Dans le cadre d'un traitement mis en œuvre pour le compte de l'État et contenant des données de santé recueillies par des professionnels de santé, couvertes par le secret médical, il revient au responsable du traitement de s'assurer que les personnes accédants au traitement ou destinataires des données qui pourraient avoir connaissance des données couvertes par le secret médical ont bien le droit d'en connaître.

Excepté dans les cas de dérogation expressément prévus par la loi, ce secret couvre l'ensemble des informations concernant la personne portée à la connaissance d'un professionnel de santé, de tout membre du personnel d'un établissement, service ou organisme concourant à la prévention ou aux soins, et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. La Commission rappelle que ce secret s'impose à tous les professionnels intervenant dans le système de santé qui pourraient être amenés à transmettre des informations afin qu'elles soient enregistrées dans le traitement.

Compte tenu de leur nature et des traitements dont elles peuvent faire l'objet, les données de connexion fournissent sur les personnes en cause des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. Par ailleurs, elles ne présentent pas de lien direct avec l'évaluation de la situation de l'intéressé au regard du droit à prestation ou de l'obligation de cotisation. Dans ces conditions, en instaurant un tel droit de communication de données de connexion, le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre le droit au respect de la vie privée et la lutte contre la fraude en matière de protection sociale.

Il résulte de l'article 90 de la loi n° 78‑17 du 6 janvier 1978, applicable aux traitements de données à caractère personnel relevant de la directive « Police - Justice » mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Lorsque l'analyse d'impact est exigée préalablement à la création ou à la modification d'un tel traitement mis en œuvre pour le compte de l'État, il appartient à l'administration, à peine d'irrégularité de l'acte instituant ou modifiant ce traitement, de la réaliser et de la transmettre à la Commission nationale de l'informatique et des libertés (CNIL) dans le cadre de la demande d'avis prévue à l'article 33 de la loi du 6 janvier 1978. Cette analyse doit porter sur les risques élevés pour les droits et libertés des personnes physiques.

Le paragraphe I de l'article L. 852‑1 du code de la sécurité intérieure autorise les interceptions administratives de correspondances émises par la voie des communications électroniques ; les personnes appartenant à l'entourage d'une personne concernée par l'autorisation d'interception peuvent également faire l'objet de ces interceptions lorsqu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Le paragraphe II de ce même article prévoit que, pour les finalités mentionnées aux 1°, 4° et a) du 5° de l'article L. 811‑3, l'utilisation d'un appareil ou dispositif permettant d'intercepter, sans le consentement de leur auteur, des paroles ou des correspondances émises, transmises ou reçues par la voie électronique ou d'accéder à des données informatiques peut être autorisée afin d'intercepter des correspondances émises ou reçues par un équipement terminal. Ces techniques de recueil de renseignement s'exercent, sauf disposition spécifique, dans les conditions prévues au chapitre I du titre II du code de la sécurité intérieure :

• elles sont autorisées par le Premier ministre, sur demande écrite et motivée du ministre de la défense, du ministre de l'intérieur ou des ministres chargés de l'économie, du budget ou des douanes, après avis préalable de la Commission nationale de contrôle des techniques de renseignement et ne peuvent être mises en œuvre que par des agents individuellement désignés et habilités ;

• elles sont réalisées sous le contrôle de la Commission nationale de contrôle des techniques de renseignement dont la composition et l'organisation sont définies aux articles L. 831‑1 à L. 832‑5 dans des conditions qui assurent son indépendance et dont les missions sont définies aux articles L. 833‑1 à L. 833‑11 dans des conditions qui assurent l'effectivité de son contrôle ;

• conformément aux dispositions de l'article L. 841‑1, le Conseil d'État peut être saisi par toute personne souhaitant vérifier qu'aucune technique de recueil de renseignement n'est irrégulièrement mise en œuvre à son égard ou par la Commission nationale de contrôle des techniques de renseignement ;

• en application des dispositions de l'article L. 871‑6, les opérations matérielles nécessaires à la mise en place de ces techniques ne peuvent être exécutées, dans leurs réseaux respectifs, que par des agents qualifiés des services ou organismes placés sous l'autorité ou la tutelle du ministre chargé des communications électroniques ou des exploitants de réseaux ou fournisseurs de services de télécommunications.

Par ailleurs, ces techniques ne peuvent être mises en œuvre que pour les finalités énumérées à l'article L. 811‑3 ; le nombre maximal des autorisations d'interception en vigueur simultanément est arrêté par le Premier ministre après avis de la Commission nationale de contrôle des techniques de renseignement ; afin de faciliter le contrôle de cette commission, l'exécution de ces interceptions est centralisée ; en outre, en ce qui concerne les interceptions réalisées au moyen de la technique prévue au paragraphe II de l'article L. 851‑2, l'autorisation ne peut être délivrée que pour certaines des finalités mentionnées à l'article L. 811‑3, qui sont relatives à la prévention d'atteintes particulièrement graves à l'ordre public ; les correspondances ainsi interceptées sont détruites dès qu'il apparaît qu'elles sont sans lien avec l'autorisation délivrée et au plus tard trente jours à compter de leur recueil.

