1) L'article 4, paragraphe 1, sous c), de la directive (UE) 2016/680 (directive « Police‑justice ») du 27 avril 2016 (principes relatifs au traitement des données à caractère personnel), lu à la lumière des articles 7 et 8 ainsi que de l'article 52, paragraphe 1, de la charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu'il ne s'oppose pas à une Réglementation nationale qui octroie aux autorités compétentes la possibilité d'accéder aux données contenues dans un téléphone portable, à des fins de prévention, de recherche, de détection et de poursuite d'infractions pénales en général, si cette réglementation :

• définit de manière suffisamment précise la nature ou les catégories des infractions concernées,

• garantit le respect du principe de proportionnalité, et

• soumet l'exercice de cette possibilité, sauf cas d'urgence dûment justifié, à un contrôle préalable d'un juge ou d'une entité administrative indépendante.

2) Les articles 13 et 54 de la directive 2016/680 (droit à l'information et droit d'accès), lus à la lumière de l'article 47 et de l'article 52, paragraphe 1, de la charte des droits fondamentaux doivent être interprétés en ce sens qu'ils s'opposent à une réglementation nationale qui autorise les autorités compétentes à tenter d'accéder à des données contenues dans un téléphone portable sans informer la personne concernée, dans le cadre des procédures nationales applicables, des motifs sur lesquels repose l'autorisation d'accéder à ces données, délivrée par un juge ou une entité administrative indépendante, à partir du moment où la communication de cette information n'est plus susceptible de compromettre les missions incombant à ces autorités en vertu de cette directive.

Le projet de décret étend la liste des nationalités éligibles au dispositif PARAFE aux ressortissants de cinq États tiers à l’entrée et à l’ensemble des ressortissants de pays tiers, sans condition de nationalité, à la sortie.

La CNIL estime que ces évolutions apparaissent légitimes au regard du besoin opérationnel invoqué. Elles entraînent néanmoins une augmentation du volume de données traitées et de personnes concernées par le traitement. Dès lors, une attention particulière devra être portée aux modalités d’information concrètes de mise en œuvre du traitement, s’agissant notamment de l’information des personnes. La CNIL souligne que l’obligation d’informer les personnes pèse sur le responsable de traitement. Outre les mesures déjà prévues (éléments de communication comportant des mentions obligatoires, tenue d’audits…), des mesures supplémentaires devraient être déployées pour garantir que les gestionnaires fournissent, au moment de la collecte, l’ensemble des informations énumérées à l’article 13 du RGPD.

Pour assurer l’effectivité des droits des personnes, l’information sur le traitement doit, en outre, être complétée d’éléments relatifs:
- au caractère facultatif, prévu par l’article R. 232‑6 du CSI, du recours au sas PARAFE pour le franchissement des frontières;
- et – le cas échéant – à l’articulation de PARAFE avec d’autres dispositifs de facilitation des contrôles.

Enfin, l’information fournie à la frontière et disponible sur les sites web précités devrait être traduite en plusieurs langues. La CNIL constate qu’elle devrait être traduite a minima en anglais et accompagnée de pictogrammes.

2) L’article R. 232‑8 du CSI prévoit que les données collectées sont « traitées à la seule fin de permettre l’authentification biométrique du voyageur et la consultation prévue à l’article R. 232‑9, permettant le contrôle aux frontières ». Autrement dit, les données alphanumériques collectées sont utilisées pour consulter, dans le cadre des contrôles prévus par le règlement (UE) 2016/399: le fichier des personnes recherchées, le système d’information Schengen et le fichier des documents de voyage volés et perdus d’Interpol. Ces traitements font alors l’objet d’une mise en relation avec PARAFE.

Le projet de décret supprime la mention des traitements consultés et prévoit, en conséquence, que les données sont traitées non plus pour la consultation de ces derniers, mais pour « la collecte des données nécessaires aux contrôles aux frontières ».

