Base de jurisprudence

Ariane Web: Conseil d'État 459254, lecture du 21 octobre 2022

Analyse n° 459254
21 octobre 2022
Conseil d'État

N° 459254
Publié au recueil Lebon

Lecture du vendredi 21 octobre 2022



01-03-01-02-01-01-04 : Actes législatifs et administratifs- Validité des actes administratifs Forme et procédure- Questions générales- Motivation- Motivation obligatoire- Motivation obligatoire en vertu des articles et de la loi du juillet - Décision refusant un avantage dont l'attribution constitue un droit-

Inclusion - Refus de la CNIL de donner suite à une plainte fondée sur la méconnaissance du droit d'accès aux données personnelles (art. 15 du RGPD).




Le refus de la Commission nationale de l'informatique et des libertés (CNIL) de donner suite à une plainte fondée sur la méconnaissance du droit d'accès qu'une personne concernée tient des dispositions de l'article 15 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) est au nombre des décisions administratives individuelles défavorables qui refusent un avantage dont l'attribution constitue un droit pour les personnes qui remplissent les conditions légales pour l'obtenir, au sens et pour l'application du 6° de l'article L. 211-2 du code des relations entre le public et l'administration (CRPA), et qui doivent, à ce titre, être motivées.





15-05 : Communautés européennes et Union européenne- Règles applicables-

RGPD - 1) Plainte fondée sur la méconnaissance du droit d'accès aux données personnelles (art. 15 du RGPD) - Refus de la CNIL d'y donner suite - Décision refusant un avantage dont l'attribution constitue un droit - Existence - Conséquence - Motivation obligatoire - 2) Protection du délégué à la protection des données contre toute décision défavorable en relation avec ses missions (3 de l'art. 38) - a) Portée - i) Protection garantissant l'effectivité du RGPD - Existence - ii) Obstacle au licenciement d'un délégué - Absence, par elle-même - iii) Protection régissant globalement ses relations de travail avec le responsable du traitement - Absence - b) Conséquence - Possibilité pour le délégué de faire l'objet d'une sanction ou d'un licenciement - Conditions.




1) Le refus de la Commission nationale de l'informatique et des libertés (CNIL) de donner suite à une plainte fondée sur la méconnaissance du droit d'accès qu'une personne concernée tient des dispositions de l'article 15 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) est au nombre des décisions administratives individuelles défavorables qui refusent un avantage dont l'attribution constitue un droit pour les personnes qui remplissent les conditions légales pour l'obtenir, au sens et pour l'application du 6° de l'article L. 211-2 du code des relations entre le public et l'administration, et qui doivent, à ce titre, être motivées. 2) a) i) Il résulte du paragraphe 3 de l'article 38 du RGPD, éclairé par la Cour de justice de l'Union européenne (CJUE) dans son arrêt du 22 juin 2022 (C-534/20), Leistritz AG c/ LH, qu'en protégeant le délégué à la protection des données contre toute décision qui mettrait fin à ses fonctions, lui ferait subir un désavantage ou qui constituerait une sanction, lorsqu'une telle décision serait en relation avec l'exercice de ses missions, ces dispositions visent essentiellement à préserver l'indépendance fonctionnelle du délégué à la protection des données et, partant, à garantir l'effectivité du RGPD. ii) En revanche, elles ne font pas obstacle au licenciement d'un délégué qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s'acquitterait pas de celles-ci conformément au RGPD. iii) Il ressort également de cet arrêt que ces dispositions n'ont pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel, lesquelles ne sont susceptibles d'être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation des objectifs du RGPD. b) Il en résulte clairement que l'article 38 du RGPD ne fait pas obstacle à ce que le salarié exerçant les fonctions de délégué au sein de l'entreprise fasse l'objet d'une sanction ou d'un licenciement à raison de manquements aux règles internes à l'entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l'indépendance fonctionnelle qui lui est garantie par le RGPD.





26-07 : Droits civils et individuels- Protection des données à caractère personnel-

Protection du délégué à la protection des données contre toute décision défavorable en relation avec ses missions - 1) Portée - a) Protection garantissant l'effectivité du RGPD - Existence - b) Obstacle au licenciement d'un délégué - Absence, par elle-même - c) Protection régissant globalement ses relations de travail avec le responsable du traitement - Absence - 2) Conséquence - Possibilité pour le délégué de faire l'objet d'une sanction ou d'un licenciement - Conditions.




1) a) Il résulte du paragraphe 3 de l'article 38 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD), éclairé par la Cour de justice de l'Union européenne (CJUE) dans son arrêt du 22 juin 2022 (C-534/20), Leistritz AG c/ LH, qu'en protégeant le délégué à la protection des données contre toute décision qui mettrait fin à ses fonctions, lui ferait subir un désavantage ou qui constituerait une sanction, lorsqu'une telle décision serait en relation avec l'exercice de ses missions, ces dispositions visent essentiellement à préserver l'indépendance fonctionnelle du délégué à la protection des données et, partant, à garantir l'effectivité du RGPD. b) En revanche, elles ne font pas obstacle au licenciement d'un délégué qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s'acquitterait pas de celles-ci conformément au RGPD. c) Il ressort également de cet arrêt que ces dispositions n'ont pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel, lesquelles ne sont susceptibles d'être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation des objectifs du RGPD. 2) Il en résulte clairement que l'article 38 du RGPD ne fait pas obstacle à ce que le salarié exerçant les fonctions de délégué au sein de l'entreprise fasse l'objet d'une sanction ou d'un licenciement à raison de manquements aux règles internes à l'entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l'indépendance fonctionnelle qui lui est garantie par le RGPD.





26-07-10 : Droits civils et individuels- Protection des données à caractère personnel- Commission nationale de l'informatique et des libertés-

1) Décision de clôturer une plainte relative à la mise en oeuvre d'un traitement de données personnelles - Recours contre cette décision - Qualité de défendeur de la société responsable du traitement - Existence - 2) Refus de la CNIL de donner suite à une plainte fondée sur la méconnaissance du droit d'accès aux données personnelles (art. 15 du RGPD) - Décision refusant un avantage dont l'attribution constitue un droit - Existence - Conséquence - Motivation obligatoire.




1) La société responsable du traitement de données à caractère personnel ayant donné lieu à une plainte auprès de la Commission nationale de l'informatique et des libertés (CNIL) a la qualité de défendeur dans l'instance dirigée contre la décision de la présidente de la CNIL de clôturer cette plainte. 2) Le refus de la CNIL de donner suite à une plainte fondée sur la méconnaissance du droit d'accès qu'une personne concernée tient des dispositions de l'article 15 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) est au nombre des décisions administratives individuelles défavorables qui refusent un avantage dont l'attribution constitue un droit pour les personnes qui remplissent les conditions légales pour l'obtenir, au sens et pour l'application du 6° de l'article L. 211-2 du code des relations entre le public et l'administration (CRPA), et qui doivent, à ce titre, être motivées.





54-04 : Procédure- Instruction-

Recours contre la décision de clôturer une plainte relative à la mise en oeuvre d'un traitement de données personnelles - Qualité de défendeur de la société responsable du traitement - Existence.




La société responsable du traitement de données à caractère personnel ayant donné lieu à une plainte auprès de la Commission nationale de l'informatique et des libertés (CNIL) a la qualité de défendeur dans l'instance dirigée contre la décision de la présidente de la CNIL de clôturer cette plainte.


Voir aussi