Loi n°2011-334 du 29 mars 2011 relative au défenseur des droits
La Commission Nationale de l’Informatique et des Libertés (CNIL) figure parmi les autorités européennes chargées de la protection des données personnelles, et est d’ores et déjà dotée d’un pouvoir d’investigation et de sanction. Cependant, l’exercice de ces pouvoirs a soulevé un certain nombre de questions, et même donné lieu à des contentieux devant le Conseil d’Etat.
Ainsi que nous l’avions indiqué dans un précédent article , le Conseil d’Etat a jugé en février 2008 que la CNIL, « eu égard à sa nature, à sa composition et à ses attributions peut être qualifiée de tribunal au sens de l’article 6-1 de la Convention des Droits de l’Homme et des Libertés Fondamentales», et que de ce fait elle doit respecter l’exigence d’un procès équitable.
La loi n°2011-334 du 29 mars 2011 relative au défenseur des droits modifie la loi Informatique et Libertés du 6 janvier 1978 en introduisant un certain nombre de changements en vue de garantir le caractère équitable, tout en renforçant certains des pouvoirs de la CNIL.
1. Déroulement des visites de contrôle
La CNIL a le droit de procéder, après en avoir informé le Procureur de la République, à des contrôles sur site de 6 heures à 21 heures. Le responsable des locaux peut s’y opposer, auquel cas la visite ne peut se dérouler qu’après l’autorisation d’un juge (article 44 de la Loi Informatique et Libertés).
• La loi prévoit dorénavant expressément que la CNIL doit informer le responsable des locaux de son droit d’opposition à la visite.
Le juge compétent en cas d’opposition est le juge des libertés et de la détention.
Ceci reflète une jurisprudence constante du Conseil d’Etat sur le fondement de l’article 8 de la Convention Européene de Droits de l’Homme (à savoir le droit fondamental au respect du domicile qui s’applique aux locaux à usage professionnel).
• Cependant, lorsque « l’urgence, la gravité des faits à l’origine du contrôle, ou le risque de destruction ou de dissimulation de documents le justifie », la visite peut avoir lieu sans que le responsable des locaux en ait été informé préalablement ni puisse s’y opposer, à condition pour la CNIL d’avoir obtenu l’autorisation préalable du juge des libertés et de la détention.
Une telle visite s’effectuera alors sous l’autorité et le contrôle du juge des libertés et de la détention, en présence soit du responsable des locaux (pouvant se fait assister par le conseil de son choix), soit, à défaut, en présence de deux témoins qui ne sont pas sous l’autorité de la CNIL, ni a priori du juge. La loi n’indique pas comment ces témoins doivent être identifiés, et cela pourrait être à l’origine de futurs débats, notamment si le responsable du traitement y voit un moyen de retarder ou contester la procédure…
L’ordonnance est exécutoire au vu des minutes et mentionne que le juge peut à tout moment être saisi d’une demande d’interruption ou d’arrêt de la visite. Elle indique le délai et la voie de recours.
Les recours à l’encontre de la décision du juge ou du déroulement des visites se font devant le premier Président de la cour d’appel.
Ceci répond à une demande de la CNIL qui souhaite pouvoir bénéficier de l’effet de surprise pour préserver les preuves.
2. Garantir le droit à un procès équitable par la séparation de l’instruction et du jugement
Bien que le Conseil d’Etat n’ait pas donné droit aux arguments des plaignants sur l’absence de séparation de la phase d’instruction et de la phase de jugement qui contreviendrait a l’article 6-1 de la Convention des Droits de l’Homme (sur le droit à un procès équitable), la loi du 29 mars 2011 procède à une séparation des pouvoirs au sein de la CNIL.
Auparavant, la formation restreinte de la CNIL avait pour mission non seulement de prononcer les mises en demeure (notamment à l’issue d’un contrôle) mais également d’infliger les sanctions en cas de non respect de celle-ci.
• La formation restreinte reste l’organe de sanction mais c’est désormais le Président de la CNIL qui prononce les mises en demeure (article 45 de la loi Informatique et Libertés).
• Il y a un certain nombre de fonctions exclues pour les six membres de la formation restreinte élus par la CNIL, à savoir (i) être membre du bureau de la CNIL (ce qui exclu notamment le Président de la CNIL); (ii) recevoir les réclamations, pétitions et plaintes ; (iii) informer le procureur de la République de l’existence d’infractions et présenter des observations dans les procédures pénales ; (iv) effectuer des visites de contrôle (article 17 de la loi Informatique et Libertés).
• Et finalement, le mandat de Président de la CNIL est incompatible avec toute activité professionnelle, tout mandat électif national, et tout intérêt même indirect dans une entreprise du secteur des communications électroniques ou de l’informatique, ce qui a une portée plus générale de garantie d’indépendance de la CNIL elle-même.
3. Extension de la publicité des décisions de la CNIL
Afin de renforcer leur caractère dissuasif, peuvent désormais faire l’objet d’une publication (article 46 de la loi Informatique et Libertés) :
• toutes les sanctions, y compris l’avertissement ; et
• les mises en demeure ;
et ce, sans qu’il soit besoin que le responsable du traitement ait été de mauvaise foi.
Ces dispositions sont particulièrement importantes, la CNIL comptant davantage sur la volonté des sociétés de protéger leur réputation que sur le caractère dissuasif des sanctions.