La CNIL ne remet pas en cause l’absence d’obligation de mentionner, au sein du projet de décret, les mises en relation. Elle rappelle néanmoins que, dans certains cas particuliers, leur mention peut constituer une bonne pratique, notamment lorsque les finalités principales du traitement sont étroitement liées à quelques mises en relation particulières. La transparence vis‑à‑vis du public quant aux conditions de mise en œuvre de ces opérations participe également de l’équilibre entre l’objectif poursuivi par les traitements en cause et le respect de la vie privée des personnes concernées (sur ce point, v. CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021‑061, publié). Au regard de ces éléments, la CNIL recommande de maintenir, au niveau du décret, la mention des mises en relation. À défaut, elle recommande vivement au ministère de décrire sur son site web l’ensemble des mises en relation réalisées avec d’autres traitements.

1) a) Il résulte de l'article 82 de la loi n°78‑17 du 6 janvier 1978, éclairé par les dispositions respectives de la directive 2002/58/CE telles qu’interprétées par la Cour de justice de l’Union européenne dans son arrêt C‑673/17 du 1er octobre 2019 et du RGPD, que pour que le consentement préalable puisse être regardé comme consentement éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. En particulier, si l'éditeur d'un site qui dépose des « cookies » doit être considéré comme un responsable de traitement, y compris lorsqu’il sous‑traite à des tiers la gestion de « cookies » mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour le leur compte propre. Il résulte clairement de l'article 7, point 1, du RGPD que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des responsables ou co‑responsables du traitement de données doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement.

b) Il découle des dispositions de l'article 82 de la loi n°78‑17 du 6 janvier 1978 que le consentement de l'utilisateur doit porter sur chacune des finalités poursuivies par le traitement de données et que toute nouvelle finalité ultérieure, compatible avec la ou les finalités initiales, assignée au traitement de données est soumise au recueil d'un consentement propre. Le respect d'une telle exigence implique à tout le moins, dans l'hypothèse où le recueil du consentement serait effectué de manière globale, qu'il soit précédé d'une information spécifique à chacune des finalités.

2) Il résulte clairement de la combinaison de l'article 4, point 11 et de l'article 7, paragraphe 3 du RGPD avec l'article 82 de la loi n°78‑17 du 6 janvier 1978 que, d'une part, en l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier, et que, d'autre part, il peut retirer son consentement à tout moment. Il s'ensuit que la CNIL qui, en indiquant qu'il devait « être aussi facile de refuser ou de retirer son consentement que de le donner », s'est bornée à caractériser les conditions du refus de l'utilisateur sans définir de modalités techniques particulières d'expression d'un tel refus, n'a entaché sa délibération d'aucune méconnaissance des règles applicables en la matière.

3) La CNIL affirme, à l'article 2 de sa recommandation, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des « cookies walls ». En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posée par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978 cité au point 3. Il s'ensuit que la délibération attaquée est, dans cette mesure, entachée d'illégalité.

ème ème

1) Les dispositions de l'article 32 de la loi n°78‑17 du 6 janvier 1978 éclairées par les objectifs de la directive n°2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques qu'elles transposent, instituent une obligation d'information claire et complète des utilisateurs d'internet sur les témoins de connexion (cookies) qui sont susceptibles d'être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu'ils visitent un site. Ces témoins de connexion et les informations qu'ils contiennent étant par la suite accessibles lors de connexions ultérieures à internet à l'aide du même terminal, elles imposent, d'une part, une information des utilisateurs de services de communications électroniques, en particulier des utilisateurs d'internet, sur la finalité de ces cookies et les moyens dont ils disposent pour s'y opposer. Elles imposent, d'autre part, le recueil de leur consentement avant tout dépôt de cookies sur le terminal grâce auquel ils accèdent à ces services. Ne sont pas concernés par ces obligations les cookies qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. En revanche, le fait que certains cookies ayant une finalité publicitaire soient nécessaires à la viabilité économique d'un site ne saurait conduire à les regarder comme « strictement nécessaires à la fourniture » du service de communication en ligne.

2) Alors que la société requérante soutient qu'elle s'est mise en conformité avec ces exigences, en proposant aux personnes concernées le paramétrage de leur navigateur pour s'opposer au dépôt de cookies, les éléments portés à la connaissance des utilisateurs du site « www.challenges.fr » ne leur permettaient ni de différencier clairement les catégories de cookies susceptibles d'être déposés sur leur terminal, ni de s'opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition. Dans ces conditions, c'est à bon droit que la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d'opposition au dépôt de cookies et en a déduit qu'il n'avait pas été remédié au manquement à l'obligation d'information et de mise en œuvre d'un mécanisme d'opposition en cas de dépôt de témoins de connexion qu'elle avait constaté dans sa mise en demeure.

