Pouvoirs de la Commission nationale de l'informatique et des libertés (fr)

France > Droit public (fr) > Droit administratif (fr) > Autorité administrative indépendante (fr)

La Commission nationale de l'informatique et des libertés (CNIL) a été créée par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. C'est cette loi qui qualifie la CNIL d'autorité administrative indépendante.

Composition

Elle est composée de 17 commissaires répartis ainsi: 4 parlementaires (2 députés, 2 sénateurs), 2 membres du Conseil économique et social, 6 représentants des hautes juridictions (2 conseillers au Conseil d’État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des comptes), 5 personnalités qualifiées désignées par le Président de l’Assemblée nationale (1 personnalité), par le Président du Sénat (1 personnalité), par le conseil des ministres (3 personnalités).

Le mandat des commissaires est de 5 ans à l'exeption des parlementaires dont le mandat prend terme avec celui du mandat électif.

Rôle

Pouvoirs

Pouvoirs a priori

Pouvoirs a posteriori

Conformément à la philosophie de la directive cadre relative à la protection des données personnelles (Directive 95/46 CE du Parlement et du Conseil, 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23.11.1995, p. 31), le projet de transposition tend à alléger les formalités préalables à la création d’un traitement (contrôle a priori)( Sur le contrôle a priori voir le compte-rendu de l’intervention de Me Etienne DROUARD, « La refonte du régime de déclaration à la C.N.I.L » dans le cadre du séminaire « Informatique et Libertés, quelles protections face à quelles menaces ? ». Voir sur Droit-Tic (consulté le 30 mai 2004).) tout en tâchant d’assurer un contrôle a posteriori plus efficace. La Commission Nationale de l’Informatique et des Libertés (C.N.I.L) se voit donc attribuer de nouvelles prérogatives. En revanche, son pouvoir sur les traitements réalisés pour le compte de l’Etat est revu à la baisse.

Le contrôle a posteriori de la commission s’exercera par le biais de pouvoirs d’investigation et de sanction.

Une clarification du pouvoir d’investigation, une consécration relative du pouvoir d’injonction

Si le pouvoir d’investigation de la C.N.I.L ne fait l’objet que de simples précisions, le pouvoir d’injonction est bien nouveau.

Le pouvoir d’investigation de la C.N.I.L précisé

Il convient de s’intéresser au droit positif avant de considérer l’apport éventuel du projet de loi.

Le pouvoir d’investigation de la C.N.I.L dans la loi « Informatique et Libertés »

Ce pouvoir est une attribution traditionnelle de la C.N.I.L dans la loi dîtes, « Informatique et Libertés » (Loi 78/17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux Libertés, JORF 7 janvier 1978. Voir sur Droit-Tic). En effet, l’article 11 de la loi fait expressément référence aux missions d’investigation et de contrôle de la commission :

« La commission (…) pour des missions d'investigation et de contrôle effectuées sous sa direction. »

L’article 12 de la loi s’empressant de préciser que les membres et les agents de la C.N.I.L sont soumis à une obligation de secret professionnel « pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions ».

Sur le fondement du décret n°81-1142 du 23 décembre 1981, article 1-1° (Décret n°81-1142 du 23 décembre 1981. Voir le décret sur légifrance), , sont sanctionnées les personnes qui ont entravé l'action de la CNIL :

« Soit en s'opposant à l'exercice des vérifications sur place, soit en refusant de communiquer à ses membres, à ses agents (...) les renseignements ou documents utiles à la mission qui leur est confiée par la commission, ou en dissimulant lesdits documents, ou encore en les faisant disparaître, soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements au moment où la demande a été formulée (...) » Des sanctions ont d’ailleurs été prononcées sur ce fondement, notamment par la chambre correctionnelle du Tribunal grande instance de Paris dans un arrêt du 16 décembre 1994 (Tribunal grande instance de Paris 17ème ch. correctionnelle, 16 décembre 1994, Procureur de la République et EDF-GDF /XXXX et alii. Legalis.net : Voir l'arrêt(consulté le 3 mai 2004).).

Les précisions apportées par le projet de transposition

Le projet de loi, loin de bouleverser le pouvoir d’investigation de la C.N.I.L, apporte quelques précisions.

Ainsi, l’article 44 nouveau de la loi dispose que les membres de la C.N.I.L et les agents habilités peuvent « demander communication de tous documents nécessaires à l’accomplissement de leur mission…», peu importe le support électronique ou non de l’information. Or, les membres et les agents de la C.N.I.L sont déjà soumis au secret professionnel dans le cadre de la loi ancienne. Rien ne leur interdisait donc jusqu’à lors de « demander communication de tous documents nécessaires à l’accomplissement de leur mission».

