Le projet d'accord entre le Canada et l'Union européenne sur le transfert et le traitement de données des dossiers passagers permet le transfert systématique et continu des données PNR de l'ensemble des passagers aériens à une autorité canadienne en vue de leur utilisation et de leur conservation, ainsi que de leur éventuel transfert ultérieur à d'autres autorités et d'autres pays tiers, dans le but de lutter contre le terrorisme et les formes graves de criminalité transnationale. À cet effet, l'accord envisagé prévoit, entre autres, une durée de stockage des données de cinq ans ainsi que des exigences en matière de sécurité et d'intégrité des données PNR, un masquage immédiat des données sensibles, des droits d'accès aux données, de rectification et d'effacement et la possibilité d'introduire des recours administratifs ou judiciaires.

La Cour juge que certaines stipulations du projet d'accord envisagé sont incompatibles avec les droits fondamentaux, à moins que celui‑ci ne soit révisé pour mieux encadrer et préciser les ingérences. Cet accord doit, pour être compatible avec les articles 7 et 8 ainsi qu'avec l'article 52, paragraphe 1, de la Charte des droits fondamentaux:

a) déterminer de manière claire et précise les données des dossiers passagers à transférer depuis l'Union européenne vers le Canada;

b) prévoir que les modèles et les critères utilisés dans le cadre du traitement automatisé des données des dossiers passagers seront spécifiques, fiables et non discriminatoires; prévoir que les bases de données utilisées seront limitées à celles exploitées par le Canada en rapport avec la lutte contre le terrorisme et la criminalité transnationale grave;

c) soumettre, hormis dans le cadre des vérifications relatives aux modèles et aux critères préétablis sur lesquels sont fondés les traitements automatisés des données des dossiers passagers, l'utilisation de ces données par l'autorité canadienne compétente pendant le séjour des passagers aériens au Canada et après leur départ de ce pays, ainsi que toute communication desdites données à d'autres autorités, à des conditions matérielles et procédurales fondées sur des critères objectifs; subordonner cette utilisation et cette communication, sauf cas d'urgence dûment justifiés, à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante, dont la décision autorisant l'utilisation intervient à la suite d'une demande motivée de ces autorités, notamment dans le cadre de procédures de prévention, de détection ou de poursuites pénales;

d) limiter la conservation des données des dossiers passagers après le départ des passagers aériens à celles des passagers à l'égard desquels il existe des éléments objectifs permettant de considérer qu'ils pourraient présenter un risque en termes de lutte contre le terrorisme et la criminalité transnationale grave;

e) soumettre la communication des données des dossiers passagers par l'autorité canadienne compétente aux autorités publiques d'un pays tiers à la condition qu'il existe soit un accord entre l'Union européenne et ce pays tiers équivalent à l'accord entre le Canada et l'Union européenne sur le transfert et le traitement de données des dossiers passagers, soit une décision de la Commission européenne, au titre de l'article 25, paragraphe 6, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, couvrant les autorités vers lesquelles la communication des données des dossiers passagers est envisagée;

f) prévoir un droit à l'information individuelle des passagers aériens en cas d'utilisation des données des dossiers passagers les concernant pendant leur séjour au Canada et après leur départ de ce pays ainsi qu'en cas de divulgation de ces données par l'autorité canadienne compétente à d'autres autorités ou à des particuliers, et

g) garantir que la surveillance des règles prévues par l'accord entre le Canada et l'Union européenne sur le transfert et le traitement de données des dossiers passagers, relatives à la protection des passagers aériens à l'égard du traitement des données des dossiers passagers les concernant, est assurée par une autorité de contrôle indépendante.

Arrêté créant un traitement ayant pour objet de permettre à des tiers à qui un contribuable a communiqué une copie de son avis d'impôt sur le revenu ou de son justificatif d'impôt sur le revenu, de vérifier l'authenticité des données qui y figurent au moyen d'une consultation directe du justificatif d'impôt sur le revenu du contribuable certifié par l'administration fiscale.

