CONSEIL D'ETAT
Statuant au contentieux
N°s
368748, 368819
SOCIETE TOTAL RAFFINAGE MARKETING
SOCIETE E.
Mme Anne Iljic, Rapporteur
Mme Aurélie Bretonneau, Rapporteur public
Séance du 11 février 2015
Lecture du
11 mars 2015
REPUBLIQUE FRANÇAISE
AU NOM DU PEUPLE FRANÇAIS
Le Conseil d'Etat statuant au contentieux
(Section du contentieux, 10ème et 9ème sous-sections réunies)
Sur le rapport de la 10ème sous-section de la section du contentieux)
Vu 1°, sous le n° 368748, la requête et le mémoire, enregistrés les 23 mai et 9 octobre 2013 au secrétariat du contentieux du Conseil d'Etat, présentés pour la société Total Raffinage Marketing, dont le siège est au 24, cours Michelet à Puteaux (92800) ; la société Total Raffinage Marketing demande au Conseil d'Etat :
1°) d'annuler la délibération n° 2013-091 du 11 avril 2013 par laquelle la formation restreinte de Commission nationale de l'informatique et des libertés (CNIL) a, d'une part, prononcé un avertissement à son encontre et, d'autre part, décidé de rendre publique cette décision sur le site internet de la CNIL et sur le site Légifrance ;
2°) de mettre à la charge de l'Etat la somme de 4 500 euros au titre de l'article L. 761-1 du code de justice administrative ainsi que la somme de 35 euros au titre de l'article R. 761-1 du même code ;
Vu 2°, sous le n° 368819, la requête et le mémoire, enregistrés les 27 mai et 16 juillet 2013 au secrétariat du contentieux du Conseil d'Etat, présentés pour la société E. dont le siège est . ; la société E. demande au Conseil d'Etat :
1°) d'annuler la délibération n° 2013 du 11 avril 2013 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé un avertissement à l'encontre de la société Total Raffinage Marketing et, d'autre part, décidé de rendre publique cette sanction sur le site internet de la CNIL et sur le site Légifrance ;
2°) de condamner la CNIL à réparer le préjudice qu'elle a subi en raison de la publication de la délibération attaquée et qu'elle se réserve de chiffrer en cours d'instance ;
3°) de mettre à la charge de la CNIL une somme de 4 000 euros au titre des dispositions de l'article L. 761-1 du code de justice administrative ;
Vu les autres pièces des dossiers ;
Vu le code du travail ;
Vu la loi n° 78-17 du 6 janvier 1978 ;
Vu le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Anne Iljic, Auditeur,
- les conclusions de Mme Aurélie Bretonneau, rapporteur public ;
La parole ayant été donnée, avant et après les conclusions, à la SCP Gatineau, Fattaccini, avocat de la société Total Raffinage Marketing et à la SCP Gadiou, Chevallier, avocat de la société E. ;
1. Considérant que les requêtes des sociétés Total raffinage marketing et E. sont dirigées contre la même délibération de la Commission nationale de l'information et des libertés (CNIL) ; qu'il y a lieu de les joindre pour statuer par une même décision ;
2. Considérant qu'il résulte de l'instruction qu'au mois d'août 2012, l'un des syndicats de la société Total raffinage marketing a saisi la CNIL d'une plainte relative à l'organisation des élections professionnelles appelées à se tenir dans cette entreprise au mois d'octobre 2012 en utilisant le système de vote électronique mis en place la société E. ; qu'à l'issue de l'instruction contradictoire de cette plainte, la formation restreinte de la CNIL, constatant plusieurs manquements à la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, a, par une délibération du 11 avril 2013, infligé à la société Total raffinage marketing la sanction de l'avertissement et l'a assortie d'une publication sur son site internet et sur le site Légifrance ; que les sociétés Total raffinage marketing et E. demandent l'annulation de cette délibération ;
Sur la requête n° 368478 :
En ce qui concerne l'intervention en demande de la société E. :
3. Considérant que la société E. justifie d'un intérêt de nature à rendre recevable son intervention au soutien de la requête présentée par la société Total raffinage marketing ; que son intervention doit, par suite, être admise ;
En ce qui concerne la recommandation de la CNIL du 21 octobre 2010 :
