L'article 17 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, abrogeant le cadre 2008/977/JAI du Conseil, lu en combinaison avec l'article 46, paragraphe 1, sous g), l'article 47, paragraphes 1 et 2, et l'article 53, paragraphe 1, de cette directive ainsi qu'avec l'article 8, paragraphe 3, et l'article 47 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens que lorsque les droits d'une personne ont été exercés, en application dudit article 17, par l'intermédiaire de l'autorité de contrôle compétente et que cette autorité informe ladite personne du résultat des vérifications opérées, cette dernière doit disposer d'un recours juridictionnel effectif contre la décision de ladite autorité de clôturer le processus de vérification.

1) a) En application des stipulations de l'article 106 de la Convention d'application de l'accord de Schengen du 19 juin 1990, il incombe aux autorités françaises, saisies par une personne qui conteste son inscription dans le système informatique national du Système d'Information Schengen (SIS), de procéder, dans le cas d'un signalement opéré par la France, à l'effacement des données entachées d'erreur de droit ou d'erreur de fait. Dans le cas d'un signalement opéré par un État Partie autre que la France, il appartient à l'autorité de contrôle française, dès lors qu'elle estime disposer d'indices faisant présumer qu'une donnée est entachée d'erreur de droit ou de fait, d'en aviser les autorités de cet État.

b) Il ressort des stipulations des articles 106 et 114 de la convention du 19 juin 1990 que la Commission nationale de l'informatique et des libertés, lorsqu'elle saisit l'autorité de contrôle d'un État signalant en vue de la vérification et de l'effacement d'une inscription, est tenue de procéder à l'examen de ce signalement en étroite coordination avec celle‑ci, sans que sa responsabilité puisse être transférée à l'autorité requise. Elle doit demander l'ensemble des informations lui permettant de procéder à ce contrôle, et, en cas de désaccord avec l'autorité requise, saisir l'autorité de contrôle commune mentionnée par le paragraphe 3 de l'article 106. Si, dans certains cas limitativement énumérés par la convention, la Commission nationale de l'informatique et des libertés est tenue de ne pas communiquer au demandeur les informations le concernant, ces stipulations ne font pas obstacle à ce qu'elle exerce son contrôle sur le bien‑fondé du signalement en « étroite coordination » avec l'autorité correspondante de l'État signalant.

2) Le requérant, ressortissant français, a saisi la Commission nationale de l'informatique et des libertés d'une demande d'effacement des données le concernant contenues dans le système informatique national du Système d'Information Schengen (SIS), en faisant notamment état de sa mobilisation au début des années 1990 aux côtés d'opposants tunisiens pour dénoncer les violations par le régime tunisien des droits de l'homme et des libertés fondamentales, et en indiquant « avoir fait manifestement l'objet d'une dénonciation calomnieuse des services de ce pays ». La Commission nationale de l'informatique et des libertés, après avoir constaté que l'intéressé avait été signalé par les autorités allemandes, a saisi le 18 mai 2004 l'autorité de contrôle allemande chargée d'exercer un contrôle de la partie nationale du Système d'Information Schengen (SIS) dans le cadre de la procédure de coordination prévue au paragraphe 2 de l'article 114 de la convention du 19 juin 1990. L'autorité de contrôle allemande lui a répondu qu’« au terme de la vérification effectuée par le délégué régional compétent en matière de protection des données, (…) rien ne s'oppose, du point de vue du droit en matière de protection des données, au signalement de l'intéressé au Système d'Information Schengen (SIS) ».

Dans ces circonstances, et eu égard à l'ensemble des éléments d'information produits par le requérant, la Commission nationale de l'informatique et des libertés, en se fondant sur cette seule réponse, sans demander communication des informations nécessaires au contrôle sollicité, pour refuser de poursuivre la procédure relative à la demande d'effacement du signalement de l'intéressé, a méconnu les stipulations des articles 106 et 114 de la convention du 19 juin 1990. Elle a ainsi entaché sa décision d'erreur de droit. Le requérant est fondé à en demander l'annulation.

3) Cette annulation implique que la Commission nationale de l'informatique et des libertés reprenne la procédure de vérification relative au signalement du requérant, en « étroite coordination » avec l'autorité de contrôle allemande, aux fins d'aboutir soit au rejet de la demande en accord avec les autorités allemandes, soit à l'effacement des données litigieuses par les autorités allemandes, soit enfin, en cas de désaccord, à la saisine de l'autorité de contrôle commune mentionnée au paragraphe 3 de l'article 106 de la convention du 19 juin 1990.

En présence de manquements graves et persistants, notamment le caractère excessif des données collectées, le défaut d'information des personnes concernées, le non‑respect de leur droit d'opposition et le manquement caractérisé à l'obligation de coopération avec l'autorité de contrôle, la CNIL a pu légalement infliger une sanction pécuniaire d'un montant de 500 000 euros, représentant 2,5 % du chiffre d'affaires de l'entreprise, alors même que son bénéfice net était de 180 000 euros.

Lorsqu'elle prononce une sanction, la formation restreinte de la CNIL n'est pas tenue de se prononcer sur l'ensemble des critères mentionnés au 2° de l'article 83 du RGPD mais uniquement sur ceux sur lesquels elle fonde sa décision. Par ailleurs, la formation restreinte n'est pas tenue de procéder à une explicitation du mode de détermination du montant de la sanction qu'elle prononce.

Si la CNIL ne saurait légalement sanctionner la méconnaissance, en tant que telle, de l'une des recommandations qu'elle adopte sur le fondement de l'article 11 de la loi n°78-17 du 6 janvier 1978, telle que la délibération n°2010-371 du 21 octobre 2010 portant recommandation relative à la sécurité des systèmes de vote électronique, elle peut en tenir compte pour apprécier le respect des dispositions législatives et réglementaires dont cette recommandation a pour seul objet de contribuer à la mise en œuvre et, le cas échéant, prononcer une sanction.

1) L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la Commission nationale de l'informatique et des libertés (CNIL) d'y donner suite. Il appartient au juge de censurer ce refus en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir. En revanche, lorsque la CNIL a décidé d'instruire une plainte, l'auteur de celle-ci n'a intérêt à contester ni la décision prise à l'issue de cette instruction, quel qu'en soit le dispositif, ni la clôture de sa plainte prononcée subséquemment.

2) Il s'ensuit que l'auteur d'une plainte n'est pas recevable à demander l'annulation de la sanction prononcée par la CNIL à l'encontre d'un tiers à l'issue de l'instruction de la plainte qu'il a formée, en tant que celle-ci ne serait pas assez sévère. En revanche, l'auteur d'une plainte est recevable à déférer au juge de l'excès de pouvoir le refus de la CNIL de lui fournir les informations relatives aux suites données à sa plainte auxquelles il a droit en application des dispositions de l'article 11 2° c) de la loi n° 78‑17 du 6 janvier 1978 dans sa rédaction applicable. Il résulte de ces dispositions que, lorsque la plainte conduit à sanctionner la personne mise en cause, la complète information de son auteur comprend nécessairement, y compris lorsque la sanction a été rendue publique, la communication de la nature des manquements retenus et de la teneur de la sanction prononcée, sous réserve des secrets protégés par la loi.

Un requérant ne saurait utilement opposer à la CNIL l’interprétation que celle‑ci aurait faite par le passé des dispositions législatives et réglementaires dont elle a pour mission d’assurer l’application.