Pouvoirs de la Commission nationale de l'informatique et des libertés (fr)
Cet article est une ébauche relative au droit français, vous pouvez partager vos connaissances juridiques en le modifiant, vous pouvez également faire une recherche dans le moteur...'
|
France > Droit public > Droit administratif > Institutions administratives > Autorité administrative indépendante >
Commission nationale de l'informatique et des libertés
Sommaire
- 1 Pouvoirs a priori
- 2 Pouvoirs a posteriori
- 2.1 Une clarification du pouvoir d'investigation, une consécration relative du pouvoir d'injonction
- 2.2 De nouveaux pouvoirs de sanction et une publicité très encadrés
- 3 Notes et références
- 4 Liens externes
Pouvoirs a priori
Pouvoirs a posteriori
Conformément à la philosophie de la directive cadre relative à la protection des données personnelles[1], le projet de transposition tend à alléger les formalités préalables à la création d'un traitement (contrôle a priori)[2] tout en tâchant d'assurer un contrôle a posteriori plus efficace. La Commission Nationale de l'Informatique et des Libertés (C.N.I.L) se voit donc attribuer de nouvelles prérogatives. En revanche, son pouvoir sur les traitements réalisés pour le compte de l'État est revu à la baisse.
Le contrôle a posteriori de la commission s'exercera par le biais de pouvoirs d'investigation et de sanction.
Une clarification du pouvoir d'investigation, une consécration relative du pouvoir d'injonction
Si le pouvoir d'investigation de la C.N.I.L ne fait l'objet que de simples précisions, le pouvoir d'injonction est bien nouveau.
Le pouvoir d'investigation de la C.N.I.L précisé
Il convient de s'intéresser au droit positif antérieur avant de considérer l'apport de la nouvelle loi.
Le pouvoir d'investigation de la C.N.I.L dans la loi « Informatique et Libertés »
Ce pouvoir est une attribution traditionnelle de la C.N.I.L dans la loi dites, « Informatique et Libertés » [3]. En effet, l'article 11 de la loi fait expressément référence aux missions d'investigation et de contrôle de la commission :
- « La commission (…) pour des missions d'investigation et de contrôle effectuées sous sa direction ».
L'article 12 de la loi s'empressant de préciser que les membres et les agents de la C.N.I.L sont soumis à une obligation de secret professionnel « pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions ».
Sur le fondement du décret n° 81-1142 du 23 décembre 1981, article 1-1°[4], sont sanctionnées les personnes qui ont entravé l'action de la CNIL :
- « Soit en s'opposant à l'exercice des vérifications sur place, soit en refusant de communiquer à ses membres, à ses agents (...) les renseignements ou documents utiles à la mission qui leur est confiée par la commission, ou en dissimulant lesdits documents, ou encore en les faisant disparaître, soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements au moment où la demande a été formulée (...) ».
Des sanctions ont d'ailleurs été prononcées sur ce fondement, notamment par la chambre correctionnelle du Tribunal grande instance de Paris dans un arrêt du 16 décembre 1994[5].
Les précisions apportées par le projet de transposition
La nouvelle loi, loin de bouleverser le pouvoir d'investigation de la C.N.I.L, apporte quelques précisions.
Ainsi, l'article 44 nouveau de la loi dispose que les membres de la C.N.I.L et les agents habilités peuvent « demander communication de tous documents nécessaires à l'accomplissement de leur mission… », peu importe le support électronique ou non de l'information. Or, les membres et les agents de la C.N.I.L sont déjà soumis au [[secret professionnel (fr)|] dans le cadre de la loi ancienne. Rien ne leur interdisait donc jusqu'à lors de « demander communication de tous documents nécessaires à l'accomplissement de leur mission ».
L'article 21 de la loi nouvelle clarifie les conditions d'opposition du secret professionnel aux membres et agents de la C.N.I.L : « sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la commission en application du f du 1° de l'article 11 sont tenues de fournir les renseignements demandés par celle-ci pour l'exercice de ses missions ». La rédaction de l'article 21, très protectrice du secret, risque de compliquer grandement le travail de la C.N.I.L puisque les entreprises pourront éventuellement opposer le secret des affaires pour interdire l'accès à des traitements néanmoins susceptibles de comporter des risques pour les libertés individuelles.