4. Considérant que l'article 11 de la loi du 6 janvier 1978 dispose que : " pour l'accomplissement de ses missions, la commission peut procéder par voie de recommandation " ; qu'en vertu de l'article 31 de la même loi : " La commission tient à la disposition du public ses avis, décisions ou recommandations " ; que, prise sur le fondement de ces dispositions, la délibération n° 2010-371 du 21 octobre 2010 portant recommandation relative à la sécurité des systèmes de vote électronique se borne à interpréter les dispositions législatives et réglementaires applicables en matière de vote électronique et à recommander la mise en place de mesures visant à garantir le respect de ces dispositions sans édicter de dispositions générales et impératives ni de prescriptions individuelles ; que, contrairement à ce qui est soutenu, la CNIL n'a pas sanctionné la méconnaissance, en tant que telle, de cette recommandation mais s'est bornée, comme elle pouvait le faire à bon droit, à en tenir compte pour apprécier le respect des dispositions législatives et réglementaires dont elle a pour seul objet de contribuer à la mise en uvre ; qu'il suit de là que le moyen tiré de ce que la CNIL aurait méconnu le principe de légalité des délits et des peines en fondant la sanction prononcée sur sa recommandation du 21 octobre 2010 doit être écarté ;
En ce qui concerne la qualité de responsable de traitement :
5. Considérant, en premier lieu, qu'aux termes de l'article 34 de la loi du 6 janvier 1978 : " Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (.) " ; qu'aux termes de l'article 35 de la loi de la loi du 6 janvier 1978 : " Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement, ou de celle du sous-traitant, que sur instruction du responsable du traitement. / Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi. / Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en uvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. / Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement " ; qu'il résulte de ces dispositions que la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données, sans que soit méconnu le principe constitutionnel de responsabilité personnelle, dès lors que ces sous-traitants ont agi, ainsi que le prévoient les dispositions précitées de l'article 35 de la loi du 6 janvier 1978, sur instruction du responsable de traitement ;
6. Considérant qu'il n'est pas contesté que, pour la mise en uvre du système de vote électronique en litige, la société E. doit être regardée comme le sous-traitant de la société Total raffinage marketing, qui avait déclaré ce traitement auprès de la CNIL ; qu'il suit de là que c'est à bon droit que la CNIL a estimé que les manquements constatés étaient imputables à la société requérante en sa qualité de responsable de traitement ; que sont à cet égard sans incidence les termes du contrat la liant à la société E., la circonstance que le juge judiciaire aurait reconnu la fiabilité de la solution de vote retenue, ou le respect de son obligation de signer avec les organisations syndicales un accord permettant l'organisation par voie électronique des élections professionnelles ;
En ce qui concerne les manquements reprochés à la société Total raffinage marketing :
7. Considérant qu'il ressort des énonciations de la délibération attaquée que, pour infliger la sanction attaquée à la société Total raffinage marketing, la CNIL a relevé à l'encontre de cette société plusieurs manquements à son obligation d'assurer la sécurité et la confidentialité des données personnelles utilisées dans le cadre du système de vote électronique en litige, au nombre desquels le défaut d'expertise préalable indépendante de ce système, l'absence de confidentialité des moyens d'authentification et l'absence de chiffrement ininterrompu des bulletins de vote ;