Les destinataires du traitement ne sont définis, par les dispositions de l'arrêté attaqué, que comme les personnes ayant besoin, dans le cadre de leurs activités, de connaître et de vérifier l'authenticité des informations contenues dans le justificatif d'impôt sur le revenu d'un contribuable. Une telle définition ne peut être regardée, eu égard à l'importance des données en cause, comme précisant suffisamment les destinataires ou catégories de destinataires habilités à en recevoir communication, comme l'exige l'article 29 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Dès lors que les dispositions en cause ne sont pas divisibles du reste de l'arrêté attaqué, celui‑ci doit être déclaré illégal.

1) L'article 17 du RGPD doit être interprété en ce sens que la demande de suppression des données à caractère personnel d'un abonné tendant à la suppression de ses données à caractère personnel des annuaires constitue un recours au « droit à l'effacement » au sens de cet article.

2) L'article 5, paragraphe 2, et l'article 24 du RGPD doivent être interprétés en ce sens qu'une autorité de contrôle nationale peut exiger que le fournisseur d'annuaires, en tant que responsable du traitement, prenne les mesures techniques et organisationnelles appropriées pour informer les responsables de traitement tiers, à savoir l'opérateur de services téléphoniques qui lui a communiqué les données à caractère personnel de son abonné ainsi que les autres fournisseurs d'annuaires auxquels il a fourni de telles données, du retrait de consentement de cet abonné.

3) L'article 17, paragraphe 2, du RGPD, doit être interprété en ce sens qu'il ne s'oppose pas à ce qu'une autorité de contrôle nationale ordonne à un fournisseur d'annuaires et de services de renseignements téléphoniques accessibles au public, auquel l'abonné d'un opérateur de services téléphoniques a demandé de ne plus publier les données à caractère personnel le concernant, de prendre des « mesures raisonnables », au sens de cette disposition, afin d'informer les fournisseurs de moteurs de recherche de cette demande d'effacement des données.

4) L'article 12, paragraphe 2, de la directive 2002/58, lu en combinaison avec l'article 2, second alinéa, sous f), de cette directive et avec l'article 95 du RGPD, doit être interprété en ce sens que le « consentement », au sens de l'article 4, point 11, du RGPD, de l'abonné d'un opérateur de services téléphoniques est exigé afin que les données à caractère personnel de cet abonné figurent dans les annuaires et les services de renseignements téléphoniques accessibles au public publiés par des fournisseurs autres que cet opérateur, ce consentement pouvant être fourni soit audit opérateur soit à l'un de ces fournisseurs.

La création d'un compte sur une plateforme de vente en ligne ne préjuge pas de la commande éventuelle de produits auprès de cette plateforme. En absence d'achat, la plateforme de vente en ligne ne peut utilement invoquer le bénéfice de l'Exception, créée par l’Article L. 34-5 du CPCE (code des postes et des communications électroniques), permettant la prospection sans consentement préalable lorsque les coordonnées du destinataire ont été recueillies auprès de lui à l'occasion d'une vente ou d'une prestation de services si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale.

Dès lors, il appartient à la plateforme de vente en ligne de recueillir le consentement préalable, libre, spécifique et informé des personnes créant un compte sur le site web de la société sans avoir procédé à un achat, afin de recevoir des messages de prospection directe par courriers électroniques, conformément à l'alinéa 1 de l’Article L. 34-5 du CPCE.

Les articles 6 et 7, paragraphe 1, sous b) et c), ainsi que directive 95/46, ne s’opposent pas à une réglementation nationale qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation soit nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment, en ce qui concerne le temps de travail.

La Suède a instauré un système de contrôle du personnel pour les titulaires de postes importants pour la sécurité nationale ou les candidats à de tels postes. Ce système consiste en la collecte d'informations tirées de registres de police. Une ordonnance détaille les conditions de collecte et contient des dispositions explicites et détaillées sur la nature des renseignements pouvant être communiqués (antécédents personnels ou politiques), les autorités destinataires, les circonstances de pareille communication et la procédure que le Conseil national de la police, organe compétent pour décider de la communication desdites informations, doit suivre avant de se décider.

