La Commission européenne dans son projet de réforme de la réglementation européenne a énoncé parmi 5 objectifs essentiels celui d’un renforcement des pouvoirs des autorités chargées de la protection des données personnelles afin de permette un contrôle « plus effectif » de l’application des règles.
La CNIL est un bon exemple d’autorité indépendante bénéficiant de pouvoirs étendus. Ces pouvoirs s’accompagnent cependant de certaines contraintes et responsabilités comme le montre une jurisprudence récente.
LES POUVOIRS D’INVESTIGATION ET DE SANCTIONS DE LA CNIL
Depuis 2004 la CNIL a le pouvoir de prononcer elle-même un certain nombre de sanctions à savoir notamment :
– Une sanction pécuniaire allant jusqu’à € 150.000 ou € 300.000 en cas de manquement réitéré dans les 5 ans.
– Une injonction de cesser un traitement ou un retrait d’autorisation.
– Un avertissement public et, en cas de mauvaise foi du responsable de traitement, la publication des décisions de sanction.
Par ailleurs la CNIL a de large pouvoirs de contrôle : ses agents peuvent accéder de 6 a 21 heures aux locaux et établissements à usage professionnel servant à la mise en œuvre du traitement. Ils peuvent demander communication de tout document et en prendre copie, demander accès aux données et aux programmes informatiques et demander leur transcription dans un format utilisable.
Les sanctions administratives sont particulièrement efficaces car elles sont prises sous le contrôle de la CNIL et de façon plus rapide que devant une juridiction pénale.
Depuis 2004, la CNIL a progressivement augmenté le nombre de ses contrôles et les sanctions. Dans son rapport pour 2009 elle répertorie :
– 4.256 plaintes (ce qui est très proche des 4.244 reçues en 2008) .
– 270 contrôles (218 en 2008 et 164 en 2007),
– 91 mises en demeures (126 en 2008)
– 4 avertissements (2 en 2008)
– 5 sanctions pécuniaires pour un montant total de € 75.000 (pour 11 en 2008 pour un montant total de € 137.100).
De plus, en 2009, la CNIL a pour la première fois utilisé les mesures d’urgence (d’une part pour mettre en demeure un organisme de corriger sous huit jours des manquements et d’autre part une interruption de traitement dans l’attente de la mise en œuvre des mesures garantissant la sécurité.)
La CNIL avait indiqué avoir transmis 5 dossiers au parquet en 2008 mais n’a pas donnée de précision pour 2009.
RECOURS DES RESPONSABLES DE TRAITEMENT
Avant de pouvoir prononcer des sanctions, la CNIL doit respecter un certain nombre d’étapes imposées par des règles de procédures légales telles qu’interprétées par la jurisprudence.
Une sanction doit être précédée d’un avertissement ou d’une mise en demeure assortie d’un délai pour se conformer à la loi, ainsi que d’une procédure contradictoire. La sanction doit être décidée par une « formation restreinte » de la CNIL sur la base d’un rapport d’un membre de la CNIL qui ne fait pas partie de la formation restreinte.
Jurisprudence récente
Par un arrêt du 7 juillet 2010, le Conseil d’État a annulé des sanctions prises par la CNIL jugeant que le contrôle qui les avait précédées ne respectait pas les principes légaux et a ainsi confirmé la décision qu’il avait prise dans une autre affaire en novembre 2009.
Dans les faits, il s’agit d’une agence privée de recherche (recherchant des débiteurs dont les créanciers ont perdu la trace) qui a été contrôlée par la CNIL en 2005 à la suite de quoi la formation restreinte lui a notifié une mise en demeure sur plusieurs points. Au cours d’une nouvelle visite en 2006, la CNIL a constaté certains manquements non rectifiés comme les modalités d’archivage et la collecte de données de santé, du numéro de sécurité sociale et d’informations sur le passé judiciaire des personnes. La CNIL a infligé une sanction de € 50.000 et une injonction de suspendre le traitement des données jusqu’à sa mise en conformité.
L’agence privée de recherche avait d’abord agit en référé contre la décision de suspension du traitement. Le Conseil d’État avait rejeté cette demande. L’agence a ensuite attaqué la décision sur le fonds devant le Conseil d’État, qui cette fois lui a donnée raison en Juillet 2010.