8. Considérant, en premier lieu, que l'article R. 2314-8 du code du travail dispose que : " L'élection des délégués du personnel peut être réalisée par vote électronique sur le lieu de travail ou à distance " ; que les dispositions des articles R. 2314-9 à R. 2314-11 du code du travail fixent les obligations de sécurité et de confidentialité que doit présenter un système de vote électronique pour garantir la sincérité du scrutin ; qu'aux termes de l'article R. 2314-12 du même code: " Préalablement à sa mise en place ou a toute modification de sa conception, le système de vote électronique est soumis à une expertise indépendante, destinée à vérifier le respect des dispositions des articles R. 2314-8 à R. 2314-11. Le rapport de l'expert est tenu à la disposition de la Commission nationale de l'informatique et des libertés. ( .) " ; qu'il résulte de ces dispositions, dont l'objectif est de garantir la sincérité des opérations électorales par voie électronique, que l'utilisation d'un système de vote électronique pour l'élection des délégués du personnel est subordonnée à la réalisation d'une expertise indépendante lors de la conception initiale du système utilisé, à chaque fois qu'il est procédé à une modification de la conception de ce système ainsi que préalablement à chaque scrutin recourant au vote électronique ;
9. Considérant qu'à supposer même que le système de vote électronique en litige n'ait fait l'objet d'aucune modification de sa conception depuis sa précédente utilisation par l'entreprise, il résulte de ce qui a été dit au point précédent qu'une expertise indépendante était requise préalablement à sa mise en place pour les élections professionnelles organisées par la société requérante au mois d'octobre 2012 ; qu'en l'espèce, il résulte de l'instruction qu'en dehors de l'expertise diligentée alors que ces élections professionnelles étaient déjà en cours, la dernière expertise du système de vote en litige datait de 2007 ; que, dans ces conditions, la CNIL a pu à bon droit estimer que la requérante avait méconnu l'obligation qui lui incombait de procéder à une expertise indépendante préalable aux élections professionnelles qu'elle a organisées en octobre 2012 ;
10. Considérant, en deuxième lieu, qu'aucun texte ni aucun principe n'imposait à la CNIL de faire procéder à la réalisation d'une expertise complémentaire du système de vote en litige ; qu'il n'est par ailleurs pas contesté que cette dernière a respecté la procédure contradictoire prévue à l'article 46 de la loi du 6 janvier 1978 ; qu'il suit de là que le moyen tiré de ce que la commission aurait entaché sa délibération de dénaturation et méconnu les droits de la défense ainsi que le principe du caractère contradictoire de la procédure en s'abstenant de demander une nouvelle expertise doit être écarté ;
1
1. Considérant, en troisième lieu, qu'aux termes de l'article R. 2324-5 du code du travail, le système de vote électronique retenu " assure la confidentialité des données transmises, notamment celle des fichiers constitués pour établir les listes électorales des collèges électoraux, ainsi que l'adressage des moyens d'authentification, de l'émargement, de l'enregistrement et du dépouillement des votes " ; que, contrairement à ce que soutient la société requérante, il résulte clairement de ces dispositions que la transmission aux électeurs des identifiants et mots de passe leur permettant de participer au vote doit faire l'objet de mesures de sécurité spécifiques permettant de s'assurer que les électeurs en sont les seuls destinataires ; que, par suite, c'est à bon droit que la CNIL a estimé que la transmission par simple courriel de ces données aux électeurs méconnaissait les obligations découlant des dispositions précitées de l'article R. 2324-5 du code du travail ;
12. Considérant, en quatrième lieu, qu'ainsi que l'a relevé la CNIL dans la délibération attaquée, le troisième alinéa de l'article 2 de l'arrêté du 25 avril 2007 du ministre de l'emploi, de la cohésion sociale et du logement pris en application du décret n° 2007-602 du 25 avril 2007 relatif aux conditions et aux modalités de vote par voie électronique pour l'élection des délégués du personnel et des représentants du personnel au comité d'entreprise prévoit que : " Les données du vote font l'objet d'un chiffrement dès l'émission du vote sur le poste de l'électeur " ; que l'article 6 du même texte prévoit que le vote est anonyme et chiffré par le système, avant transmission au fichier dénommé " contenu de l'urne électronique " dans les conditions fixées par les dispositions précitées du troisième alinéa de l'article 2 ; qu'eu égard à la nécessité d'assurer la confidentialité des données transmises, le respect de ces dispositions implique nécessairement que le chiffrement des bulletins de vote soit ininterrompu, ainsi que l'a d'ailleurs rappelé la CNIL dans sa délibération du 21 octobre 2010 ; que, par suite, c'est à bon droit que cette dernière a relevé que le système de vote électronique en litige méconnaissait cette obligation ; que s'il est contesté que le système de chiffrement retenu ne présentait pas un niveau de sécurité suffisant, ce moyen n'est pas assorti pas des précisions permettant d'en apprécier le bien-fondé ;
