Par une requête et trois mémoires, enregistrés les 27 mai et 2 juin 2022 et les 14 janvier et 6 avril 2023 au secrétariat du contentieux du Conseil d'Etat, Mme E D demande au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir la décision de la Commission nationale de l'informatique et des libertés (CNIL) du 28 mars 2022 décidant de clôturer sa plainte à l'encontre des sociétés Irish Stock Exchange plc et Euronext ;

2°) d'enjoindre à la CNIL de donner suite à cette plainte et de sanctionner ces sociétés.

Vu les autres pièces du dossier ;

Vu :

- le règlement (UE) n° 2016/679⚖️ du Parlement européen et du Conseil du 27 avril 2016 ;

- la loi n° 78-17 du 6 janvier 1978 ;

- le code de justice administrative ;

Après avoir entendu en séance publique :

- le rapport de M. A de L'Hermite, conseiller d'Etat,

- les conclusions de Mme C de Moustier, rapporteure publique ;

La parole ayant été donnée, après les conclusions, à la SCP Piwnica, Molinié, avocat des sociétés Euronext Amsterdam, Euronext Paris et Euronext Dublin ;

1. Mme D a saisi la Commission nationale de l'informatique et des libertés (CNIL) d'une réclamation dirigée contre les sociétés du groupe Euronext et relative à des manquements qui auraient été commis, dans le traitement de données à caractère personnel la concernant par la société Irish Stock Exchange dont elle était salariée, et qui a été acquise par la société Euronext N.V, maison-mère du groupe Euronext, le 27 mars 2018. Par un courrier en date du 28 mars 2022, la présidente de la CNIL a informé Mme D de la clôture de sa plainte. Cette dernière demande l'annulation pour excès de pouvoir de cette décision.

2. D'une part, en vertu du 7) de l'article 4 du règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE, dit B, la notion de " responsable de traitement " désigne " la personne physique ou morale () qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement () ". Aux termes du 16) de ce même article, celle " d'établissement principal " doit être entendue comme " a) en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l'Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l'établissement ayant pris de telles décisions est considéré comme l'établissement principal () ". Le 23) du même article 4 définit le traitement transfrontalier comme " a) un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'établissements dans plusieurs États membres d'un responsable du traitement ou d'un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou b) un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres ".

3. D'autre part, aux termes de l'article 51 du B : " Chaque État membre prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l'Union (ci-après dénommée " autorité de contrôle ") ". En vertu du 1. de l'article 55 du même règlement🏛, chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève. L'article 56 de ce règlement dispose que : " 1. Sans préjudice de l'article 55, l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60. / 2. Par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d'elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l'État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement. / 3. Dans les cas visés au paragraphe 2 du présent article, l'autorité de contrôle informe sans tarder l'autorité de contrôle chef de file de la question. Dans un délai de trois semaines suivant le moment où elle a été informée, l'autorité de contrôle chef de file décide si elle traitera ou non le cas conformément à la procédure prévue à l'article 60, en considérant s'il existe ou non un établissement du responsable du traitement ou du sous-traitant dans l'État membre de l'autorité de contrôle qui l'a informée. () ".

4. Il résulte clairement des dispositions citées aux points 2 et 3 que, lorsqu'est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l'Union européenne, l'autorité de contrôle de l'établissement principal dans l'Union du responsable de ce traitement est en principe compétente, en tant qu'autorité chef de file, pour contrôler le respect des exigences du B, sous réserve du cas, prévu au paragraphe 2 de l'article 56 de ce règlement, dans lequel l'objet de la réclamation concerne uniquement un établissement de l'Etat membre dont relève une autre autorité de contrôle ou affecte sensiblement des personnes concernées dans cet Etat membre uniquement. Pour la détermination de l'autorité chef de file, l'administration centrale du responsable du traitement, c'est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal. Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l'échelle de l'Union.

5. Il ressort des pièces du dossier que le système d'information des ressources humaines utilisé par certaines entités du groupe Euronext, notamment par sa filiale située à Dublin, fait l'objet d'un pilotage central par un service situé en France, dont les employés sont habilités à consulter et modifier les données des salariés de ces entités. A cet égard, le dossier fait notamment ressortir que des opérations portant sur les données de la requérante ont été enregistrées dans ce système d'information dès le 27 mars 2018, date d'acquisition de la société Irish Stock Exchange par Euronext N.V, que, le 12 avril 2018, un employé de la filiale irlandaise a intégré dans ce système un ensemble de données à caractère personnel relatif aux salariés de la filiale irlandaise, faisant notamment état, à tort, du sexe masculin de la requérante et que des modifications ont été par la suite apportées aux données par le service en charge du pilotage du système d'information à Paris, notamment le sexe de la requérante, le 27 août 2018. Le traitement des données à caractère personnel relatifs à la gestion des ressources humaines des entités du groupe Euronext situées à l'étranger, incluant les opérations relatives à la requérante, a lieu dans l'Union dans le cadre d'activités d'établissements dans plusieurs Etats membres du groupe Euronext N.V., responsable de traitement établi dans plusieurs Etats membres, et présente ainsi un caractère transfrontalier au sens du B. Dès lors que l'établissement du groupe Euronext situé en France, qui emploie également le responsable des ressources humaines du groupe, détermine les finalités et les moyens de ce traitement de données à caractère personnel et dispose du pouvoir de les faire appliquer dans les autres établissements qui sont utilisateurs de ce même système, et qu'il doit ainsi être regardé comme l'établissement principal du groupe Euronext pour ce qui concerne ce traitement, la CNIL est en principe compétente pour agir en tant qu'autorité chef de file concernant ce traitement transfrontalier.

6. Toutefois, la réclamation introduite par Mme D auprès de la CNIL ne porte que sur la mise en œuvre du traitement de données à caractère personnel précédemment mentionné en ce qui concerne sa situation et son activité de salariée au sein de la société Irish Stock Exchange et est insusceptible d'affecter des personnes concernées dans d'autres Etats membres que l'Irlande. Par suite, et par dérogation à la compétence d'autorité chef de file de la CNIL, laquelle n'a pas décidé de faire usage du pouvoir que lui reconnaît le paragraphe 3 de l'article 56 du B, l'autorité de contrôle irlandaise, qui a d'ailleurs été saisie parallèlement par Mme D, est seule compétente pour traiter sa réclamation, sur le fondement du paragraphe 2 du même article.

7. Il suit de là que Mme D n'est pas fondée à soutenir qu'en clôturant sa plainte en raison de son incompétence, la CNIL a méconnu ce règlement. Par suite, la requête de Mme D doit être rejetée, y compris ses conclusions à fin d'injonction.

--------------

Article 1er : La requête de Mme D est rejetée.

Article 2 : La présente décision sera notifiée à Mme E D, à la Commission nationale de l'informatique et des libertés et aux sociétés Euronext Paris, Euronext Dublin et Euronext Amsterdam.

Délibéré à l'issue de la séance du 12 avril 2023 où siégeaient : M. Jacques-Henri Stahl, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; Mme Nathalie Escaut, M. Alexandre Lallet, M. Vincent Daumas, M. Didier Ribes, conseillers d'Etat ; M. David Moreau, maître des requêtes et M. Jean de L'Hermite, conseiller d'Etat-rapporteur.

Rendu le 4 mai 2023.

Le président :

Signé : M. Jacques-Henri Stahl

Le rapporteur :

Signé : M. Jean de L'Hermite

La secrétaire :

Signé : Mme Claudine Ramalahanoharana