L'absence de violation de données à caractère personnel ne suffit pas à démontrer l'absence de manquement aux obligations de sécurité résultant de l'article 32 du RGPD, pas plus qu'une violation de données ne suffit à caractériser en soi un manquement. Il appartient à la formation restreinte de vérifier que le responsable de traitement ou, le cas échéant, le sous-traitant, a mis en œuvre, en application de cet article, des mesures techniques et organisationnelles appropriées pour prévenir les risques de violations et de mésusage de ces données.

Le caractère approprié des mesures s'apprécie en vérifiant que le mis en cause a proportionné ces mesures, en l'état des informations dont il pouvait disposer par des diligences raisonnables, à la gravité et à la probabilité des risques prévisibles, en fonction de la nature et du contexte du traitement de données, ainsi que du coût et de la complexité des mesures possibles.

Il résulte du paragraphe 1 de l’article 33 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) que l’obligation de notifier à la Commission nationale de l’informatique et des libertés (CNIL) une violation de données à caractère personnel susceptible de faire naître un risque pour les droits et libertés des personnes physiques ne s’impose pas au responsable du traitement dans le cas où la CNIL l’a elle‑même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance par ailleurs.

Dans le cadre de rapports employeur/employé, le fait d'effectuer des recherches sur des personnes portant des données à caractère personnel telles qu'antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacements à l'étranger est susceptible de constituer un moyen de collecte déloyal dès lors que, issues de la capture et du recoupement d'informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, ces données ont fait l'objet d'une utilisation sans rapport avec l'objet de leur mise en ligne et ont été recueillies à l'insu des personnes concernées, ainsi privées du droit d'opposition institué par la loi informatique et libertés.

En effet, le fait que les données à caractère personnel collectées en l'espèce par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu'une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d'investigation dans leur vie privée, à l'insu de celles-ci, ne pouvait s'effectuer sans qu'elles en soient informées.