Lorsqu'un identifiant mobile est créé pour chaque compte utilisateur sur les serveurs d'une société, des « informations » sont lues sur l'équipement terminal de ce dernier afin de permettre d'associer les requêtes émises à un compte utilisateur (c'est‑à‑dire le fait que l'utilisateur effectue une recherche, télécharge ou achète des applications) et, plus tard, d'affecter cet utilisateur unique à des segments au sein d'un univers nécessitant une authentification (univers « authentifié » ou « logué »). Même si la principale fonction de ces informations serait de permettre l'authentification d’un utilisateur au sein d'un univers logué – ce qui constituerait en soi une finalité dispensée du recueil du consentement car strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur – la circonstance que les informations collectées grâce à ces témoins de connexion soient également utilisées pour permettre la segmentation à des fins publicitaires empêche nécessairement lesdits témoins de connexion de rentrer dans les catégories de traceurs dont la lecture est exemptée du recueil du consentement au sens de l'article 82 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

L'article 12 de la directive 2002/58/CE du 12 juillet 2002 (directive «vie privée et communications électroniques») doit être interprété en ce sens qu'il ne s'oppose pas à une réglementation nationale qui fait obligation à une entreprise publiant des annuaires publics de transmettre des données à caractère personnel qu'elle détient concernant les abonnés d'autres fournisseurs de services téléphoniques à une entreprise tierce dont l'activité consiste à publier un annuaire public imprimé ou électronique ou à rendre de tels annuaires consultables par l'intermédiaire de services de renseignements, sans qu'une telle transmission soit subordonnée à un nouveau consentement des abonnés, pour autant toutefois que, d'une part, ces derniers ont été informés avant la première inscription de leurs données dans un annuaire public de la finalité de celui-ci ainsi que du fait que ces données seraient susceptibles d'être communiquées à un autre fournisseur de services téléphoniques; et que, d'autre part, il est garanti que lesdites données ne seront pas, à l'exception de leur transmission, utilisées à des fins autres que celles pour lesquelles elles ont été collectées en vue de leur première publication.

1) Les données des médecins référencés sur un service d'annuaire, bien que déjà publiquement accessibles et d'ordre professionnel, sont des données personnelles. Dès lors, elles ne peuvent être réutilisées par les éditeurs de tels annuaires que dans le respect du règlement général sur la protection des données (RGPD).

2) À cet égard, la CNIL estime que lorsque ces annuaires consistent uniquement à référencer des professionnels et se limitent, par défaut (c'est-à-dire sauf intervention directe de ces derniers), à rediffuser les données « élémentaires » sur leur activité (données d'identité, spécialités / domaines d'expertise, coordonnées du lieu d'exercice de la profession, etc.) qui se trouvent publiées dans un format ouvert en vertu d'un cadre légal spécifique (en l'espèce, dans le cadre du « Répertoire partagé des professionnels intervenant dans le système de santé »), leur licéité n'est pas subordonnée au recueil d'un consentement préalable du professionnel concerné.

3) Pour autant, si un consentement n'est pas requis, les éditeurs d'annuaires doivent informer les personnes dont ils traitent les données des finalités qu'ils poursuivent et des conditions de mise en œuvre de leurs traitements. Une telle information permet aux personnes de conserver la maîtrise des usages qui sont faits de leurs données, en les mettant notamment en mesure d'exercer leurs droits, dont celui de pouvoir s'opposer à un tel traitement.

1) Il résulte de l’article 14 du RGPD que, lorsqu’un prospecteur récupère un numéro de téléphone d’un tiers, par exemple un fournisseur d’accès à internet (FAI), à des fins de prospection téléphonique, il doit informer la personne prospectée du traitement de ces données pour cette finalité, au plus tard lors de l’appel téléphonique.