L'article 44 de la loi précise également que les membres et les agents de la CNIL peuvent se rendre, entre 6 et 21 heures, dans tout local servant à la mise en œuvre d'un traitement de données à caractère personnel, à l'exclusion des parties de celui-ci affectées au domicile privé. Il s'agit d'un rappel des principes.
Enfin, l'article 51 nouveau reprend les dispositions de l'ancien article 44 de la loi et du décret n° 81-1142 du 23 décembre 1981 pour affirmer à nouveau le délit d'entrave à l'action de la C.N.I.L..
Si les pouvoirs d'investigation de la C.N.I.L sont plus précisés que réellement élargis, celle-ci se voit néanmoins dotée de réels pouvoirs d'injonction et de sanction.
Le pouvoir d'injonction de la C.N.I.L limité aux « traitements privés »
Le pouvoir d'injonction de la C.N.I.L est nouveau, mais ne peut être exercé contre l'État.
La C.N.I.L peut prononcer des injonctions de cesser le traitement ou de procéder à sa destruction
La loi nouvelle prévoit non seulement un pouvoir de sanction pécuniaire au bénéfice de la C.N.I.L mais lui reconnaît également la possibilité de prononcer des injonctions (Article 45 nouveau) de cesser le traitement ou de procéder à sa destruction pour le traitement relevant de l'article 22 nouveau. Il s'agit des fichiers soumis à l'obligation de déclaration.
Pour les fichiers qui ont fait l'objet d'une autorisation par la commission sur le fondement de l'article 25, celle-ci peut la retirer. En revanche, la loi nouvelle ne donne pas d'indications quant au statut du fichier dont l'autorisation a été retirée. Il y a fort à parier qu'il faudra alors attendre une décision judiciaire de verrouillage ou de destruction.
Les fichiers Étatiques soumis à autorisation sur le fondement des articles 26 et 27 et non sur celui de l'article 25 ne rentrent pas dans le champ d'application du pouvoir d'injonction.
Le II de l'article 45 institut une procédure d'urgence « lorsque la mise en œuvre du traitement ou l'exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l'article 1er ». Au terme de cette procédure,la C.N.I.L peut « décider l'interruption de la mise en œuvre du traitement pour une durée maximale de trois mois » ou le « verrouillage des données à caractère personnel », également pour une durée maximale de trois mois.
La portée des droits mentionnés à l'article 1er de la loi est très générale :
- « L'informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
Il faudra donc attendre le développement de la doctrine de la C.N.I.L pour connaître le champ d'application réel de cette procédure d'urgence. De nombreux traitement de données personnelles mis en œuvre par l'État ne sont toutefois pas concernés par cette mesure d'urgence.
Les fichiers étatiques relevant des articles 26 I, 26 II et 27 sont exclus de la procédure d'urgence
Nous avons vu que les fichiers Étatiques relevant des articles 26 et 27 n'entraient pas dans le champ d'application du pouvoir d'injonction. Il en va de même dans l'hypothèse de la procédure d'urgence.
Contrairement aux dispositions du projet de loi adopté en première lecture par l'Assemblée nationale, la C.N.I.L s'est vu retirer par le Sénat, la possibilité qui lui était offerte de « détruire le traitement de données[6] ». Cet amendement du Sénat se fonde sur le nouvel article 14 qui prévoit que le juge peut ordonner l'effacement de tout ou partie des données à caractère personnel.
Il est d'autant plus étonnant que l'Assemblée n'amende pas le texte du adopté par le Sénat en seconde lecture dès lors que, son propre rapporteur observait : « que le temps judiciaire n'est pas celui des traitements de données personnelles, et que la possibilité offerte à la C.N.I.L de supprimer des traitements, menace dissuasive s'il en est, est susceptible d'être mise en œuvre bien plus rapidement que s'il s'agit d'une décision judiciaire » [7].
Il est aisé de comprendre que la destruction du fichier est une mesure irréversible qui se doit d'être encadrée. Toutefois, le verrouillage de certaines données, voir du fichier dans son ensemble pour une durée de trois mois ne comporte pas les mêmes risques. L'Assemblée a pourtant souhaité soustraire les traitements étatiques relevant des articles 26 I, 26 II et 27 à ces sanctions éventuelles.
