à L. 833‑11 dans des conditions qui assurent l'effectivité de son contrôle ;

• conformément aux dispositions de l'article L. 841‑1, le Conseil d'État peut être saisi par toute personne souhaitant vérifier qu'aucune technique de recueil de renseignement n'est irrégulièrement mise en œuvre à son égard ou par la Commission nationale de contrôle des techniques de renseignement ;

• en application des dispositions de l'article L. 871‑6, les opérations matérielles nécessaires à la mise en place de ces techniques ne peuvent être exécutées, dans leurs réseaux respectifs, que par des agents qualifiés des services ou organismes placés sous l'autorité ou la tutelle du ministre chargé des communications électroniques ou des exploitants de réseaux ou fournisseurs de services de télécommunications.

Par ailleurs, ces techniques ne peuvent être mises en œuvre que pour les finalités énumérées à l'article L. 811‑3 ; le nombre maximal des autorisations d'interception en vigueur simultanément est arrêté par le Premier ministre après avis de la Commission nationale de contrôle des techniques de renseignement ; afin de faciliter le contrôle de cette commission, l'exécution de ces interceptions est centralisée ; en outre, en ce qui concerne les interceptions réalisées au moyen de la technique prévue au paragraphe II de l'article L. 851‑2, l'autorisation ne peut être délivrée que pour certaines des finalités mentionnées à l'article L. 811‑3, qui sont relatives à la prévention d'atteintes particulièrement graves à l'ordre public ; les correspondances ainsi interceptées sont détruites dès qu'il apparaît qu'elles sont sans lien avec l'autorisation délivrée et au plus tard trente jours à compter de leur recueil.

Il résulte de ce qui précède que le législateur n'a pas, par les dispositions précitées, opéré une conciliation manifestement déséquilibrée entre, d'une part, la prévention des atteintes à l'ordre public et celle des infractions, et d'autre part, le droit au respect de la vie privée et le secret des correspondances.

L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui autorise l’autorité publique chargée de la protection des droits d’auteur et des droits voisins contre les atteintes à ces droits commises sur Internet à accéder aux données, conservées par les fournisseurs de services de communications électroniques accessibles au public, relatives à l'identité civile correspondant à des adresses IP collectées préalablement par des organismes d’ayants droit, afin que cette autorité puisse identifier les titulaires de ces adresses, utilisées pour des activités susceptibles de constituer de telles atteintes, et puisse prendre, le cas échéant, des mesures à leur égard, à condition que, en vertu de cette réglementation,

– ces données soient conservées dans des conditions et selon des modalités techniques garantissant qu’il soit exclu que cette conservation puisse permettre de tirer des conclusions précises sur la vie privée de ces titulaires, par exemple en établissant leur profil détaillé, ce qui peut être accompli, en particulier, en imposant aux fournisseurs de services de communications électroniques une obligation de conservation des différentes catégories de données à caractère personnel, telles les données relatives à l'identité civile, les adresses IP ainsi que les données relatives au trafic et les données de localisation, garantissant une séparation effectivement étanche de ces différentes catégories de données empêchant, au stade de la conservation, toute exploitation combinée de ces différentes catégories de données, et pour une durée ne dépassant pas le strict nécessaire,

– l’accès de cette autorité publique à de telles données conservées de manière séparée et effectivement étanche sert exclusivement à identifier la personne soupçonnée d’avoir commis une infraction pénale et soit entouré des garanties nécessaires pour exclure que, hormis dans des situations atypiques, cet accès puisse permettre de tirer des conclusions précises sur la vie privée des titulaires des adresses IP, par exemple en établissant leur profil détaillé, ce qui implique, en particulier, qu’il soit interdit aux agents de cette autorité autorisés à avoir un tel accès de divulguer, sous quelque forme que ce soit, des informations sur le contenu des fichiers consultés par ces titulaires, sauf à seules fins de saisir le ministère public, de procéder à un traçage du parcours de navigation de ces titulaires et, de manière plus générale, d’utiliser ces adresses IP à une fin autre que celle d’identifier leurs titulaires en vue de l’adoption d’éventuelles mesures contre ces derniers,

– la possibilité, pour les personnes chargées de l’examen des faits au sein de ladite autorité publique, de mettre en relation de telles données avec les fichiers comportant des éléments permettant de connaître le titre d’œuvres protégées dont la mise à disposition sur Internet a justifié la collecte des adresses IP par des organismes d’ayants droit, soit subordonnée, dans des hypothèses de nouvelle réitération d’une activité portant atteinte aux droits d’auteur ou aux droits voisins par une même personne, à un contrôle par une juridiction ou une entité administrative indépendante, lequel ne peut être entièrement automatisé et doit intervenir préalablement à une telle mise en relation, cette dernière étant susceptible, dans de telles hypothèses, de permettre que soient tirées des conclusions précises sur la vie privée de ladite personne dont l’adresse IP a été utilisée pour des activités pouvant porter atteinte aux droits d’auteur ou aux droits voisins,

– le système de traitement de données utilisé par l’autorité publique fasse l’objet, à intervalles réguliers, d’un contrôle par un organisme indépendant et ayant la qualité de tiers par rapport à cette autorité publique visant à vérifier l’intégrité du système, y compris les garanties effectives contre les risques d’accès et d’utilisation abusifs ou illicites de ces données, ainsi que son efficacité et sa fiabilité pour détecter les éventuels manquements.