2) Lorsqu’une information prévue par le RGPD est fournie dans le cadre d’échanges téléphoniques, il est admis que cette information puisse se limiter aux éléments les plus importants pour l’interlocuteur, afin de rester brève, à condition d’indiquer un moyen d’obtenir les informations complètes (exemples : touche à activer sur le téléphone, courriel reçu par l’interlocuteur, renvoi vers une page web). L’information sur le traitement des données transmises par les FAI, notamment les coordonnées téléphoniques des personnes, à des fins de prospection téléphonique, en application de l’article 14 du RGPD, et celle relative à l’enregistrement de la conversation, en application de l’article 13 du RGPD, peuvent par ailleurs être fusionnées.

1) La transmission de données personnelles à des tiers (qui en sont alors destinataires au sens du RGPD), lorsqu’elle ne constitue pas un moyen d’atteindre la finalité initialement prévue pour le traitement de ces données, n’est en principe possible que si elle est compatible avec cette finalité première. En particulier, dans le cas d’une vente d’une base de données, l’appréciation de cette compatibilité nécessite, sauf exception, que le vendeur connaisse la finalité pour laquelle la base de données sera utilisée par l’acheteur et ne vende la base que pour cet usage. L’appréciation de la nécessité d’un consentement se fait au cas par cas.

2) a) S’agissant de la revente d’une base de données de clients ou prospects d’une société en situation de liquidation, en vue de sa réutilisation à des fins de prospection commerciale, la CNIL considère que, eu égard à la finalité initiale de la base de données et du contexte de liquidation de l’entreprise, cette vente peut en principe être regardée comme compatible avec le traitement initial des données. Un consentement peut cependant être requis en raison des règles spécifiques à la prospection par voie électronique.

b) Les bases légales mobilisables pour la transmission, à titre onéreux ou non, de données à caractère personnel à des partenaires commerciaux souhaitant les réutiliser à des fins commerciales dépendent du canal utilisé pour la prospection faite par ces partenaires : prospection par voie électronique ou prospection par voie postale/téléphonique.

i) Si la transmission a pour finalité de permettre aux partenaires commerciaux de réaliser de la prospection électronique qui nécessite le recueil du consentement préalable des personnes en application des dispositions de l’article L.34‑5 du code des postes et des communications électroniques, l’organisme transmettant les données doit informer les personnes concernées et recueillir leur consentement à cette transmission en application de l’article 6‑1‑a du RGPD.

ii) Si la transmission a pour finalité de permettre aux partenaires commerciaux de réaliser de la prospection sur la base de leur intérêt légitime (prospection non électronique, c’est‑à‑dire réalisée par voie téléphonique ou postale), elle peut elle‑même être réalisée sur le fondement de l’intérêt légitime en application de l’article 6‑1‑f du RGPD. Dans ce cadre, l’organisme transmettant les données doit informer les personnes concernées de la finalité de cette transmission et des catégories de partenaires rendus destinataires des données et offrir aux personnes concernées, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais et de manière simple, à la transmission de leurs données à caractère personnel.

c) Il résulte de l’ensemble de ces exigences que la vente d’une base de données à des fins de prospection commerciale par l’acquéreur n’est possible que si :
- la base est vendue spécifiquement pour cette finalité, et non pour tout usage des données;
- il est prévu d’informer les personnes dont les données figurant dans la base de données de la vente;
- ces personnes vont, selon le cas, soit donner leur consentement, soit pouvoir s’opposer à figurer dans la base vendue.

Dans le cadre de rapports employeur/employé, le fait d'effectuer des recherches sur des personnes portant des données à caractère personnel telles qu'antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacements à l'étranger est susceptible de constituer un moyen de collecte déloyal dès lors que, issues de la capture et du recoupement d'informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, ces données ont fait l'objet d'une utilisation sans rapport avec l'objet de leur mise en ligne et ont été recueillies à l'insu des personnes concernées, ainsi privées du droit d'opposition institué par la loi informatique et libertés.

En effet, le fait que les données à caractère personnel collectées en l'espèce par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu'une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d'investigation dans leur vie privée, à l'insu de celles-ci, ne pouvait s'effectuer sans qu'elles en soient informées.