La Cour EDH affirme que la mémorisation et la communication des données relatives à la vie privée, assorties du refus d'accorder au requérant la faculté de les réfuter, portent atteinte à son droit au respect de sa vie privée, garanti par l'article 8 paragraphe 1 de la conv. EDH.

Si la Cour EDH reconnaît que le système mis en place poursuit un but légitime, la protection de la sécurité nationale, elle recherche si cette ingérence est « prévue par la loi » et « nécessaire dans une société démocratique ».

L'expression « prévue par la loi », au sens du paragraphe 2 de l'article 8 (art. 8 - 2), veut d'abord que l'ingérence ait une base en droit interne, mais l'observation de celui‑ci ne suffit pas : la loi en cause doit être accessible à l'intéressé, qui en outre doit pouvoir en prévoir les conséquences pour lui (voir, mutatis mutandis, l'arrêt Malone du 2 août 1984, série A no 82, pp. 31 - 32, par. 66). En l'espèce, il existe des dispositions explicites et détaillées sur la nature des renseignements pouvant être communiqués, les autorités destinataires, les circonstances de pareille communication et la procédure que le Conseil national de la police doit suivre avant de s'y décider. Aussi, l'ingérence litigieuse était donc "prévue par la loi" au sens de l'article 8.

S'agissant du caractère « nécessaire dans une société démocratique », la notion de nécessité implique une ingérence fondée sur un besoin social impérieux, et notamment proportionnée au but légitime recherché. Les autorités nationales jouissent d'une marge d'appréciation dont l'ampleur dépend non seulement de la finalité, mais encore du caractère propre de l'ingérence. En l'occurrence, il échec de mettre en balance l'intérêt de l'État défendeur à protéger sa sécurité nationale avec la gravité de l'atteinte au droit du requérant au respect de sa vie privée.

La Cour admet, la marge dont l'État défendeur disposait pour apprécier en l'espèce le besoin social impérieux, et notamment pour choisir les moyens de sauvegarder la sécurité nationale, revêtait une grande ampleur. Néanmoins, la Cour doit se convaincre de l'existence de garanties adéquates et suffisantes contre les abus car un système de surveillance secrète destiné à protéger la sécurité nationale crée un risque de saper, voire de détruire, la démocratie au motif de la défendre (arrêt Klass et autres du 6 septembre 1978, série A no 28, pp. 23 - 24, paras. 49 - 50). La Cour conclut ainsi que les garanties dont s'entoure le système suédois de contrôle du personnel, par exemple la présence de parlementaires dans le Conseil national et le contrôle du ministre de la Justice, remplissent les exigences du paragraphe 2 de l'article 8. Vu sa grande marge d'appréciation, le gouvernement défendeur était en droit de considérer que les intérêts de la sécurité nationale prévalaient en l'occurrence sur les intérêts individuels du requérant. L'ingérence que M. Leander a subie ne saurait donc passer pour disproportionnée au but légitime poursuivi. La Cour EDH exclut la violation de l'article 8 CEDH.

Dans le cadre de rapports employeur/employé, le fait d'effectuer des recherches sur des personnes portant des données à caractère personnel telles qu'antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacements à l'étranger est susceptible de constituer un moyen de collecte déloyal dès lors que, issues de la capture et du recoupement d'informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, ces données ont fait l'objet d'une utilisation sans rapport avec l'objet de leur mise en ligne et ont été recueillies à l'insu des personnes concernées, ainsi privées du droit d'opposition institué par la loi informatique et libertés.

En effet, le fait que les données à caractère personnel collectées en l'espèce par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu'une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d'investigation dans leur vie privée, à l'insu de celles-ci, ne pouvait s'effectuer sans qu'elles en soient informées.

Il résulte des articles 13 et 15 du RGPD, des dispositions des titres II et III de la loi informatique et libertés relatives aux obligations d'information et au droit d'accès, et des dispositions du code de la sécurité intérieure régissant spécifiquement la vidéoprotection, notamment l’article R. 253‑6, que le responsable de traitement, s’il est tenu d’informer d’une façon adaptée au contexte et aux objectifs poursuivis, sur l’existence de la vidéoprotection d’un territoire, d’une zone ou d’un bâtiment, et de fournir l’ensemble des mentions et informations prévues par ces textes, n’est pas tenu à ce titre de communiquer l’emplacement exact de chaque caméra.

