Le Conseil d'État a sanctionné le silence de la CNIL face à une plainte déposée par un requérant contre l'ANSSI, sur la question des cookies et du transfert des données vers les États-Unis.
La CNIL, la Commission nationale de l'Informatique et des Libertés, a pour mission, notamment, de protéger les données personnelles des citoyens. Mais que faire, lorsqu'elle ne répond pas à ses citoyens ? C'est la situation vécue par un individu, appelé « Monsieur A », qui avait déposé plainte auprès du gendarme des données en novembre 2024, contre les pratiques de cookies de l'ANSSI et la décision d'adéquation autorisant les transferts de données personnelles vers les États-Unis. Resté sans réponse pendant trois mois, il avait alors saisi le Conseil d'État, qui dans une décision du 31 décembre, a pointé du doigt le dysfonctionnement de la CNIL.
Quand signaler des cookies vire au parcours du combattant
Le 27 novembre 2024, Monsieur A tape à la porte de la CNIL avec une double réclamation. Il affirme que le site de l'ANSSI, pourtant autorité de référence en cybersécurité, installerait des traceurs sans respecter les règles du jeu. Le second grief est, lui, plus politique. Le requérant conteste la légalité de la décision d'adéquation (le Data Privacy Framework) de juillet 2023, ce nouvel accord européen qui autorise les entreprises à transférer nos données personnelles vers les États-Unis.
La Commission accuse réception de la demande deux jours plus tard. Le dossier est transmis au service compétent, conformément à la procédure, et jusqu'ici tout va bien. Mais ensuite ? Trois mois passent, et Monsieur A reste la moindre nouvelle. Or, le RGPD, le règlement général sur la protection des données personnelles, impose aux autorités de contrôle d'informer le plaignant de l'avancement de son dossier. Cette obligation n'est pas qu'une formalité, au passage. C'est un droit fondamental du citoyen européen.
Le silence administratif produit alors des effets… juridiques. Fin février 2025, une décision implicite de rejet naît automatiquement, car après trois mois sans nouvelles, la loi française transforme de fait ce silence en refus officiel. C'est la règle du « silence vaut rejet » prévue par le décret d'application de la loi Informatique et Libertés. Armé de ce refus fictif mais bien réel juridiquement, Mr A peut enfin attaquer en justice. Il dépose sa requête au Conseil d'État le 23 mars 2025.
La CNIL a continué l'instruction sans prévenir le plaignant
L'affaire aurait pu s'arrêter là, mais le requérant ne lâche rien. Entre juillet et décembre, il multiplie les mémoires complémentaires. Trois au total, plus une note de dernière minute déposée le 21 décembre, à quelques jours de Noël et de l'audience. Il demande non seulement l'annulation de la décision fantôme, mais aussi que la CNIL soit contrainte de sanctionner l'ANSSI et même de saisir la Cour de justice européenne sur la validité de cette fameuse décision d'adéquation.
Le président de la 10ème chambre de la section du contentieux du Conseil d'État a alors ordonné une mesure d'instruction inhabituelle pour faire la lumière sur l'affaire. Il a interrogé directement la CNIL pour comprendre. Et surprise, l'autorité n'avait pas abandonné la plainte, elle travaillait dessus en coulisses. Seulement voilà, elle a oublié un détail important. Le règlement européen oblige à informer régulièrement le plaignant. Ce que la CNIL n'a jamais fait durant les mois de silence radio.
Du point de vue de la plus haute juridiction administrative française, puisque la CNIL a continué l'instruction, elle a annulé elle-même son refus initial. En continuant d'instruire le dossier, la CNIL a annulé son propre refus. Il n'y a donc plus de décision à contester, et il est inutile de statuer. Personne ne gagne juridiquement, mais Monsieur A n'obtient ni annulation, ni condamnation de la Commission. Cette dernière évite une sanction mais se voit refuser l'amende réclamée contre le requérant. Une issue en queue de poisson qui laisse en suspens les vraies questions de fond sur les cookies et les transferts de données.