De nouveaux pouvoirs de sanction et une publicité très encadrés
Sous l'empire de la loi n° 78-17, la C.N.I.L était susceptible d'adresser successivement des avertissements puis une mise en demeure de cesser un agissement contraire à la loi. Elle pouvait également instruire des plaintes puis transmettre ses résultats au parquet[8]. Jusqu'à présent, ce pouvoir n'a été utilisé qu'avec une extrême parcimonie. En effet, entre 1978 et 2001, seules dix huit dénonciations ont été effectuées, soit moins d'une par an. Durant l'été 2002, un cap avait été franchi avec deux dénonciations[9]. Enfin, à l'automne 2002 la C.N.I.L affirmait sa volonté d'utiliser plus fréquemment la possibilité qui lui était offerte en transmettant, en conclusion de son opération « Boite à Spam », pas moins de cinq dossiers au parquet[10]. Avant de transmettre ces dossiers, la C.N.I.L avait adressée des avertissements et des mises en demeure de cesser les agissements illicites. Avec sept transmissions au parquet pour l'année 2002 contre dix-sept pour les vingt-trois années précédentes,… la C.N.I.L attend avec impatience ses nouveaux pouvoirs.
La graduation des sanctions, à défaut d'être nouvelle, est reprise à l'article 45 nouveau de la loi. En revanche, le caractère novateur du projet provient de la possibilité désormais offerte à la C.N.I.L de prononcer après une procédure contradictoire une sanction pécuniaire, une injonction de cesser le traitement ou de procéder à sa destruction ou encore un retrait de l'autorisation accordée.
Régime et exceptions des sanctions pécuniaires
En cas de violation de la loi n° 78-17, la C.N.I.L pourra, après avoir averti et mis en demeure les intéressés de faire cesser le manquement, prononcer une sanction pécuniaire pouvant aller jusqu'à 150 000 € et 300 000 € en cas de récidive dans les cinq ans, sans excéder 5 % du chiffre d'affaire hors taxe, dans la limite de 300 000 € (Article 47 nouveau).
Seuls les cas ou « des profits ou avantages économiques sont tirés de la mise en œuvre du traitement » font l'objet de sanctions pécuniaires
Le Sénat avait souhaité, en dépit de l'avis défavorable de la Commission des Lois, restreindre la portée de ces sanctions aux cas dans lesquels « des profits ou avantages économiques sont tirés de la mise en œuvre du traitement[11] ». À ce titre, le rapporteur de l'Assemblée soulignait [12]. « les sanctions pécuniaires peuvent trouver à s'appliquer à des personnes morales de droit privé à but non lucratif, à l'instar des associations, pour lesquelles le critère de profit n'est pas applicable et celui d'avantage économique source d'éventuelles difficultés d'interprétation ».Cette disposition a cependant été reprise par l'Assemblée nationale (Article 47 §2 1° nouveau).
L'article 47 alinéa 1er s'inscrit dans la philosophie de la directive en fondant la sanction pécuniaire sur la dangerosité du manquement à la loi :
- « Le montant de la sanction pécuniaire (…) est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement ».
Cette disposition est susceptible d'être interprétée largement de manière à permettre à la C.N.I.L d'exercer au mieux sa mission.
Tout au contraire, la disposition insérée par le Sénat au 1° du §2 du même article subordonnant la sanction pécuniaire à la réalisation de « profits ou d'avantages économiques tirés de la mise en œuvre du traitement » se fonde sur une considération économique. Cette restriction du champs d'application du pouvoir de sanction pourrait être interprétée comme de la défiance au regard de l'analyse que pourrait faire la C.N.I.L de l'alinéa premier de l'article 47.
Si l'Assemblée nationale n'a pas souhaité amender la disposition introduite par le Sénat, c'est peut-être qu'une autre question monopolisait l'attention des députés.
L'impossibilité pour la C.N.I.L de sanctionner financièrement l'État
La seule modification apportée par l'Assemblée au 1° de l'article 45 nouveau est de consacrer l'impossibilité pour la C.N.I.L de sanctionner financièrement l'État . Cet amendement se fonde sur l'absence de personnalité morale de la C.N.I.L qui conduirait l'État à être condamné à se verser une somme d'argent à lui-même. Cet amendement se comprend d'autant mieux que des recours juridictionnels restent ouverts et si la publicité des avis, décisions et avertissements de la C.N.I.L reste possible. L'État est donc désormais à l'abri des sanctions pécuniaires, comme du verrouillage des données ou de l'interruption du fichier prononcé par la C.N.I.L. La publicité des sanctions que pourrait éventuellement prononcer la C.N.I.L est également très encadrée.