Il résulte de ce qui précède que le législateur n'a pas, par les dispositions précitées, opéré une conciliation manifestement déséquilibrée entre, d'une part, la prévention des atteintes à l'ordre public et celle des infractions, et d'autre part, le droit au respect de la vie privée et le secret des correspondances.

1) Le droit au recours garanti par la Charte des droits fondamentaux impose de permettre aux personnes qui sont détentrices d’informations dont l'administration nationale demande la communication, dans le cadre d’une procédure de coopération entre États membres, de former un recours direct contre cette demande d'informations.

2) En revanche, les États membres peuvent priver d'une telle voie de recours direct le contribuable visé par une enquête fiscale et les tiers concernés par les informations en cause, dès lors qu'il existe d'autres voies de recours permettant à ces derniers d'obtenir un contrôle incident de ladite demande.

3) Par ailleurs, une demande d'informations peut valablement porter sur des catégories d’informations plutôt que sur des informations précises, si ces catégories sont délimitées au moyen de critères établissant leur caractère « vraisemblablement pertinent ».

La mention, dans un registre accessible au public, des noms du constituant, des bénéficiaires et de l’administrateur d’un trust fournit des informations sur la manière dont une personne entend disposer de son patrimoine. Il en résulte une atteinte au droit au respect de la vie privée. Or, le législateur, qui n’a pas précisé la qualité ni les motifs justifiant la consultation du registre, n’a pas limité le cercle des personnes ayant accès aux données de ce registre, placé sous la responsabilité de l’administration fiscale. Dès lors, les dispositions contestées portent au droit au respect de la vie privée une atteinte manifestement disproportionnée au regard de l’objectif poursuivi.

1) L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la Commission nationale de l'informatique et des libertés (CNIL) d'y donner suite. Il appartient au juge de censurer ce refus en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir. En revanche, lorsque la CNIL a décidé d'instruire une plainte, l'auteur de celle-ci n'a intérêt à contester ni la décision prise à l'issue de cette instruction, quel qu'en soit le dispositif, ni la clôture de sa plainte prononcée subséquemment.

2) Il s'ensuit que l'auteur d'une plainte n'est pas recevable à demander l'annulation de la sanction prononcée par la CNIL à l'encontre d'un tiers à l'issue de l'instruction de la plainte qu'il a formée, en tant que celle-ci ne serait pas assez sévère. En revanche, l'auteur d'une plainte est recevable à déférer au juge de l'excès de pouvoir le refus de la CNIL de lui fournir les informations relatives aux suites données à sa plainte auxquelles il a droit en application des dispositions de l'article 11 2° c) de la loi n°78‑17 du 6 janvier 1978. Il résulte de ces dispositions que, lorsque la plainte conduit à sanctionner la personne mise en cause, la complète information de son auteur comprend nécessairement, y compris lorsque la sanction a été rendue publique, la communication de la nature des manquements retenus et de la teneur de la sanction prononcée, sous réserve des secrets protégés par la loi.

Pour l'application des articles 8 et 20 de la loi n° 78‑17 du 6 janvier 1978, la CNIL dispose, s'agissant de l'usage des prérogatives qui lui ont été conférées pour l'accomplissement de ses missions, d'un large pouvoir d'appréciation, en particulier pour ce qui concerne l'exercice de son pouvoir de sanction, que ce soit pour apprécier l'opportunité d'engager des poursuites de sa propre initiative ou pour décider des suites à donner aux plaintes qu'elle peut recevoir. À cet égard, la Commission peut tenir compte de la gravité des manquements en cause au regard de la législation ou de la réglementation qu'elle est chargée de faire appliquer, de la date à laquelle ils ont été commis, du contexte dans lequel ils l'ont été et, plus généralement, de l'ensemble des intérêts généraux dont elle a la charge. Il lui est loisible, dans ce domaine comme dans tout autre domaine relevant de ses attributions, de rendre publiques les orientations qu'elle a arrêtées pour l'exercice de ses pouvoirs.

1) L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la Commission nationale de l'informatique et des libertés (CNIL) d'y donner suite. Il appartient au juge de censurer ce refus en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir. En revanche, lorsque la CNIL a décidé d'instruire une plainte, l'auteur de celle-ci n'a intérêt à contester ni la décision prise à l'issue de cette instruction, quel qu'en soit le dispositif, ni la clôture de sa plainte prononcée subséquemment.

2) Il s'ensuit que l'auteur d'une plainte n'est pas recevable à demander l'annulation de la sanction prononcée par la CNIL à l'encontre d'un tiers à l'issue de l'instruction de la plainte qu'il a formée, en tant que celle-ci ne serait pas assez sévère. En revanche, l'auteur d'une plainte est recevable à déférer au juge de l'excès de pouvoir le refus de la CNIL de lui fournir les informations relatives aux suites données à sa plainte auxquelles il a droit en application des dispositions de l'article 11 2° c) de la loi n° 78‑17 du 6 janvier 1978 dans sa rédaction applicable. Il résulte de ces dispositions que, lorsque la plainte conduit à sanctionner la personne mise en cause, la complète information de son auteur comprend nécessairement, y compris lorsque la sanction a été rendue publique, la communication de la nature des manquements retenus et de la teneur de la sanction prononcée, sous réserve des secrets protégés par la loi.