1) L'article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que le droit à réparation prévu à cette disposition remplit une fonction compensatoire, en ce qu'une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction dissuasive ou punitive.

2) L'article 82 du règlement 2016/679 doit être interprété en ce sens que d'une part, l'engagement de la responsabilité du responsable du traitement est subordonné à l'existence d'une faute commise par celui‑ci, laquelle est présumée à moins que ce dernier ne prouve que le fait qui a provoqué le dommage ne lui soit nullement imputable ; et, d'autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d'un préjudice moral sur le fondement de cette disposition.

Les articles 22 à 24 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995 doivent être interprétés en ce sens qu'ils ne s'opposent pas à une réglementation nationale permettant aux associations de défense des intérêts des consommateurs d'agir en justice contre l'auteur présumé d'une atteinte à la protection des données à caractère personnel.

Une décision de la Commission constatant un niveau adéquat de protection assuré par un pays tiers, autorisant le transfert des données à caractère personnel vers ce pays, ne saurait « ni annihiler ni réduire les pouvoirs expressément reconnus aux autorités nationales de contrôle par l’article 8 paragraphe 3 de la Charte ». Les autorités nationales de contrôle, saisies par une personne d'une demande relative à la protection de ses droits et libertés à l’égard du traitement des données à caractère personnel la concernant, doivent pouvoir examiner, en toute indépendance, si le transfert de ces données respecte les exigences posées par la directive. L’article 25, paragraphe 6, de la directive 95/46/CE du 24 octobre 1995, lu à la lumière des articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’une décision adoptée au titre de cette disposition, telle que la décision 2000/520/CE de la Commission, du 26 juillet 2000 (« Safe Harbor »), conformément à la directive 95/46 relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États‑Unis d’Amérique, par laquelle la Commission européenne constate qu’un pays tiers assure un niveau de protection adéquat, ne fait pas obstacle à ce qu’une autorité de contrôle d’un État membre, au sens de l’article 28 de cette directive, examine la demande d’une personne relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un État membre vers ce pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui‑ci n’assurent pas un niveau de protection adéquat. Dans l’hypothèse où ladite autorité estime fondés les griefs avancés par la personne ayant saisi une demande relative à la protection de ses droits et libertés à l’égard du traitement de ses données à caractère personnel, cette même autorité doit, conformément à l’article 28, paragraphe 3, premier alinéa, troisième tiret, de la directive 95/46, lu à la lumière notamment de l’article 8, paragraphe 3, de la Charte, pouvoir ester en justice. À cet égard, il incombe au législateur national de prévoir des voies de recours permettant à l’autorité nationale de contrôle concernée de faire valoir les griefs qu’elle estime fondés devant les juridictions nationales afin que ces dernières procèdent, si elles partagent les doutes de cette autorité quant à la validité de la décision de la Commission, à un renvoi préjudiciel aux fins de l’examen de la validité de cette décision.

Attendu que, pour écarter le moyen de nullité visant les interceptions téléphoniques, pris de la violation des articles 100-3 du code de procédure pénale, 4 et 26 de la loi n°78-17 du 6 janvier 1978, en raison de l'intervention d'une société non habilitée par l'autorité de tutelle, l'arrêt attaqué relève que celle‑ci met à disposition des enquêteurs et magistrats le matériel permettant l'acheminement des données, dont elle n'est pas à l'origine et qu'elle ne détient que provisoirement, de manière précaire, en fournissant des moyens techniques ; que les juges ajoutent qu'elle n'est pas chargée de retranscrire les conversations auxquelles elle n'a d'ailleurs pas accès.

Attendu qu'en statuant ainsi, dès lors qu'aucune violation des dispositions légales en matière d'interception de communications téléphoniques ne saurait résulter de la simple fourniture à un service de police du matériel technique lui permettant d'y procéder par un prestataire qui n'accomplit aucun acte de procédure, la chambre de l'instruction a justifié sa décision.

Arrêté créant un traitement ayant pour objet de permettre à des tiers à qui un contribuable a communiqué une copie de son avis d'impôt sur le revenu ou de son justificatif d'impôt sur le revenu, de vérifier l'authenticité des données qui y figurent au moyen d'une consultation directe du justificatif d'impôt sur le revenu du contribuable certifié par l'administration fiscale.

Les destinataires du traitement ne sont définis, par les dispositions de l'arrêté attaqué, que comme les personnes ayant besoin, dans le cadre de leurs activités, de connaître et de vérifier l'authenticité des informations contenues dans le justificatif d'impôt sur le revenu d'un contribuable. Une telle définition ne peut être regardée, eu égard à l'importance des données en cause, comme précisant suffisamment les destinataires ou catégories de destinataires habilités à en recevoir communication, comme l'exige l'article 29 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Dès lors que les dispositions en cause ne sont pas divisibles du reste de l'arrêté attaqué, celui‑ci doit être déclaré illégal.

