1) D'une part, les articles 5‑1a du RGPD et 4‑1° de la loi du 6 janvier 1978 disposent que tout traitement de données à caractère personnel doit être « licite ». D'autre part, l'article 16 de cette loi donne compétence à la formation restreinte de la Commission nationale de l'informatique et des libertés pour sanctionner les responsables de traitement ou sous‑traitants qui ne respectent pas les obligations découlant du RGPD et de la loi Informatique et Libertés. Il en résulte que, lorsqu'une disposition limite expressément les finalités d'un traitement de données à caractère personnel, que celle‑ci soit contenue dans un acte réglementaire autorisant et régissant un traitement particulier de données sur le fondement des articles 31 et suivants de la loi Informatique et Libertés ou des dispositions qui y renvoient, ou qu'elle résulte d'une disposition législative ou réglementaire spéciale limitant la ou les finalités d'un traitement ou d'une catégorie de traitement, la formation restreinte de la CNIL est compétente pour sanctionner le traitement illicite que constitue la méconnaissance de cette disposition. 2) La formation restreinte est donc compétente en l'espèce pour examiner le manquement à l'article 5‑1a du RGPD qui résulterait, selon la rapporteur, de la méconnaissance de l'article L. 37 du code électoral prohibant l'utilisation des listes électorales, qui contiennent des données personnelles, pour des finalités commerciales.

Il ne résulte ni des dispositions de l’article 46 de la loi n°78‑17 du 6 janvier 1978, ni de celles des articles 75 et 76 du décret n°2005‑1309 du 20 octobre 2005 que le délai ouvert au responsable du traitement pour formuler des observations écrites en réponse au rapport qui lui a été notifié par la CNIL doive être cumulé avec celui dans lequel il est informé de la date de la séance de la commission à l’ordre du jour de laquelle est inscrite l’affaire qui le concerne.

1) Les dispositions de l'article 34 bis de la loi n°78‑17 du 6 janvier 1978 imposent seulement aux fournisseurs de services de communications électroniques accessibles au public d'informer la CNIL et, le cas échéant, les personnes intéressées lorsqu'ils constatent une violation de données à caractère personnel. Elles n'ont ni pour objet ni pour effet de leur imposer de révéler des manquements qui leur seraient imputables. Un requérant ne saurait dès lors utilement soutenir qu'elles méconnaîtraient les stipulations du 1 de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH), qui garantissent le droit de ne pas contribuer à sa propre incrimination, et les articles 47 et 48 de la Charte des droits fondamentaux de l'Union européenne, qui garantissent le droit d'accéder à un tribunal impartial et les droits de la défense.

2) En revanche, un requérant peut utilement soutenir qu'une sanction prononcée par la CNIL contre un fournisseur de services de communications électroniques accessibles au public à raison d'un manquement révélé du fait de l'obligation prévue par les dispositions de l'article 34 bis méconnaît ces stipulations.

ème ème