L’article 21 du projet de loi clarifie les conditions d’opposition du secret professionnel aux membres et agents de la C.N.I.L « Sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la commission en application du f du 1° de l’article 11 sont tenues de fournir les renseignements demandés par celle-ci pour l’exercice de ses missions » La rédaction de l’article 21, très protectrice du secret, risque de compliquer grandement le travail de la C.N.I.L puisque les entreprises pourront éventuellement opposer le secret des affaires pour interdire l’accès à des traitements néanmoins susceptibles de comporter des risques pour les libertés individuelles.

Le projet de loi précise également que les membres et les agents de la CNIL peuvent se rendre, entre 6 heures et 21 heures, dans tout local servant à la mise en œuvre d'un traitement de données à caractère personnel, à l'exclusion des parties de celui-ci affectées au domicile privé. Il s’agit d’un rappel des principes.

Enfin, l’article 51 nouveau reprend les dispositions de l’ancien article 44 de la loi et du décret n°81-1142 du 23 décembre 1981 pour affirmer à nouveau le délit d’entrave à l’action de la C.N.I.L.

Si les pouvoirs d’investigation de la C.N.I.L sont plus précisés que réellement élargis, celle-ci se voit néanmoins dotée de réels pouvoirs d’injonction et de sanction.

Le pouvoir d’injonction de la C.N.I.L limité aux « traitements privés »

Le pouvoir d’injonction de la C.N.I.L est nouveau, mais ne peut être exercé contre l’Etat.

La C.N.I.L peut prononcer des injonctions de cesser le traitement ou de procéder à sa destruction

Le projet de loi prévoit non seulement un pouvoir de sanction pécuniaire au bénéfice de la C.N.I.L mais lui reconnaît également la possibilité de prononcer des injonctions (Article 45 nouveau) de cesser le traitement ou de procéder à sa destruction pour le traitement relevant de l’article 22 nouveau. Il s’agit des fichiers soumis à l’obligation de déclaration.

Pour les fichiers qui ont fait l’objet d’une autorisation par la commission sur le fondement de l’article 25, celle-ci peut la retirer. En revanche, la loi nouvelle ne donne pas d’indications quant au statut du fichier dont l’autorisation a été retirée. Il y a fort à parier qu’il faudra alors attendre une décision judiciaire de verrouillage ou de destruction.

Les fichiers Etatiques soumis à autorisation sur le fondement des articles 26 et 27 et non sur celui de l’article 25 ne rentrent pas dans le champ d’application du pouvoir d’injonction.

Le II de l’article 45 institut une procédure d’urgence « lorsque la mise en œuvre du traitement ou l’exploitation des données traitées entraîne une violation des droits mentionnés à l’article 1 Au terme de cette procédure,la C.N.I.L peut « décider l’interruption de la mise en œuvre du traitement pour une durée maximale de trois mois » ou le « verrouillage des données à caractère personnel », également pour une durée maximale de trois mois.

La portée des droits mentionnés à l’article 1er de la loi est très générale :« L'informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Il faudra donc attendre le développement de la doctrine de la C.N.I.L pour connaître le champ d’application réel de cette procédure d’urgence. De nombreux traitement de données personnelles mis en œuvre par l’Etat ne sont toutefois pas concernés par cette mesure d’urgence.

Les fichiers étatiques relevant des articles 26 I, 26 II et 27 sont exclus de la procédure d’urgence

Nous avons vu que les fichiers Etatiques relevant des articles 26 et 27 n’entraient pas dans le champ d’application du pouvoir d’injonction. Il en va de même dans l’hypothèse de la procédure d’urgence.

Contrairement à la version du projet de loi adoptée en première lecture par l’Assemblée, la C.N.I.L s’est vu retirer par le Sénat, la possibilité qui lui était offerte de « détruire le traitement de données » (Rapport de M. Alex Türk, n° 218 (2002-2003), déposé le 19 mars 2003). Cet amendement du Sénat se fonde sur le nouvel article 14 qui prévoit que le juge peut ordonner l’effacement de tout ou partie des données à caractère personnel.

l est d’autan plus étonnant que l’Assemblée n’amende pas le texte du adopté par le Sénat en seconde lecture dès lors que, son propre rapporteur observait : « que le temps judiciaire n’est pas celui des traitements de données personnelles, et que la possibilité offerte à la C.N.I.L de supprimer des traitements, menace dissuasive s’il en est, est susceptible d’être mise en œuvre bien plus rapidement que s’il s’agit d’une décision judiciaire » (Rapport de M. Francis Delattre, n° 1537, déposé le 13 avril 2004, page 38).

Il est aisé de comprendre que la destruction du fichier est une mesure irréversible qui se doit d’être encadrée. Toutefois, le verrouillage de certaines données, voir du fichier dans son ensemble pour une durée de trois mois ne comporte pas les mêmes risques. L’Assemblée a pourtant souhaité soustraire les traitements étatiques relevant des articles 26 I, 26 II et 27 à ces sanctions éventuelles.

De nouveaux pouvoirs de sanction et une publicité très encadrés

Régime et exceptions des sanctions pécuniaires

La publicité des sanctions prononcées par la C.N.I.L

Liens

• http://www.cnil.fr/ Le site de la CNIL