L'article 6, paragraphe 1, premier alinéa, sous f), du RGPD, lu en combinaison avec l’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 (directive vie privée et communications électroniques), doit être interprété en ce sens qu’il ne s’oppose, en principe, ni à l’enregistrement systématique, par le titulaire de droits de propriété intellectuelle ainsi que par un tiers pour son compte, d’adresses IP d’utilisateurs de réseaux de pair à pair dont les connexions internet ont été prétendument utilisées dans des activités contrefaisantes ni à la communication des noms et des adresses postales de ces utilisateurs à ce titulaire ou à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage prétendument causé par lesdites utilisateurs, à condition toutefois que les initiatives et les demandes en ce sens dudit titulaire ou d’un tel tiers soient justifiées, proportionnées et non abusives et trouvent leur fondement juridique dans une mesure législative nationale, au sens de l’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, qui limite la portée des règles énoncées aux articles 5 et 6 de cette directive, telle que modifiée.

Dans le cadre de rapports employeur/employé, le fait d'effectuer des recherches sur des personnes portant des données à caractère personnel telles qu'antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacements à l'étranger est susceptible de constituer un moyen de collecte déloyal dès lors que, issues de la capture et du recoupement d'informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, ces données ont fait l'objet d'une utilisation sans rapport avec l'objet de leur mise en ligne et ont été recueillies à l'insu des personnes concernées, ainsi privées du droit d'opposition institué par la loi informatique et libertés.

En effet, le fait que les données à caractère personnel collectées en l'espèce par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu'une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d'investigation dans leur vie privée, à l'insu de celles-ci, ne pouvait s'effectuer sans qu'elles en soient informées.

1) S'agissant des traitements de l'État, lorsqu'un Acte réglementaire le régissant désigne le ou les ministères exerçant la responsabilité de traitement au nom de l'État, cela ne fait pas obstacle à la compétence de la CNIL pour contrôler et, le cas échéant, prononcer une injonction à l'égard des autres administrations de l'État à qui l'acte réglementaire confie un rôle dans la mise en œuvre du traitement.

2) S'agissant du traitement des antécédents judiciaires (TAJ), l'article R. 40-23 du code de procédure pénale dispose que le ministère de l'Intérieur exerce la responsabilité de traitement. Cependant, la responsabilité du traitement relevant, in fine, de l'État, la formation restreinte estime qu'elle est compétente pour adresser un rappel aux obligations et une injonction aux administrations de l'État qui ne relèvent pas du ministre de l'Intérieur auxquelles le code de procédure pénale confie un rôle dans la mise en œuvre du traitement. Elle s'estime donc compétente pour prononcer ces mesures à l'égard du ministère de la Justice, à qui les articles 230-8, 230-9 et R. 40-31 et suivants du code de procédure pénale confient, au sein de l'État, un rôle pour assurer le respect par le traitement des règles fixées par la loi Informatique et Libertés.

Les dispositions de l'article R. 351‑30 du Code du Travail issues du décret n° 2005‑1624 du 22 décembre 2005 relatif au suivi de la recherche d’emploi organisent les modalités selon lesquelles les agents chargés du contrôle de la recherche d’emploi, par les travailleurs involontairement privés d’emploi, ont accès, pour l’exercice de leur mission, à certaines de ces données, parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques. Elles autorisent des traitements de données à caractère personnel et relèvent, ains‑i, eu égard à la nature des données en cause, des dispositions de l’article 27 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

En conséquence, le Gouvernement était tenu de recueillir l’avis motivé de la Commission nationale de l’informatique et des libertés dès lors que les modifications apportées au traitement antérieurement autorisé par décret en Conseil d’État, qui portent tant sur le champ des personnes ayant accès à ces données que sur les finalités de ce traitement, étaient substantielles.

Dispositions relatives à un fichier prévoyant que le décret d'application de la loi est pris après avis public conforme de la Commission nationale de l'informatique et des libertés. Or, en vertu de l’article 21 de la Constitution et sous réserve de son article 13, le Premier ministre exerce le pouvoir réglementaire à l’échelon national. Ces dispositions n’autorisent pas le législateur à subordonner à l'avis conforme d’une autre autorité de l’État l’exercice, par le Premier ministre, de son pouvoir réglementaire. Censure, dès lors, du « conforme ».

Il résulte de l'article 90 de la loi n° 78‑17 du 6 janvier 1978, applicable aux traitements de données à caractère personnel relevant de la directive (UE) 2016/80 du 27 avril 2016, mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Lorsque l'Analyse d’impact est exigée préalablement à la création ou à la modification d'un tel traitement mis en œuvre pour le compte de l'État, il appartient à l'administration, sous peine d'irrégularité de l'acte instituant ou modifiant ce traitement, de la réaliser et de la transmettre à la Commission nationale de l'informatique et des libertés (CNIL) dans le cadre de la demande d'avis prévue à l'article 33 de la loi du 6 janvier 1978. Les droits et les libertés des personnes physiques sont ainsi protégés.

Il résulte des dispositions de l'article 15 de la loi du 6 janvier 1978 que, si la commission peut déléguer à son président ou à son vice‑président certaines de ses attributions, seule la commission réunie en formation plénière peut régulièrement émettre un avis sur les projets de texte qui lui sont soumis par le Gouvernement. La CNIL n’a pas délibéré en formation plénière pour ce projet.