En l’espèce, la commune, qui a mis en place un grand nombre de panneaux d’information situés à proximité des caméras et des grands axes de circulation, lesquels contiennent un renvoi vers une information disponible sur le site web de la ville, a satisfait à l’obligation d'information telle que prévue par les dispositions de l’article 13 du RGPD. La commune n’était pas tenue d’informer les personnes sur l’emplacement des caméras de surveillance ni de communiquer ces informations à l’auteur de la plainte au titre de son droit d'accès au sens de l’article 15 du RGPD. En effet, ni l’article 13 ni l’article 15 n’exige la communication de telles informations.

1) Dans le cadre d'un traitement automatisé autorisé par la loi et ayant pour finalité de garantir le droit au séjour des ressortissants étrangers en situation régulière et de lutter contre l’entrée et le séjour irrégulier en France, un décret se bornant à apporter à ce traitement les modifications nécessaires pour les besoins du téléservice n'a pas à rappeler les principes relatifs au traitement des données à caractère personnel énoncés par l'article 5 du RGPD, ni les obligations du responsable de traitement fixées par l'article 24 du même règlement.

2) Le droit d'information n'impose pas que l'acte portant création du traitement automatisé de données à caractère personnel, ni l'acte modifiant ses caractéristiques, fixe les modalités d'une telle information.

Le décret n°2020‑151 du 20 février 2020 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes) autorise le ministre de l’intérieur à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé GendNotes.

L’une des finalités du traitement est de « faciliter le recueil et la conservation en vue de leur exploitation ultérieure dans d’autres traitements de données » notamment par le biais d’un système de pré‑renseignement des données collectées.

Le Conseil d’État annule ledit décret au motif que le traitement ne satisfait pas à l’exigence « déterminée, explicite et légitime ». En effet, dès lors qu’un décret prévoit, au titre des finalités du traitement, sa mise en relation avec d’autres traitements, il doit comporter des indications quant à la nature ou à l’objet des traitements concernés ou aux conditions d’exploitation, dans ces autres traitements, des données collectées par le traitement initial, afin de satisfaire à l’exigence d’une finalité « déterminée, explicite et légitime » énoncée au 2° de l’article 4 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

1) La catégorie de données éléments issus des constatations et investigations strictement nécessaires à la conduite et à la résolution de la procédure judiciaire est en principe trop imprécise pour fournir un encadrement satisfaisant à un traitement régi par un acte réglementaire. Néanmoins, dans le cas particulier d’un logiciel de rédaction d’actes relatifs aux faits les plus divers en lien avec toutes les procédures auxquelles participe la gendarmerie nationale, et eu égard à la difficulté particulière qui s’attache à l’énumération de toutes les catégories de données à caractère personnel pouvant être traitées dans un tel cadre, une telle formulation peut être admise. 2) a) Une mise en relation de traitements ne constitue pas en elle‑même une finalité d’un traitement, qui devrait alors figurer expressément dans l’acte réglementaire en autorisant la mise en œuvre, mais un moyen concourant à une finalité du traitement. Lorsque la mise en relation avec un autre traitement poursuit une finalité propre et distincte des finalités précisées dans l’acte autorisant la mise en œuvre du traitement en cause ou lorsque cette mise en relation constitue l’unique finalité de ce traitement, les articles 4 et 35 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés imposent de mentionner l’objet de ces mises en relation dans l’acte réglementaire de manière suffisamment explicite et précise. b) Si la liste de toutes les interconnexions, rapprochements ou autres mises en relation ne doit pas nécessairement figurer dans l’acte autorisant la création d’un traitement, leur mention peut néanmoins constituer une bonne pratique dans certains cas particuliers, notamment lorsque ces mises en relation sont étroitement liées aux finalités du traitement concerné. À défaut d’une telle mention, il est recommandé aux responsables de traitements autorisés par acte réglementaire, en particulier pour les traitements correspondant à des bases de données importantes, de décrire sur leur site web l’ensemble des mises en relation réalisées avec d’autres bases de données. c) Lorsque des traitements mis en relation sont encadrés par des actes réglementaires, la mise en relation doit respecter les dispositions régissant les traitements concernés, que cette mise en relation soit ou non mentionnée dans les actes autorisant la création de ces traitements. En particulier, l’opération de mise en relation doit être conforme aux finalités, aux catégories de données et aux accédants ou destinataires fixés par les actes réglementaires concernés. Pour être licite, le transfert de données d’une base vers une autre doit ainsi s’inscrire ou concourir aux finalités poursuivies par la base d’origine ou à celles associées aux transmissions à des destinataires ; les données transférées doivent être autorisées à figurer dans la base de destination et au moins une personne habilitée à alimenter la base de destination doit constituer un accédant ou un destinataire de la base d’origine.

