Le Conseil d'État (section de l'intérieur) a donné un avis favorable à trois projets de décret modifiant les dispositions du code de la sécurité intérieure relatives aux traitements dénominés « Enquêtes administratives liées à la sécurité publique » (EASP), « Prévention des atteintes à la sécurité publique » (PASP) et « Gestion de l'information et prévention des atteintes à la sécurité publique » (GIPASP ).

En premier lieu ces projets ajoutent à la finalité de « sécurité publique » des trois traitements, celle de « sûreté de l'État ». Par suite, les trois traitements deviennent des fichiers mixtes, les données intéressant la sécurité publique relevant du titre III de la loi n° 78‑17 du 6 janvier 1978 et de la directive 2016/680, et celles intéressant la sûreté de l'État du titre IV de la loi du 6 janvier 1978 dite « Informatique et Libertés », et du RGPD.

Ces deux groupes de données étant ainsi soumis à dés régimes juridiques distincts, notamment quant aux droits d'accès, de rectification et d'effacement des personnes concernées, le Conseil d'État a considéré nécessaire que les trois projets de décret comportent une définition des données intéressant la sûreté de l'État, la notion de sûreté de l'État n'ayant jamais été définie par une disposition législative ou réglementaire, ni par la jurisprudence. S'inspirant des dispositions de l'article 410‑1 du code pénal et de l'article L. 811‑1 du code de la sécurité intérieure qui traitent des intérêts fondamentaux de la Nation, et aux seules fins de préciser les finalités des traitements concernés, le Conseil d'État propose que les articles 1ers des trois projets de décret soient complétés afin de prévoir que « Les données intéressant la sûreté de l'État sont celles qui révèlent des activités susceptibles de porter atteinte aux intérêts fondamentaux de la Nation ou de constituer une menace terroriste portant atteinte à ces mêmes intérêts (…) ».

En second lieu le Conseil d'État a considéré que l'indication de l'enregistrement ou non d'une personne dans les traitements de données énumérées par les articles modifiés R. 236‑2, R. 236‑12 et R. 236‑22 du code de la sécurité intérieure, ainsi que l'enregistrement de données à caractère personnel issues d'autres traitements, constituaient une mise en relation de fichier et non une interconnexion. En effet, ces enregistrements ne procèdent ni d'une consultation automatique d'un des traitements énumérés, aux fins de vérifier si l'identité d'une personne y est enregistrée, ni d'une inscription automatique de cette information ou d'autres informations la concernant au nombre des données pouvant être enregistrées dans l'un des trois traitements examinés.

Les réponses écrites fournies par un candidat lors d'un examen professionnel et les éventuelles annotations de l'examinateur relatives à ces réponses constituent des données à caractère personnel. Le candidat a, en principe, un droit d'accès à ces données.

Si les données nominatives figurant dans le traitement des antécédents judiciaires (TAJ) portent sur des informations recueillies au cours d'enquêtes préliminaires ou de flagrance ou d'investigations exécutées sur commission rogatoire et concernant tout crime ou délit ainsi que certaines contraventions de cinquième classe, les décisions en matière d'effacement ou de rectification prises par le procureur de la République ou par le magistrat désigné à cet effet, qui ont pour objet la tenue à jour de ce fichier et sont détachables d'une procédure judiciaire, constituent non pas des mesures d'administration judiciaire, mais des actes de gestion administrative du fichier. Elles peuvent, par suite, faire l'objet d'un recours pour excès de pouvoir devant le juge administratif.

1) L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus du président de la CNIL d'engager une procédure sur le fondement de l'article 20 de la loi n° 78‑17 du 6 janvier 1978 et, notamment, de saisir la formation restreinte sur le fondement du III de cet article, y compris lorsque la commission a procédé à des mesures d'instruction, constaté l'existence d'un manquement aux dispositions de cette loi et pris l'une des mesures prévues au I et II de ce même article.

