Conseil d’État, 10ème et 9ème ch. réunies, 19 juin 2017 ,n°398442

Le client d’une banque a déposé une plainte auprès de la CNIL pour insuffisante protection des mots de passe permettant d’accéder aux comptes en ligne. Après enquête, la CNIL a sanctionné la banque.  Elle en a informé l’auteur de la plainte  (ainsi que de la clôture de la plainte ), mais sans détailler la teneur de la sanction prononcée. L’auteur de la plainte a exercé un recours contre les décisions de la CNIL (i) sur le fondement de l’absence d’information sur la teneur de la sanction et (ii) sur le fondement selon lequel la sanction prononcée serait insuffisante. (La liste des sanctions de la CNIL, disponible sur son site Web, permet de déduire que la sanction n’a été qu’un « avertissement non public », le nom de la banque n’étant pas divulgué).

Dans sa décision du 19 juin 2017, le Conseil d’État a statué que « lorsque la plainte conduit, comme c’est le cas en l’espèce, à sanctionner la personne mise en cause, la complète information de son auteur comprend nécessairement, y compris lorsque la sanction a été rendue publique, la communication de la nature des manquements retenus et de la teneur de la sanction prononcée, sous la réserve des secrets protégés par la loi ».

Toutefois, le Conseil d’État a rejeté la demande d’annulation de la décision de la CNIL pour défaut de gravité de la sanction. Le Conseil d’État a souligné que « L’auteur d’une plainte peut déférer au juge de l’excès de pouvoir le refus de la CNIL d’y donner suite. Il appartient au juge de censurer celui-ci en cas d’erreur de fait ou de droit, d’erreur manifeste d’appréciation ou de détournement de pouvoir. En revanche, lorsque la CNIL a décidé d’instruire une plainte, l’auteur de celle-ci n’a intérêt à contester ni la décision prise à l’issue de cette instruction, quel qu’en soit le dispositif, ni la clôture de sa plainte prononcée subséquemment ».
Contact : stephanie.faber@squirepb.com