Vu la procédure suivante :

Par une requête enregistrée le 9 novembre 2025 au secrétariat du contentieux du Conseil d’Etat, M. B… A… demande au Conseil d’Etat :

1°) d’annuler pour excès de pouvoir la décision du 9 septembre 2025 par laquelle la Commission nationale de l’informatique et des libertés (CNIL) l’a informé de la clôture de sa plainte n° P44-104351 relative aux conditions de sécurisation des données à caractère personnel le concernant traitées par la société Lydia Solutions ;

2°) d’enjoindre à la CNIL de rouvrir l’instruction de sa plainte.

Il soutient que la décision de la CNIL qu’il attaque est entachée d’erreur manifeste d’appréciation en ce qu’elle prend en compte de manière insuffisante la gravité des manquements commis par la société Lydia Solutions et leur durée et qu’elle n’envoie aucun signal dissuasif à l’égard d’une entreprise ayant imposé pendant un an une procédure contraire aux exigences de sécurité minimale du règlement général de protection des données.

Par un mémoire en défense enregistré le 21 janvier 2026, la Commission nationale de l’informatique et des libertés conclut au rejet de la requête.

Vu les autres pièces du dossier ;

Vu :

 – le règlement (UE) 2016/79 du Parlement européen et du Conseil du 27 avril 2016 ;

 – la loi n° 78-17 du 6 janvier 1978 ;

 – le code de justice administrative ;

Après avoir entendu en séance publique :

— le rapport de M. Clément di Marino, maître des requêtes en service-extraordinaire ;

— les conclusions de M. Frédéric Puigserver, rapporteur public ;

Considérant ce qui suit :

1. M. A… a saisi la Commission nationale de l’informatique et des libertés (CNIL) d’une plainte le 25 juin 2025 à l’encontre de la société Lydia Solutions, tenant à ce qu’elle avait exigé, pour procéder au virement du solde de son compte clos d’un montant de 535,71 euros, qu’il lui transmette par courrier électronique ordinaire, et non comme il le demandait par des canaux sécurisés, une copie de sa pièce d’identité, un « selfie » le présentant tenant sa pièce d’identité et un relevé d’identité bancaire. Par un courrier du 9 septembre 2025, la CNIL a informé M. A… de la clôture de sa plainte, après avoir obtenu de la société des engagements correctifs et lui avoir rappelé ses obligations au titre du règlement général sur la protection des données. Par sa requête, M. A… demande l’annulation de cette décision de clôture et qu’il soit enjoint à la CNIL de poursuivre l’instruction de sa plainte.

2. Selon le 2° du I de l’article 8 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, la CNIL veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de cette loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France et, à ce titre, traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable.

3. En vertu des I et III de l’article 20 de la même loi, le président de la CNIL peut adresser au responsable d’un traitement de données à caractère personnel un avertissement dans le cas où ce traitement est susceptible de méconnaître cette loi ou le RGPD ainsi que, lorsqu’un manquement aux obligations découlant de ces textes est constaté, un rappel à ses obligations légales ou, si le manquement est susceptible de faire l’objet d’une mise en conformité, une mise en demeure de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, de mettre les opérations de traitement en conformité avec les dispositions applicables, de rectifier ou d’effacer des données à caractère personnel, d’en limiter le traitement ou, à l’exception des traitements intéressant la sûreté de l’État ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel. Selon le IV du même article, s’il estime qu’un manquement a été commis, le président de la CNIL peut également, le cas échéant après avoir mis en œuvre les mesures prévues aux I et III de cet article, saisir la formation restreinte de la Commission en vue du prononcé des mesures correctrices, notamment l’injonction de mettre en conformité le traitement avec les obligations résultant du RGPD ou de la loi du 6 janvier 1978 ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, et des sanctions énumérées à ce IV.

4. Il résulte de l’ensemble de ces dispositions qu’il appartient à la CNIL de procéder, lorsqu’elle est saisie d’une plainte ou d’une réclamation tendant à la mise en œuvre de ses pouvoirs, à l’examen des faits qui en sont à l’origine et de décider des suites à leur donner. À cet effet, elle dispose, en principe, d’un large pouvoir d’appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu’elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l’ont été et, plus généralement, de l’ensemble des intérêts généraux dont elle a la charge.

