Les recours contre le rejet d'une demande au responsable de traitement

– Deux recours possibles. – Une personne concernée peut contester le rejet opposé par un responsable de traitement à une demande qu'elle avait formulée auprès de lui.

Si des délais ont été fixés au responsable de traitement pour répondre à la demande d'une personne concernée, aucun délai n'a en revanche été prévu pour le recours de cette personne contre la décision, expresse ou tacite, du responsable de traitement – situation qui renvoie au délai de prescription de droit commun.

Ce recours est possible en personne, mais également par mandat donné à une organisation à but non lucratif dont c'est l'objet, telle une association de défense. Les États membres peuvent même prévoir que de telles organisations peuvent agir sans mandat PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 80. .

En France, l'action de groupe créée par la loi n^o 2014-344 du 17 mars 2014 a été élargie par la loi n^o 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXI ^e siècle à la protection des données à caractère personnel. La loi informatique et libertés l'ouvre à certaines organisations, pour solliciter du juge la cessation d'un manquement et la réparation du dommage subi L. n^o 78-17, 6 janv. 1978, art. 37, III. .

Ce recours est possible, dans chaque État membre, devant une autorité de contrôle, publique et indépendante (Sous-section I) , et/ou des instances judiciaires (Sous-section II) .

S'il est directement possible devant les instances judiciaires des États membres PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 77 et 79. , la facilité et la gratuité du recours préalable aux autorités nationales de contrôle, et la possibilité de déférer devant les instances judiciaires le rejet par celles-ci d'une réclamation, en font un préalable systématique dans les faits.

Les recours devant l'autorité de contrôle : la Cnil en France

Selon le RGPD, chaque État membre doit être doté d'une (ou plusieurs) autorité publique de contrôle indépendante, chargée de surveiller l'application du règlement, et compétente, entre autres missions :

pour traiter des réclamations introduites par les personnes concernées ;
pour ordonner à un responsable de traitement de satisfaire aux demandes d'une personne concernée, voire mettre en œuvre, à la demande de l'autorité elle-même, les différents droits étudiés dans ces lignes ;
pour imposer, en complément ou à la place des injonctions ci-dessus, des amendes administratives, même si la loi nationale d'un État membre ne l'a pas prévu ; et même au-delà, imposer toutes autres sanctions voulues « effectives, proportionnées et dissuasives », puisque le RGPD ouvre aux États membres la possibilité d'en instituer.

– L'autorité de contrôle. – Une autorité de contrôle nationale a été instituée en France dès la loi informatique et libertés L. n^o 78-17, 6 janv. 1978, art. 6 et s. dans sa rédaction d'origine et art. 8 et s. dans sa rédaction actuelle. , préconisée à l'échelle mondiale dans les principes directeurs du 14 décembre 1990 des Nations unies AG ONU, rés. 45/95, 14 déc. 1990, Principes directeurs pour la réglementation des fichiers informatisés contenant des données à caractère personnel, art. 8. , prévue au niveau européen dans la directive de 1995 PE et Cons. UE, dir. 95/46/CE, 24 oct. 1995, art. 28. , confirmée par le RGPD PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 51. et reprise dans la convention du Conseil de l'Europe dans sa rédaction de 2018 Cons. Europe, conv. STE n^o 108+, 10 oct. 2018, art. 15. .

Cette ouverture a été saisie par le législateur français, qui a par exemple ajouté la possibilité de prononcer des astreintes au titre des mesures « effectives et dissuasives » octroyées à la Cnil L. n^o 78-17, 6 janv. 1978, art. 20, III, 2^o, astreinte dont le montant ne peut excéder 100 000 € par jour. .

L'autorité compétente pour recevoir une réclamation est (sans que cette énumération soit limitative) celle de l'État dans lequel se trouvent la résidence habituelle du réclamant, son lieu de travail ou « le lieu où la violation aurait été commise » PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 77. . En matière numérique, le lieu de commission d'une violation semble pouvoir répondre à une définition large et ainsi favorable au réclamant ; d'autant plus en se contentant d'une localisation simplement possible.

– Le recours. – L'effectivité d'un droit se mesurant à son accessibilité et à sa facilité de mise en œuvre, et les législateurs européen et français ayant précisément voulu assurer la protection des données personnelles, le recours à l'autorité nationale de contrôle a été voulu simple et facile.

A ainsi été prévu un formulaire guidant la présentation d'une réclamation, notamment accessible par voie électronique PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 57, 2 ; D. n^o 2019-536, 29 mai 2019, art. 10, al. 1. , prenant la forme en France d'un téléservice de plainte en ligne, disponible sur le site de la Cnil.