Le droit à un procès équitable et impartial
Dans la procédure de référé l’agence privée de recherche a argué que, compte tenu de la procédure mise en œuvre par la CNIL, elle avait été privée de son droit un à procès équitable.
Le Conseil d’État a jugé que :
– la CNIL, « eu égard à sa nature, à sa composition et à ses attributions peut être qualifiée de tribunal au sens de l’article 6-1 de la Convention des Droits de l’Homme et des Libertés Fondamentales» et que de ce fait elle doit respecter l’exigence d’un procès équitable.
– il n’est pas contraire au principe d’équité que la CNIL puisse se saisir de son propre chef
– il n’est pas non plus exigé qu’il y ait « une séparation des phases d’instruction et de jugement au sein d’une même procédure ».
– la CNIL doit « statuer dans des conditions respectant le principe d’impartialité »
– la loi prévoit que la CNIL doit d’abord effectuer une mise en demeure et ne peut infliger de sanctions que s’il y a un refus de s’y conformer. Le fait que la mise en demeure mentionne, par la force des choses, les faits relevés « susceptibles d’être qualifiés de manquements » ne signifie pas que la CNIL ait « dès le stade de la mise en demeure, pris partie sur la qualification desdits faits d’infraction à des dispositions législatives et réglementaires »
– en l’espèce la procédure avait été respecté ; et l’agence avait elle-même admis durant cette procédure, ne pas être en conformité.
Le droit de s’opposer aux visites
Le Conseil d’État a confirmé sa jurisprudence précédente au titre de laquelle le contrôle de la CNIL n’est pas valable si les responsables des locaux visités n’ont pas été informés du droit qu’ils ont au titre de la loi de s’opposer à cette visite. La loi prévoit qu’en cas d’un tel refus la visite doit être autorisée par un juge et effectuée sous sa supervision.
Le Conseil d’État considère que le doit fondamental au « respect du domicile » prévu à l’article 8 la Convention des Doits de l’Homme et des Libertés Fondamentales s’applique aux locaux professionnels. Il considère qu’en raison de « l’ampleur des pouvoirs de visite » et de « l’imprécision des dispositions qui l’encadrent, la visite devrait nécessairement être préalablement autorisée par un juge. Que « toutefois la faculté du responsable des locaux à s’opposer à la visite » « offre une garantie équivalente ». Pour autant il faut ; même si la loi ne le prévoit pas expressément, l’informer de ce droit au préalable et pas seulement par une référence au texte en question.
Le Conseil d’État a donc annulé la sanction en raison du défaut d’information ainsi qu’il l’avait fait en novembre 2009 où il avait aussi annulé une sanction de € 30.000 infligée à deux sociétés pour défaut de respect du droit d’opposition dans le cadre de démarchage téléphonique .
Suite à la première décision, la CNIL a fait savoir qu’elle souhaitait pouvoir saisir le juge systématiquement avant un contrôle afin notamment de pouvoir conserver « l’effet de surprise » pour protéger les preuves contre tout effacement.
VERS UN ACCROISSEMENT DES POUVOIRS?
La proposition de loi « visant à mieux garantir le doit à la vie privé à l’heure du numérique » adoptée par le Sénat et transmise à l’Assemblée nationale en mars 2010 prévoit notamment un certain nombre de dispositions visant à renforcer les pouvoirs de la CNIL :
– la loi prévoirait expressément que le responsable des locaux serait informé de son droit d’opposition, mais qu’en cas d’urgence, de fait grave ou de risque de destructions ou dissimulation de documents, la CNIL pourrait demander l’autorisation préalable du juge.
– le montant maximum des sanctions serait porté à € 300.000 et € 600.000 en cas de manquement réitéré (au lieu de € 150.000 et € 300.000)
– la CNIL pourrait publier les sanctions même en l’absence de mauvaise foi du contrevenant.
– la CNIL pourrait faire des observations écrites ou être entendue devant toutes les juridictions civiles, pénales ou administratives à sa propre demande ou à celle des parties.
Cette proposition de loi n’est toujours pas à l’ordre du jour de l’Assemblée nationale mais il sera intéressant de suivre en parallèle les propositions concrètes que la Commission européenne entend faire sur le renforcement et l’harmonisation des pouvoirs de l’ensemble des autorités européennes, dont la CNIL.
________________________________________________________________________________
[1] A ce sujet lire dans notre précédent numéro « projet de réforme de la Commission européenne sur la protection des données personnelles »