5. L’auteur d’une plainte peut déférer au juge de l’excès de pouvoir le refus du président de la CNIL d’engager une procédure sur le fondement de l’article 20 de la loi du 6 janvier 1978 et, notamment, de saisir la formation restreinte sur le fondement du IV de cet article, y compris lorsque la Commission a procédé à des mesures d’instruction, constaté l’existence d’un manquement aux dispositions de cette loi et pris l’une des mesures prévues aux I et II de ce même article. Il appartient au juge de censurer cette décision de refus, le cas échéant, pour un motif d’illégalité externe ou, au titre du bien-fondé de la décision, en cas d’erreur de fait ou de droit, d’erreur manifeste d’appréciation ou de détournement de pouvoir. En revanche, lorsque le président de la CNIL a saisi la formation restreinte sur le fondement du IV de cet article, l’auteur de la plainte n’a pas intérêt à contester la décision prise à l’issue de cette procédure, quel qu’en soit le dispositif. Toutefois, lorsque l’auteur de la plainte se fonde sur la méconnaissance par un responsable de traitement des droits garantis par la loi à la personne concernée à l’égard des données à caractère personnel la concernant, notamment les droits d’accès, de rectification, d’effacement, de limitation et d’opposition mentionnés aux articles 49, 50, 51, 53 et 56 de la loi du 6 janvier 1978, celui-ci, s’il ne peut contester devant le juge l’absence ou l’insuffisance de sanction une fois que la formation restreinte a été saisie, est toujours recevable à demander l’annulation du refus du président de la CNIL de mettre en demeure le responsable de traitement de satisfaire à la demande dont il a été saisi par cette personne ou du refus de la formation restreinte de lui enjoindre d’y procéder. Le pouvoir d’appréciation de la CNIL s’exerce alors, eu égard à la nature du droit individuel en cause, sous l’entier contrôle du juge de l’excès de pouvoir.

6. Il ressort des pièces du dossier que la CNIL a, par un courrier du 27 août 2025, rappelé à la société Lydia Solutions ses obligations au titre du f) du 1 de l’article 5 et de l’article 32 du règlement (UE) 2016/679 en matière de sécurité des traitements et lui a demandé de présenter ses observations. A la suite de cette démarche, la société a reconnu l’insuffisance du canal de transmission par courrier électronique non chiffré, s’est engagée à rappeler au collaborateur concerné ses obligations, a proposé au requérant un canal de transmission sécurisé par la messagerie intégrée à son application et lui a adressé ses excuses pour le délai de traitement. Ces éléments ont été portés à la connaissance de M. A… par la décision litigieuse. Dans ces conditions, la CNIL n’a pas commis d’erreur manifeste d’appréciation en décidant de clore la plainte.

7. M. A… ne peut, par ailleurs, à l’appui de son recours dirigé contre la décision de la CNIL, se prévaloir utilement de ce que la société Lydia Solutions aurait par ailleurs procédé, dans le cadre de la relation qui les liait contractuellement, à un blocage prolongé de son compte entre octobre 2023 et novembre 2025 ainsi que des mouvements sur son compte effectués à son insu au cours de cette même période.

8. Il résulte de tout ce qui précède que la requête de M. A… tendant à l’annulation de la décision du 9 septembre 2025 de la CNIL, doit être rejetée.

D E C I D E :

--------------

Article 1er : La requête de M. A… est rejetée.

Article 2 : La présente décision sera notifiée à M. B… A… et à la Commission nationale de l’informatique et des libertés.

Copie en sera adressée à la société Lydia Solutions.

Délibéré à l’issue de la séance du 13 mai 2026 où siégeaient : M. Olivier Yeznikian, assesseur, présidant ; M^me Rozen Noguellou, conseillère d’Etat et M. Clément di Marino, maître des requêtes en service extraordinaire-rapporteur.

Rendu le 17 juin 2026.

Le président :

Signé : M. Olivier Yeznikian

Le rapporteur :

Signé : M. Clément di Marino

La secrétaire :

Signé : M^me Sylvie Leporcq

La République mande et ordonne au Premier ministre en ce qui le concerne ou à tous commissaires de justice à ce requis en ce qui concerne les voies de droit commun contre les parties privées, de pourvoir à l’exécution de la présente décision.

Pour expédition conforme,

Pour la secrétaire du contentieux, par délégation :

No 509593- 2 -