La publicité des sanctions prononcées par la C.N.I.L
La C.N.I.L rend publics les avertissements qu'elle adresse au terme de l'instruction des plaintes dont elle a connaissance. La commission a ainsi rendu public le 19 juin 2004 quatre avertissements adressés à des banques [13]. De nouvelles sanctions appellent de nouvelles interrogations quant à la publicité qui peut leur être donné.
La publicité des sanctions subordonnée à « la mauvaise foi de la part du responsable du traitement »
La possibilité de rendre public les avertissements est maintenue. En revanche, l'amendement 30, adopté par l'Assemblée, subordonne la publicité des autres sanctions à « la "mauvaise foi" de la part du responsable du traitement[14] ». Concrètement, la C.N.I.L pourra uniquement « en cas de mauvaise foi ordonner l'insertion des autres sanctions qu'elle prononce dans des publications, journaux et supports qu'elle désigne » (Article 46 alinea second).
La mauvaise foi est définie comme étant « l'attitude de celui qui manque de loyauté envers autrui, surtout lorsque ses agissements révèlent la conscience ou la volonté de nuire[15] » ce qui laisse une large place à l'interprétation. Une fois encore, il conviendra de suivre l'évolution de la doctrine de la C.N.I.L.
Une publicité réduite pour les traitements de l'État
L'article 45 II dans sa version d'origine consacrait la possibilité pour la C.N.I.L, en cas d'urgence, de saisir le premier ministre pour « qu'il prenne les mesures permettant de faire cesser, le cas échéant, la violation constatée si le traitement en cause est au nombre de ceux qui sont mentionnés au I et II de l'article 26 » (Article 45 II 2°). Toujours dans la version originale de cet article, le premier ministre devait alors rendre publiques les suites données à cette saisine dans un délai de quinze jours à compter de la réception.
Le Sénat a estimé cette nouvelle exigence de publicité « inédite et mal adaptée à des fichiers dont certains affectent la défense nationale ou la sûreté de l'État (…) la lutte contre la délinquance ou le terrorisme[16] » et l'a donc supprimée. L'Assemblée n'a pas souhaité modifier cette nouvelle disposition introduite par le Sénat. Désormais, la C.N.I.L ne peut qu'informer, et non plus saisir, le premier ministre qui n'a plus à rendre publiques les suites qu'il a donné à cette information.
Le Sénat considère que la « C.N.I.L demeure libre d'informer par le biais de son rapport annuel des signalements effectués à l'attention du premier ministre et des suites que celui-ci y a apporté ». Cette information est d'une nature très différente. En effet, seuls les professionnels des données personnelles analysent en profondeur le rapport annuel de la commission nationale de l'informatique et des libertés, alors que la réponse du premier ministre est susceptible d'être plus médiatisée.
Enfin, l'argumentation sénatoriale est incomplète dans la mesure où elle n'explique pas la nature du risque que ferait porter la publicité de la réponse du premier ministre sur les traitements de souveraineté. Il ne s'agit nullement de les interdire, mais de maintenir l'opinion informée sur l'état de l'équilibre entre la sécurité et les libertés individuelles.
La protection actuelle des données personnelles est très loin d'être efficace en pratique, et la nécessité d'une réforme est criante.
La transition de la prédominance du contrôle a priori vers celle de la régulation a posteriori animant la philosophie de la directive est en cours. En revanche, de nombreuses interrogations subsistent, notamment quant au budget alloué à la C.N.I.L pour mener à bien ses nouvelles missions. En effet, la commission devra avoir les moyens, tant humains que financiers pour jouer convenablement son rôle. À défaut, les nouvelles attributions risquent de ne pas atteindre leurs objectifs et les traitements illicites continueront de fleurir aux dépens des droits des personnes. Cette inquiétude, le président de la C.N.I.L. ayant déclaré que celle-ci était au bord de la cessation de paiement[17] ».
Une autre question épineuse est celle du statut très libéral des fichiers étatiques des articles 26 et 27 sur lesquels la C.N.I.L n'a aucun moyen de contrôle a posteriori. Les fichiers dits « de souveraineté » ne rentrent pas dans le champ d'application de la directive. Ce n'est donc pas le droit communautaire qui exige ces régimes particuliers au bénéfice de l'État, mais l'État lui-même par le biais du gouvernement. Le rôle de la C.N.I.L dans les déboires qu'a pu connaître le fichier des infractions constatées (STIC) n'est sûrement pas étranger à la baisse de ses pouvoirs. De même que son « auto-saisine[18] » quant à la loi sur la sécurité intérieure[19].