Il ne résulte pas des dispositions des articles 29 et 32 de la loi du 6 janvier 1978 que l'acte portant création d'un traitement de données à caractère personnel doive mentionner les modalités d'information des personnes dont les données sont recueillies.

Arrêté créant un traitement ayant pour objet de permettre à des tiers à qui un contribuable a communiqué une copie de son avis d'impôt sur le revenu ou de son justificatif d'impôt sur le revenu, de vérifier l'authenticité des données qui y figurent au moyen d'une consultation directe du justificatif d'impôt sur le revenu du contribuable certifié par l'administration fiscale.

Les destinataires du traitement ne sont définis, par les dispositions de l'arrêté attaqué, que comme les personnes ayant besoin, dans le cadre de leurs activités, de connaître et de vérifier l'authenticité des informations contenues dans le justificatif d'impôt sur le revenu d'un contribuable. Une telle définition ne peut être regardée, eu égard à l'importance des données en cause, comme précisant suffisamment les destinataires ou catégories de destinataires habilités à en recevoir communication, comme l'exige l'article 29 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Dès lors que les dispositions en cause ne sont pas divisibles du reste de l'arrêté attaqué, celui-ci doit être déclaré illégal.

Lorsque l'avis de la CNIL est réputé donné en vertu de l'article 6‑1 du décret du 20 octobre 2005, la circonstance que le décret adopté diffère de la version soumise à la CNIL n'emporte pas son irrégularité si cette nouvelle version ne soulève aucune question nouvelle.

Les dispositions du II de l'article 31 de la loi n°78-17 du 6 janvier 1978, qui régissent les modalités de publication des avis de la CNIL sur les décrets autorisant la mise en œuvre de certains traitements de données à caractère personnel mis en œuvre pour le compte de l'État, sont sans incidence sur la légalité de ce décret. Par suite, un requérant ne peut utilement soutenir que la circonstance que l'avis de la CNIL ait été publié quelques jours après la publication du décret entacherait ce dernier d'irrégularité.

Les obligations consacrées à l’article 32 du RGPD, qui doivent être respectées en toute hypothèse et indépendamment de l'existence ou non d'une obligation d'information en vertu de l’article 14 de ce règlement, sont de nature et de portée différentes par rapport à l'obligation d'information prévue à l’article 14. Ainsi, en cas de Réclamation au titre de l’article 77, paragraphe 1, du RGPD, au motif que le responsable du traitement a invoqué, à tort, l'exception prévue à l’article 14, paragraphe 5, sous c), de ce règlement, l'objet des vérifications à effectuer par l'autorité de contrôle est circonscrit par le champ d'application du seul article 14 dudit règlement; le respect de l’article 32 de celui‑ci ne fait pas partie de ces vérifications.

1) En application de l'article 77 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD), toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle si elle considère que le traitement de données à caractère personnel la concernant constitue une violation de ce règlement. Cette autorité de contrôle informe l'auteur de la réclamation de l'état d'avancement et de l'issue de la réclamation, y compris de la possibilité d'exercer un recours juridictionnel en vertu de l'article 78 lorsque l'autorité de contrôle compétente ne traite pas sa réclamation ou n'informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de sa réclamation.