Lorsque la finalité du système de vidéosurveillance installé dans une copropriété est la prévention et la poursuite des atteintes aux personnes et aux biens, la copropriété peut licitement, eu égard aux finalités du traitement et au regard du considérant 50 du RGPD, communiquer à son initiative les images issues du système de vidéosurveillance aux forces de l'ordre, si cette communication est utile aux finalités du traitement, notamment lorsqu'il s'agit de faits relevant d'une qualification pénale. Dans un tel cas, les forces de l'ordre interviennent en tant que destinataires du traitement et l'information sur le traitement prévu à l'article 13 du RGPD doit le mentionner. En toute autre hypothèse, et notamment si la communication se fait à la demande des forces de l'ordre ou pour des faits ne relevant pas des finalités du traitement définies par le syndic de copropriété, les forces de l'ordre doivent être regardées comme accédant aux données en qualité de tiers autorisé. Dans ce cadre, la communication de données à caractère personnel ne peut intervenir que sur réquisition judiciaire, dans le respect des dispositions pertinentes du code de procédure pénale.

Les dispositions du II de l'article 31 de la loi n°78-17 du 6 janvier 1978, qui régissent les modalités de publication des avis de la CNIL sur les décrets autorisant la mise en œuvre de certains traitements de données à caractère personnel mis en œuvre pour le compte de l'État, sont sans incidence sur la légalité de ce décret. Par suite, un requérant ne peut utilement soutenir que la circonstance que l'avis de la CNIL ait été publié quelques jours après la publication du décret entacherait ce dernier d'irrégularité.

S'il incombe au responsable d'un traitement de données à caractère personnel de fournir à toute personne concernée par l'inscription de données personnelles dans ce traitement, dès leur enregistrement, l'ensemble des informations prévues au I de l'article 32 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction applicable au litige, y compris quand ces données personnelles ne sont pas recueillies auprès de la personne concernée elle‑même, la méconnaissance de ces obligations par le responsable d'un traitement ne peut en tout état de cause être utilement invoquée à l'appui de conclusions dirigées contre l'acte portant création de ce traitement.

Aucune disposition de la loi n°78‑17 du 6 janvier 1978 ni aucune autre disposition ni aucun principe n'impose la publication d'un avis rendu par la CNIL sur le fondement du d) de l’article 11 sur un projet d'arrêté préalablement à son adoption.

1) Une décision par laquelle la CNIL refuse de donner suite à une demande tendant à ce qu'elle mette en œuvre les pouvoirs d'enquête dont elle peut faire usage sur le fondement de l'article 11 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, lorsqu'elle est saisie d'une réclamation, pétition ou plainte relative à la mise en œuvre des traitements de données à caractère personnel, est susceptible de faire l'objet d'un recours pour excès de pouvoir.

2) Toutefois, si l'intéressé se borne à demander à la CNIL de manière générale, de faire respecter la loi du 6 juillet 1978 relative à l'informatique, aux fichiers et aux libertés et de faire « effacer l'ensemble des fichiers contenant des données personnelles collectées par les services consulaires français sans information préalable des personnes concernées », la CNIL ne commet pas d'erreur manifeste d'appréciation en ne donnant pas suite à ces réclamations.

Il résulte de la combinaison du fait de l’article 11 et de l’article 44 de la loi n°78‑17 du 6 janvier 1978 dans sa rédaction applicable au litige qu’une opération de contrôle consiste pour la Commission à procéder ou à faire procéder par les agents de ses services à des vérifications portant sur tous traitements et à recueillir, sur place ou sur convocation, tout renseignement, document ou justification utile à ses missions, sans que le nombre des opérations de contrôle soit limité. Par suite, le moyen tiré de ce que les membres ou agents de la Commission, qui avaient été habilités par la décision n° 2012‑12C du 31 janvier 2012 de la présidente de la Commission à procéder à la vérification sur place de la conformité des traitements de données à caractère personnel mis en œuvre par la société PS Consulting en matière de vidéosurveillance, auraient irrégulièrement procédé aux contrôles sur place les 15 octobre et 11 décembre 2012, faute pour chacun d’eux d’avoir été précédé d’une nouvelle décision d’y procéder, doit être écarté. En revanche, en vertu du I de l’article 44, chaque opération de contrôle sur place doit être précédée d’une information du procureur de la République.