13. Considérant, en cinquième lieu, que la circonstance qu'aucune atteinte effective aux données personnelles des électeurs ni aux principes du droit électoral ou aux libertés publiques n'ait été constatée lors de la tenue des élections professionnelles est sans incidence sur la légalité de la délibération de la CNIL ; que, par suite, le moyen tiré de ce que la délibération attaquée serait illégale au motif que la CNIL s'est abstenue de tenir compte de ces constatations inopérantes pour fonder son analyse des manquements commis doit être écarté ;
14. Considérant qu'il résulte de ce qui précède que c'est à bon droit que la CNIL s'est fondée sur l'ensemble des manquements qu'elle a constatés pour prononcer la sanction attaquée à l'encontre de la société requérante ;
En ce qui concerne la proportionnalité de la sanction :
15. Considérant que, contrairement à ce qui est soutenu, la sanction ordonnée par la délibération attaquée est proportionnée au regard de la nature et de la gravité des manquements constatés et sa publication appropriée à la recherche de l'exemplarité ; qu'il suit de là que, sans que la circonstance que la CNIL aurait par le passé prononcé des sanctions de moindre importance pour des faits similaires ait d'incidence sur sa légalité, la délibération attaquée, qui ne méconnaît pas le principe d'égalité, n'est pas entachée de disproportion ;
16. Considérant qu'il résulte de tout ce qui précède que, sans qu'il soit besoin de statuer sur la fin de non-recevoir opposée par la CNIL et sans qu'il y ait lieu d'ordonner l'expertise sollicitée, la société Total raffinage marketing n'est pas fondée à demander l'annulation de la délibération qu'elle attaque ; qu'il suit de là que sa requête doit être rejetée, y compris ses conclusions présentées au titre des dispositions de l'article L. 761-1 du code de justice administrative ; qu'il y a lieu de laisser la contribution à l'aide juridique à la charge de cette société ;
Sur la requête n° 368819 :
17. Considérant qu'il ressort des motifs de la délibération attaquée que la formation restreinte de la CNIL a fait mention de ce que le système de vote électronique utilisé par la société Total raffinage marketing était celui de la société E. qui a, de sa propre initiative, présenté des observations au cours de la procédure répressive à laquelle elle n'était pas attraite ; que, toutefois, s'il était loisible à cette société de demander que les passages la concernant ne soient pas publiés ou soient rendus anonymes et, le cas échéant, de former un recours contre le refus opposé à sa demande, la seule circonstance que la délibération attaquée comporte de telles mentions ne lui donne pas intérêt à demander l'annulation de cette délibération, dont le dispositif ne lui fait pas grief ;
18. Considérant que la société E. demande l'indemnisation du préjudice qu'elle aurait subi de fait des mentions nominatives la concernant dans la délibération attaquée ; que cette demande n'a été précédée par aucune demande ayant cet objet adressée à la CNIL et rejetée par elle ; qu'il suit de là que les conclusions indemnitaires présentées par la société E. sont et doivent, par suite, être rejetées ;
19. Considérant qu'il résulte de ce qui précède que la requête présentée par la société E. sous le n° 368819 doit être rejetée, y compris ses conclusions présentées au titre de l'article L. 761-1 du code de justice administrative ;
D E C I D E :
Article 1er : L'intervention de la société E. sous le numéro n° 368748 est admise.
Article 2 : Les requêtes des sociétés Total raffinage marketing et E. sont rejetées.
Article 3 : La présente décision sera notifiée à la société Total raffinage marketing, à la société E. et à la Commission nationale de l'informatique et des libertés.