2) En application du 2° du I de l'article 8 de la loi n° 78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la Commission nationale de l'informatique et des libertés (CNIL) traite les réclamations et plaintes introduites par une personne concernée, examine ou enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête est nécessaire. L'article 10 du décret n° 2019‑536 du 29 mai 2019 précise que le silence gardé pendant trois mois par la commission sur une réclamation vaut décision implicite de rejet. Une personne concernée à laquelle la Commission a adressé une réponse, avant l'échéance de ce délai de trois mois, l'informant de la saisine du délégué à la protection des données de la société faisant l'objet de la réclamation et de ce qu'elle serait tenue informée de la suite réservée à cette réclamation, et dont la plainte a finalement été clôturée par une décision répondant à l'ensemble de ses demandes, n'est pas fondée à soutenir qu'une décision implicite de rejet serait née du silence gardé par la CNIL sur ses demandes.

Il résulte de la combinaison du fait de l’article 11 et de l’article 44 de la loi n°78‑17 du 6 janvier 1978 dans sa rédaction applicable au litige qu’une opération de contrôle consiste pour la Commission à procéder ou à faire procéder par les agents de ses services à des vérifications portant sur tous traitements et à recueillir, sur place ou sur convocation, tout renseignement, document ou justification utile à ses missions, sans que le nombre des opérations de contrôle soit limité. Par suite, le moyen tiré de ce que les membres ou agents de la Commission, qui avaient été habilités par la décision n° 2012‑12C du 31 janvier 2012 de la présidente de la Commission à procéder à la vérification sur place de la conformité des traitements de données à caractère personnel mis en œuvre par la société PS Consulting en matière de vidéosurveillance, auraient irrégulièrement procédé aux contrôles sur place les 15 octobre et 11 décembre 2012, faute pour chacun d’eux d’avoir été précédé d’une nouvelle décision d’y procéder, doit être écarté. En revanche, en vertu du I de l’article 44, chaque opération de contrôle sur place doit être précédée d’une information du procureur de la République.

Si les exigences du procès équitable et du respect des droits de la défense découlant de l’article 6 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales s’appliquent seulement à la procédure de sanction ouverte par la présidente de la CNIL, et non à la phase préalable des enquêtes réalisées par les agents de la Commission, elles nécessitent toutefois que, lors du déroulement de la phase préalable, il ne soit pas porté une atteinte irrémédiable aux droits de la défense des personnes auxquelles des griefs sont ensuite notifiés.

En l’espèce, d’une part, par trois lettres, la CNIL a notifié à la société PS Consulting son droit à s’opposer aux contrôles envisagés et, d’autre part, il ne résulte pas de l’instruction que, faute d’avoir été informée qu’elle pouvait garder le silence pendant les contrôles ou se faire assister par un conseil, la société aurait été amenée à prendre des positions qui lui auraient été particulièrement préjudiciables dans l’établissement des griefs qui lui ont ensuite été notifiés. Par suite, le moyen tiré de la méconnaissance des stipulations de l’article 6 de la convention ne peut qu’être écarté.

L'exercice des pouvoirs que la commission tient de l’article 44 de la loi n°78‑17 du 6 janvier 1978 modifiée et des articles 61 et 62 du décret du 20 octobre 2005 ne permet à ses membres et agents d’accéder à des locaux professionnels pour y accomplir les opérations prévues par ces dispositions que sous réserve que le responsable des locaux n'use pas de la faculté, qui lui est reconnue par ce texte, de s'opposer à la visite, laquelle ne peut alors avoir lieu qu'avec l’autorisation et sous le contrôle du juge judiciaire. Une telle garantie ne présente un caractère effectif que si le responsable des locaux ou le représentant qu’il a désigné à cette fin a été préalablement informé de son droit de s'opposer à la visite et mis à même de l'exercer.

La CNIL est tenue d'informer la personne morale où elle exerce un contrôle sur le fondement de l'article 44 de la loi Informatique et Libertés de ce qu'elle peut s'opposer à la visite. La seule mention que le contrôle est effectué en application de cet article ne saurait tenir lieu de l'information requise. Par suite, la sanction prononcée reposant sur les faits constatés lors des contrôles effectués a été prise au terme d'une procédure irrégulière.