Si les exigences du procès équitable et du respect des droits de la défense découlant de l’article 6 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales s’appliquent seulement à la procédure de sanction ouverte par la présidente de la CNIL, et non à la phase préalable des enquêtes réalisées par les agents de la Commission, elles nécessitent toutefois que, lors du déroulement de la phase préalable, il ne soit pas porté une atteinte irrémédiable aux droits de la défense des personnes auxquelles des griefs sont ensuite notifiés.

En l’espèce, d’une part, par trois lettres, la CNIL a notifié à la société PS Consulting son droit à s’opposer aux contrôles envisagés et, d’autre part, il ne résulte pas de l’instruction que, faute d’avoir été informée qu’elle pouvait garder le silence pendant les contrôles ou se faire assister par un conseil, la société aurait été amenée à prendre des positions qui lui auraient été particulièrement préjudiciables dans l’établissement des griefs qui lui ont ensuite été notifiés. Par suite, le moyen tiré de la méconnaissance des stipulations de l’article 6 de la convention ne peut qu’être écarté.

1) En vertu des dispositions de l'article 44 de la loi n°78‑17 du 6 janvier 1978 et de l'article 61 du décret n°2005‑1309 du 20 octobre 2005, lorsque des membres ou agents de la Commission nationale de l'informatique et des libertés (CNIL) opèrent un contrôle dans des locaux servant à la mise en œuvre d'un traitement de données à caractère personnel, le procureur territorialement compétent doit être informé au plus tard vingt‑quatre heures avant le contrôle. 2) En l'espèce, si l'information a été communiquée au procureur territorialement compétent à 15 h pour un contrôle qui a débuté le lendemain à 9 h 15, soit dans un délai inférieur de cinq heures quarante‑cinq minutes au délai de vingt‑quatre heures prescrit, cette circonstance, dont il n'est pas établi ni même soutenu que la brièveté de ces délais aurait fait obstacle à l'exercice par le procureur de ses pouvoirs et par suite privé la société requérante d'une des garanties légales dont elle pouvait se prévaloir, ne constitue pas une violation de la légalité de la décision de sanction prononcée par la CNIL.

L'exercice des pouvoirs que la commission tient de l’article 44 de la loi n°78‑17 du 6 janvier 1978 modifiée et des articles 61 et 62 du décret du 20 octobre 2005 ne permet à ses membres et agents d’accéder à des locaux professionnels pour y accomplir les opérations prévues par ces dispositions que sous réserve que le responsable des locaux n'use pas de la faculté, qui lui est reconnue par ce texte, de s'opposer à la visite, laquelle ne peut alors avoir lieu qu'avec l’autorisation et sous le contrôle du juge judiciaire. Une telle garantie ne présente un caractère effectif que si le responsable des locaux ou le représentant qu’il a désigné à cette fin a été préalablement informé de son droit de s'opposer à la visite et mis à même de l'exercer.

La CNIL est tenue d'informer la personne morale où elle exerce un contrôle sur le fondement de l'article 44 de la loi Informatique et Libertés de ce qu'elle peut s'opposer à la visite. La seule mention que le contrôle est effectué en application de cet article ne saurait tenir lieu de l'information requise. Par suite, la sanction prononcée reposant sur les faits constatés lors des contrôles effectués a été prise au terme d'une procédure irrégulière.

Requérant demandant l'annulation d'une décision portant création d'un traitement de données à caractère personnel et produisant à l'appui de sa demande des éléments qui ne permettent, en l'état, ni de regarder comme établie l'existence d'un tel traitement ni, par suite, d'identifier une éventuelle décision de le créer. Il appartient au requérant, s'il estime cependant que ces éléments sont de nature à faire présumer de l'existence d'un traitement de données personnelles et s'il s'y croit fondé, de demander à la Commission nationale de l'informatique et des libertés (CNIL) de faire usage des pouvoirs qu'elle détient pour vérifier la licéité des traitements au regard des dispositions de la loi n°78‑17 du 6 janvier 1978. En l'état, rejet des conclusions à fin d'annulation présentées par le requérant.