Si de nombreux rapports font état du danger que représentent les traitements de données personnelles réalisés par des personnes privées, il ne faut pas négliger la menace potentielle que peuvent constituer des traitements étatiques affranchis de nombreux moyens de contrôle. En effet, la technologie permet, chaque jour un peu plus, de surveiller l'ensemble des comportements des individus. Est-ce pour autan une raison de souscrire à cette vision du monde ? Pour l'heure, nous vivons dans un pays où, normalement, chacun est présumé innocent jusqu'à la preuve de sa culpabilité. Avec un fichage incontrôlé nous risquons de basculer vers une société dans laquelle chacun est un coupable potentiel et doit être surveillé à ce titre. Naturellement, la philosophie du projet n'est pas celle-ci. Il importe cependant que ceux enjeux soient présents, tant dans le débat public que, dans celui du législateur.
Notes et références
- ↑ Directive 95/46 CE du Parlement et du Conseil, 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23 novembre 1995, p. 31
- ↑ Sur le contrôle a priori voir le compte-rendu de l'intervention de Me Etienne DROUARD, « La refonte du régime de déclaration à la C.N.I.L. » dans le cadre du séminaire « Informatique et Libertés, quelles protections face à quelles menaces ? ». Voir sur Droit-Tic (consulté le 12 mai 2007).
- ↑ Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux Libertés, JO du 7 janvier 1978. Voir sur Droit-Tic. Texte abrogé par Décret en Conseil d'État n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004- 801 du 6 août 2004 , (version consolidée au 28 mars 2007)
- ↑ Décret n° 1-1142 du 23 décembre 1981. Voir le décret sur légifrance
- ↑ Tribunal grande instance de Paris 17e ch. correctionnelle, 16 décembre 1994, Procureur de la République et EDF-GDF /XXXX et alii. sur DROIT-TIC : Voir l'arrêt(consulté le 12 mai 2007).)
- ↑ Rapport de M. Alex Türk, n° 218 (2002-2003), déposé le 19 mars 2003
- ↑ Rapport de M. Francis Delattre, n° 1537, déposé le 13 avril 2004, page 38
- ↑ Pour une illustration récente voir : Commission Nationale de l'Informatique et des Libertés, « La C.N.I.L dénonce au parquet la diffusion sur Internet d'une liste noire de notaires », C.N.I.L, 26 mai 2004
- ↑ La Commission nationale de l'informatique et des libertés (CNIL) a dénoncé le 9 juillet 2002 la société Impact Net au Parquet. Le 10 juillet 2002, elle fait de même pour une affaire concernant la divulgation sur Internet d'une liste de francs-maçons de diverses obédiences
- ↑ J.LE CLAINCHE, « Courriels non sollicités : Enfin vers une application effective des sanctions », DROIT-TIC.com, 26 novembre 2003
- ↑ Rapport de M. Alex Türk, n° 218 (2002-2003), déposé le 19 mars 2003
- ↑ Rapport de M. Francis Delattre, n° 1537, déposé le 13 avril 2004, page 37
- ↑ C.N.I.L, « La CNIL délivre un avertissement à quatre banques », 19 juin 2004</small>
- ↑ Rapport de M. Francis Delattre, n° 1537, déposé le 13 avril 2004, page 39.
- ↑ G.CORNU, « Vocabulaire Juridique », Association Henry CAPITANT, PUF, 7e éd.,p. 571
- ↑ Rapport de M. Alex Türk, n° 218 (2002-2003), déposé le 19 mars 2003 page 139
- ↑ Déclaration à l'AFP le 21 novembre 2006 suite à un amendement parlementaire proposant de retirer à la CNIL la moitié de ses moyens financiers
- ↑ J.THOREL et E.DUMOUT, « La Cnil se rebiffe contre le projet de loi du ministre de l'Intérieur », 25 octobre 2002, CNetNetwork.inc
- ↑ Loi n° 2002-1094 du 29 août 2002 d'orientation et de programmation pour la sécurité intérieure (version consolidée au 10 mars 2004)
Liens externes
- Trouver la notion pouvoirs de la CNIL dans l'internet juridique français
- Le site de la CNIL