La circonstance que l'existence d'un traitement automatisé d'informations nominatives aurait été révélée à l'occasion d'une procédure judiciaire ne saurait, à elle seule, faire obstacle à ce que la Commission nationale de l'informatique et des libertés (CNIL) exerce les attributions qu'elle confie la loi n°78-17 du 6 janvier 1978. En se déclarant incompétente pour connaître des faits dénoncés au seul motif qu'une juridiction avait à connaître de ces faits, la commission a entaché sa décision d'une erreur de droit.

En vertu de l'article 21 de la loi du 6 janvier 1978, dans sa version applicable au litige, lequel renvoie à l'article 40 du code de procédure pénale qui oblige les autorités administratives à dénoncer les crimes et délits à l'autorité judiciaire, il appartient à la Commission nationale de l'informatique et des libertés d'aviser le procureur de la République des faits dont elle a connaissance dans l'exercice de ses attributions, si ces faits lui paraissent suffisamment établis et si elle estime qu'ils portent une atteinte suffisamment caractérisée aux dispositions dont elle a pour mission d'assurer l'application. En revanche, ces dispositions ne font pas obligation à la Commission nationale de l'informatique et des libertés de dénoncer des faits susceptibles d'être punis d'une contravention de police.

La circonstance que des manquements aient été constatés avant la date d’entrée en application du RGPD ne fait pas obstacle à ce que le règlement soit applicable lorsque ces manquements se sont poursuivis après cette date, au-delà du délai imparti par une mise en demeure notifiée par la CNIL.

Le prononcé d’une sanction par la formation restreinte de la CNIL n’est pas subordonné à l’intervention préalable d’une mise en demeure du responsable de traitement ou de son sous‑traitant par le président de la CNIL.

En présence de manquements graves et persistants, notamment le caractère excessif des données collectées, le défaut d'information des personnes concernées, le non‑respect de leur droit d'opposition et le manquement caractérisé à l'obligation de coopération avec l'autorité de contrôle, la CNIL a pu légalement infliger une sanction pécuniaire d'un montant de 500 000 euros, représentant 2,5 % du chiffre d'affaires de l'entreprise, alors même que son bénéfice net était de 180 000 euros.

1) Aucune disposition du RGPD ne permet de considérer que l'infliction d’une amende administrative à une personne morale en tant que responsable du traitement serait soumise à la constatation préalable que cette violation a été commise par une personne physique identifiée. En effet, si le règlement donne aux États membres la possibilité de prévoir des exigences concernant la procédure à suivre par les autorités de contrôle pour imposer une amende, il ne confère pas de marge d’appréciation aux États membres pour prévoir des conditions de fonds supplémentaires, relevant uniquement du droit de l’Union.

Une réglementation nationale ne peut donc prévoir qu’une amende administrative ne peut être infligée à une personne morale en sa qualité de responsable du traitement pour une violation visée aux paragraphes 4 à 6 de l’article 83 RGPD que pour autant que cette violation a été imputée préalablement à une personne physique identifiée.

2) La CJUE rappelle que les conditions de fond devant être respectées par une autorité de contrôle lorsqu’elle impose une amende administrative à un responsable du traitement relèvent uniquement du droit de l’Union, ces conditions étant fixées, de manière précise et sans laisser aux États membres de marge d’appréciation, à l’article 83, paragraphes 1 à 6, du RGPD. Or, l’article 83 du RGPD ne permet pas d’imposer une amende administrative pour une violation visée à ses paragraphes 4 à 6, sans qu’il soit établi que cette violation a été commise délibérément ou par négligence par le responsable du traitement, et que, partant, une violation fautive constitue une condition à l’imposition d’une telle amende.

Un responsable du traitement peut donc être sanctionné pour un comportement entrant dans le champ d’application du RGPD dès lors qu’il ne pouvait ignorer le caractère infractionnel de son comportement, qu’il ait eu ou non conscience d’enfreindre les dispositions du RGPD. Lorsque le responsable du traitement est une personne morale, la CJUE rappelle que l’application de l’article 83 du RGPD ne suppose pas une action ou même une connaissance de l’organe de gestion de cette personne morale.

Si la CNIL ne saurait légalement sanctionner la méconnaissance, en tant que telle, de l'une des recommandations qu'elle adopte sur le fondement de l'article 11 de la loi n°78-17 du 6 janvier 1978, telle que la délibération n°2010-371 du 21 octobre 2010 portant recommandation relative à la sécurité des systèmes de vote électronique, elle peut en tenir compte pour apprécier le respect des dispositions législatives et réglementaires dont cette recommandation a pour seul objet de contribuer à la mise en œuvre et, le cas échéant, prononcer une sanction.

1) Le prononcé d’une sanction par la formation restreinte de la CNIL n’est pas subordonné à l’intervention préalable d’une mise en demeure du responsable du traitement ou de son sous‑traitant, par le président de la CNIL. 2) Alors même que le rapporteur n’a pas voix délibérative, le moyen tiré de la méconnaissance du principe d’impartialité par le rapporteur est de nature, s’il s’avère fondé, à entraîner l’annulation de la sanction prononcée par la formation restreinte de la CNIL.