2) a) En revanche, lorsque le président de la CNIL a saisi la formation restreinte sur le fondement du III de cet article, l'auteur de la plainte n'a pas intérêt à contester la décision prise à l'issue de cette procédure, quel qu'en soit le dispositif.

b) Toutefois, lorsque l'auteur de la plainte se fonde sur la méconnaissance par un responsable de traitement des droits garantis par la loi à la personne concernée à l'égard des données à caractère personnel la concernant, notamment les droits d'accès, de rectification, d'effacement, de limitation et d'opposition mentionnés aux articles 49, 50, 51, 53 et 56 de la loi du 6 janvier 1978, celui‑ci, s'il ne peut contester devant le juge l'absence ou l'insuffisance de sanction une fois que la formation restreinte a été saisie, est toujours recevable à demander l'annulation du refus du président de la CNIL de mettre en demeure le responsable de traitement de satisfaire à la demande dont il a été saisi par cette personne ou du refus de la formation restreinte de lui enjoindre d'y procéder.

Lorsque l’auteur d’une plainte se fonde sur la méconnaissance des droits qu’il tient du I de l’article 40 de la loi Informatique et Libertés du 6 janvier 1978, notamment du droit de rectification de ses données personnelles, le pouvoir d’appréciation de la CNIL pour décider des suites à y donner s’exerce, eu égard à la nature des droits individuels en cause, sous l’entier contrôle du juge de l’excès de pouvoir.

1) L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus du président de la CNIL d'engager une procédure sur le fondement de l'article 20 de la loi n°78-17 du 6 janvier 1978, et, notamment, de saisir la formation restreinte sur le fondement du III de cet article, y compris lorsque la commission a procédé à des mesures d'instruction, constaté l'existence d'un manquement aux dispositions de cette loi et pris l'une des mesures prévues au I et II de ce même article.

2) a) En revanche, lorsque le président de la CNIL a saisi la formation restreinte sur le fondement du III de cet article, l'auteur de la plainte n'a pas intérêt à contester la décision prise à l'issue de cette procédure, quel qu'en soit le dispositif.

b) Toutefois, lorsque l'auteur de la plainte se fonde sur la méconnaissance par un responsable de traitement des droits garantis par la loi à la personne concernée à l'égard des données à caractère personnel la concernant, notamment les droits d'accès, de rectification, d'effacement, de limitation et d'opposition mentionnés aux articles 49, 50, 51, 53 et 56 de la loi du 6 janvier 1978, celui-ci, s'il ne peut contester devant le juge l'absence ou l'insuffisance de sanction une fois que la formation restreinte a été saisie, est toujours recevable à demander l'annulation du refus du président de la CNIL de mettre en demeure le responsable de traitement de satisfaire à la demande dont il a été saisi par cette personne ou du refus de la formation restreinte de lui enjoindre d'y procéder.

1) L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus du président de la CNIL d'engager une procédure sur le fondement de l'article 20 de la loi n°78-17 du 6 janvier 1978, et, notamment, saisir la formation restreinte sur le fondement du III de cet article, y compris lorsque la commission a procédé à des mesures d'instruction, constaté l'existence d'un manquement aux dispositions de cette loi et pris l'une des mesures prévues au I et II de ce même article.

2) a) En revanche, lorsque le président de la CNIL a saisi la formation restreinte sur le fondement du III de cet article, l'auteur de la plainte n'a pas intérêt à contester la décision prise à l'issue de cette procédure, quel qu'en soit le dispositif.

b) Toutefois, lorsque l'auteur de la plainte se fonde sur la méconnaissance par un responsable de traitement des droits garantis par la loi à la personne concernée à l'égard des données à caractère personnel la concernant, notamment les droits d'accès, de rectification, d'effacement, de limitation et d'opposition mentionnés aux articles 49, 50, 51, 53 et 56 de la loi du 6 janvier 1978, celui-ci, s'il ne peut contester devant le juge l'absence ou l'insuffisance de sanction une fois que la formation restreinte a été saisie, est toujours recevable à demander l'annulation du refus du président de la CNIL de mettre en demeure le responsable de traitement de satisfaire à la demande dont il a été saisi par cette personne ou du refus de la formation restreinte de lui enjoindre d'y procéder.