1) L'article 15, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 s'oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l'ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique.

2) L'article 15, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 s'oppose à une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l'accès des autorités nationales compétentes aux données conservées, sans limiter, dans le cadre de la lutte contre la criminalité, cet accès aux seules fins de lutte contre la criminalité grave, sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante, et sans exiger que les données en cause soient conservées sur le territoire de l'Union.

Est disproportionné et peut légalement faire l'objet d'une sanction un dispositif de vidéosurveillance plaçant sous surveillance permanente au moins un salarié. En l’espèce, la circonstance que la société ait voulu lutter contre des vols susceptibles d’être perpétrés par ses propres salariés ne permet pas de considérer que le dispositif était proportionné alors qu’en outre il était installé dans des locaux sécurisés, dont l’entrée ne peut s’effectuer qu’après autorisation et vérification d’identité.

Conformité à la Constitution d'un dispositif autorisant à titre expérimental et pour une durée de trois ans, les administrations fiscales et douanières à collecter et à exploiter de manière automatisée les contenus accessibles publiquement sur les sites internet de certains opérateurs de plateforme, aux fins de recherche de manquements et d'infractions en matière fiscale et douanière malgré l'atteinte au droit au respect de la vie privée dès lors que : le dispositif poursuit l'objectif à valeur constitutionnelle de lutte contre la fraude et l'évasion fiscale ; les traitements de données autorisés par les dispositions contestées peuvent être mis en œuvre, d'une part, pour les besoins de la recherche de certains manquements et certaines infractions dont la commission est rendue possible ou favorisée par l'usage d'internet et, d'autre part, pour rechercher l'insuffisance de déclaration découlant d'un manquement aux règles de domiciliation fiscale. Si la commission de ce manquement n'est pas rendue possible ou favorisée par l'usage d'internet, il résulte des travaux parlementaires que le législateur, qui a souhaité limiter le nombre de manquements susceptibles d'être recherchés, a entendu viser un des cas les plus graves de soustraction à l'impôt, qui peut être particulièrement difficile à déceler ; les données susceptibles d'être collectées et exploitées doivent répondre à deux conditions cumulatives. D'une part, il doit s'agir de contenus librement accessibles sur un service de communication au public en ligne d'une des plateformes précitées, à l'exclusion donc des contenus accessibles seulement après saisie d'un mot de passe ou après inscription sur le site en cause. D'autre part, ces contenus doivent être manifestement rendus publics par les utilisateurs de ces sites. Il en résulte que ne peuvent être collectés et exploités que les contenus se rapportant à la personne qui les a délibérément divulgués. En outre, les données sensibles au sens du paragraphe I de l'article 6 de la loi du 6 janvier 1978, c'est‑à‑dire celles qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne, les données génétiques et biométriques et celles concernant la santé et la vie ou l'orientation sexuelle, ne peuvent faire l'objet d'aucune exploitation à des fins de recherche de manquements ou d'infractions ; d'une part, les traitements de données autorisés par les dispositions contestées ne peuvent comporter aucun système de reconnaissance faciale. D'autre part, ils ne peuvent être mis en œuvre que par des agents des administrations fiscales et douanières ayant au moins le grade de contrôleur et spécialement habilités ; les données qui s'avèrent manifestement sans lien avec les manquements et infractions recherchés ou qui constituent des données sensibles sont détruites au plus tard dans les cinq jours suivant leur collecte, sans aucune autre exploitation possible de ces données pendant ce délai. Les autres données doivent être détruites dans les trente jours si elles ne sont pas de nature à concourir à la constatation des manquements ou infractions. Seules peuvent être conservées les données strictement nécessaires à une telle constatation, dans la limite d'une année ou, le cas échéant, jusqu'au terme de la procédure pénale, fiscale ou douanière dans le cadre de laquelle elles sont utilisées ; aucune procédure pénale, fiscale ou douanière ne peut être engagée sans qu'ait été portée une appréciation individuelle de la situation de la personne par l'administration, qui ne peut alors se fonder exclusivement sur les résultats du traitement automatisé ; le traitement instauré par les dispositions contestées est mis en œuvre dans le respect de la loi du 6 janvier 1978, à l'exception du droit d'opposition prévu à son article 110 ; la mise en œuvre des traitements de données, tant lors de leur création que lors de leur utilisation, doit être proportionnée aux finalités poursuivies. Il appartiendra notamment, à ce titre, au pouvoir réglementaire, sous le contrôle du juge, de veiller à ce que les algorithmes utilisés par ces traitements ne permettent de collecter, d'exploiter et de conserver que les données strictement nécessaires à ces finalités.