Pour cette même raison d'accessibilité, le recours à l'autorité de contrôle est également gratuit PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 57, 3 et 4 ; D. n^o 2019-536, 29 mai 2019, art. 11. , sauf l'hypothèse de demandes manifestement infondées, excessives ou répétitives, permettant à cette autorité, sur motivation spéciale, de réclamer le paiement de frais raisonnables, justifiés par ses coûts administratifs, ou même de refuser de donner suite à la demande présentée.

– La procédure. – L'autorité de contrôle doit informer l'auteur de la réclamation de l'instruction puis de l'issue de celle-ci, en l'avisant des recours juridictionnels possibles PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 77, 2. . Pour ce faire, elle dispose d'un délai de trois mois PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 78, 2. , au-delà duquel, pour la France, le silence gardé par la commission vaut rejet de la réclamation D. n^o 2019-536, 29 mai 2019, art. 10, al. 2. .

On peut remarquer ici un parallélisme entre les délais et modalités de demande au responsable de traitement et de réclamation à l'autorité de contrôle contre la décision du premier.

Au-delà de ces quelques éléments, le RGPD n'a pas prévu de procédure pour l'action des autorités de contrôle. Il énonce simplement que celle-ci doit respecter « des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l'Union et le droit des États membres conformément à la Charte [des droits fondamentaux de l'Union européenne] » PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 58, 4 et 83, 8. . Il a enfin prévu que chaque État membre peut instituer, par la loi, des pouvoirs supplémentaires pour son autorité de contrôle nationale.

C'est ainsi que le législateur français a lui-même organisé la procédure d'intervention de la Cnil, en attribuant la compétence d'injonction et de sanction à la formation restreinte de la Cnil, sur saisine de son président L. n^o 78-17, 6 janv. 1978, art. 9, I in fine (composition) ; art. 16, 20, III et s. (attributions) ; D. n^o 2019-536, 29 mai 2019, art. 6 (fonctionnement) ; art. 39 et s. (procédure). , après instruction par un rapporteur désigné hors de cette formation, avec des garanties procédurales du contradictoire.

Les recours d'une personne concernée ne s'arrêtent pas à l'autorité de contrôle, un recours est encore possible devant une instance judiciaire.

Les recours devant les instances judiciaires

– Un recours contre la décision du responsable de traitement. – Un recours judiciaire direct est initialement possible contre tout rejet par un responsable de traitement de la demande d'une personne concernée. Selon la nature du recours, celui-ci est possible devant les juridictions civiles ou pénales.

La juridiction compétente est celle d'un État dans lequel le responsable de traitement ou le sous-traitant dispose d'un établissement ou dans lequel la personne concernée à sa résidence habituelle PE et Cons. UE, règl. (UE) n^o 2016/679, 27 avr. 2016, art. 79. .

En France, au civil, c'est le tribunal judiciaire (ex-tribunal de grande instance) qui est compétent. Au pénal, c'est le tribunal correctionnel, en raison de la qualification de délit des infractions à la loi informatique et libertés C. pén., art. 226-16 à 226-24. . En matière pénale, une concertation réciproque est organisée entre le procureur de la République et le président de la Cnil L. n^o 78-17, 6 janv. 1978, art. 8, I, 2^o, f) et 40 et s. .

Ces recours ont lieu dans les conditions procédurales classiques devant les juridictions concernées. Dans les conditions de droit commun, les décisions rendues sont elles-mêmes susceptibles de recours devant les juridictions d'appel et de cassation.

Ces recours judiciaires s'exercent :

à l'initiative de la personne concernée (personne physique dans le champ d'application du RGPD), contre le rejet de sa demande par le responsable de traitement ou contre celui de sa réclamation (contre le premier) par l'autorité de contrôle ;
à l'initiative du responsable de traitement (personne physique ou morale), contre une injonction qui lui a été faite par l'autorité de contrôle, accédant à la réclamation d'une personne concernée.

Le Conseil d'État se prononce en premier et dernier ressort. Une personne concernée devra donc choisir, face au rejet d'une demande par un responsable de traitement, soit un recours devant la Cnil, avec recours devant le Conseil d'État, soit un recours devant le tribunal judiciaire, avec recours devant la cour d'appel puis la Cour de cassation.

La jurisprudence publiée semble confirmer la prépondérance de la voie administrative, voie spécialisée et gratuite à la première étape.

Après avoir demandé, à titre conservatoire, la limitation du traitement de ses données, à côté d'une demande d'opposition à leur exploitation, et les recours qu'elle a pu engager pour les obtenir, une personne concernée peut solliciter la suppression de ses données personnelles du traitement dont elles sont l'objet.

– Un recours contre la décision de la Cnil. – Un recours judiciaire est également possible contre les décisions de la Cnil rendues au titre de ses missions de contrôle ou de régulation. Le Conseil d'État est compétent CJA, art. R. 311-1, 4^o). .