Le terme « accédant », que n’utilise ni le RGPD, ni la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés mais qui a été créé par la doctrine, désigne, s’agissant d’un traitement automatisé de données mis en œuvre par une administration et encadré par un acte réglementaire, les personnes qui, au sein du responsable de traitement, seront appelées à effectuer les diverses opérations de traitement et, à ce titre, à accéder au système informatique en cause. Les habilitations des différents accédants peuvent être définies par l’acte réglementaire, et ne se limitent généralement pas à la seule consultation des données mais incluent aussi l’enregistrement, la correction ou l’effacement des données.

Par ailleurs, au sens de la réglementation, et notamment du RGPD, les « destinataires » sont les personnes à qui le responsable de traitement peut être amené à communiquer les données et sur lesquelles il doit fournir une information aux personnes concernées. En pratique, cette communication peut prendre plusieurs formes, qu’il s’agisse d’une transmission d’un extrait des données ou d’une simple faculté de consultation par un accès sécurisé au système informatique.

Lorsqu’un projet de décret mentionne des personnes comme « accédants aux données » alors qu’elles ne seront pas seulement chargées de consulter les données mais également de décider de leur recueil, ce point doit être précisé pour éviter toute ambiguïté.

Les dispositions de l'article R. 351‑30 du Code du Travail issues du décret n° 2005‑1624 du 22 décembre 2005 relatif au suivi de la recherche d’emploi organisent les modalités selon lesquelles les agents chargés du contrôle de la recherche d’emploi, par les travailleurs involontairement privés d’emploi, ont accès, pour l’exercice de leur mission, à certaines de ces données, parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques. Elles autorisent des traitements de données à caractère personnel et relèvent, ains‑i, eu égard à la nature des données en cause, des dispositions de l’article 27 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

En conséquence, le Gouvernement était tenu de recueillir l’avis motivé de la Commission nationale de l’informatique et des libertés dès lors que les modifications apportées au traitement antérieurement autorisé par décret en Conseil d’État, qui portent tant sur le champ des personnes ayant accès à ces données que sur les finalités de ce traitement, étaient substantielles.

Il résulte de la combinaison du fait de l’article 11 et de l’article 44 de la loi n°78‑17 du 6 janvier 1978 dans sa rédaction applicable au litige qu’une opération de contrôle consiste pour la Commission à procéder ou à faire procéder par les agents de ses services à des vérifications portant sur tous traitements et à recueillir, sur place ou sur convocation, tout renseignement, document ou justification utile à ses missions, sans que le nombre des opérations de contrôle soit limité. Par suite, le moyen tiré de ce que les membres ou agents de la Commission, qui avaient été habilités par la décision n° 2012‑12C du 31 janvier 2012 de la présidente de la Commission à procéder à la vérification sur place de la conformité des traitements de données à caractère personnel mis en œuvre par la société PS Consulting en matière de vidéosurveillance, auraient irrégulièrement procédé aux contrôles sur place les 15 octobre et 11 décembre 2012, faute pour chacun d’eux d’avoir été précédé d’une nouvelle décision d’y procéder, doit être écarté. En revanche, en vertu du I de l’article 44, chaque opération de contrôle sur place doit être précédée d’une information du procureur de la République.

Si les exigences du procès équitable et du respect des droits de la défense découlant de l’article 6 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales s’appliquent seulement à la procédure de sanction ouverte par la présidente de la CNIL, et non à la phase préalable des enquêtes réalisées par les agents de la Commission, elles nécessitent toutefois que, lors du déroulement de la phase préalable, il ne soit pas porté une atteinte irrémédiable aux droits de la défense des personnes auxquelles des griefs sont ensuite notifiés.

En l’espèce, d’une part, par trois lettres, la CNIL a notifié à la société PS Consulting son droit à s’opposer aux contrôles envisagés et, d’autre part, il ne résulte pas de l’instruction que, faute d’avoir été informée qu’elle pouvait garder le silence pendant les contrôles ou se faire assister par un conseil, la société aurait été amenée à prendre des positions qui lui auraient été particulièrement préjudiciables dans l’établissement des griefs qui lui ont ensuite été notifiés. Par suite, le moyen tiré de la méconnaissance des stipulations de l’article 6 de la convention ne peut qu’être écarté.