pouvoirs de l'autorite de controle

VII - POUVOIRS DE L'AUTORITE DE CONTROLE

1 - En amont de la mise au point des traitements : réflexion et conseil.

La logique du contrôle a posteriori - qui sera dominante après la transposition de la directive appelle un renforcement symétrique des possibilités d'intervention de l'autorité de contrôle en amont. Si cette logique est celle d'un partage plus clair des responsabilités par rapport à la pratique suivie sous l'empire de la loi de 1978, les responsables de traitements publics et privés doivent être pleinement informés au moment même où ils conçoivent les traitements informatiques, de leurs obligations au regard de la directive. Et c'est l'autorité de contrôle qui, à l'évidence, est la mieux placée pour tenir ce rôle de réflexion et de conseil. Ainsi le recentrage de son intervention est-il double en amont de la transmission des dossiers et en aval de la mise en oeuvre des traitements. Même si cet aspect du nouveau dispositif de contrôle n'appelle sans doute pas beaucoup de dispositions au titre de la transposition, il nous paraît indispensable de le souligner. Le rôle de l'autorité de contrôle pourra prendre plusieurs formes, dans un ordre de généralités décroissant :

a) Un rôle de réflexion générale sur les problèmes posés par l'informatisation, le développement des nouvelles technologies, etc. Exemple : rapports généraux et thématiques de la CNIL comme celui de 1996 "Voix, image et protection des données personnelles". Seule aujourd'hui, la CNIL est en mesure de mener une réflexion aussi soutenue et approfondie sur les interférences du droit et des nouvelles technologies. Cette réflexion générale pourrait également s'appuyer, à l'avenir, sur les informations recueillies à l'occasion des contrôles a posteriori : on peut penser par exemple à des contrôles thématiques, par branche ou par profession.

b) La participation à la mise au point de codes de conduite

La directive mentionne ces codes de conduite (article 27) dans des termes qui ne créent pas une obligation précise puisqu'il est seulement prévu que les Etats membres (et la commission) "encouragent l'élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des secteurs à la bonne application des dispositions nationales prises par les Etats membres en application de la présente directive". Il est également prévu que ces projets de code sont élaborés par "les associations professionnelles" et "les autres organisations représentant d'autres catégories de responsables du traitement". Dans le contexte français on songe immédiatement aux organisations de branche ou de professions, qui sont les mieux à même, au titre des usages de la profession, ou des règles de déontologie qu'elle se donne, de préciser, à l'extension des entreprises les obligations qui leur incombent en matière d'informatisation. A titre d'exemple, on peut citer le code de déontologie de la vente par correspondance, mentionné dans un rapport d'activité annuel de la CNIL.

Comment élaborer ces codes de conduite, quelle portée, quel contenu leur donner ? Dans le cadre très souple tracé par la directive, tout est possible :

généralement, l'initiative de documents de ce genre appartient aux professionnels eux-mêmes, qui les font ensuite approuver par l'autorité compétente. Mais rien n'empêche une association plus précoce de l'autorité de contrôle à la mise au point ;

peut-on aller au-delà de l'encouragement et aller dans le sens d'une obligation des branches et profession, de mettre au point de tels codes de conduite ? La directive ne l'interdit pas mais la définition juridique de cette obligation paraît délicate. On peut en revanche songer à un système incitatif qui consisterait par exemple en des allégements ou en des simplifications de procédure pour les entreprises de la profession ;

en revanche, la loi ou le règlement peuvent préciser le contenu des codes de conduite et les points qu'ils devraient dans tous les cas aborder : sécurité des traitements ; mise à jour ; vieillissement, délai de conservation des données ; modes d'information des personnes concernées par les traitements (clientèles), etc.

c) Au niveau de l'entreprise ou de l'organisme public, les schémas d'informatisation pourraient être soumis pour avis à l'autorité de contrôle. Il ne s'agirait pas a priori, d'une obligation, mais d'une sécurité pour l'entreprise qui aurait une vision plus claire des problèmes éventuels posés par le développement de son informatisation. Sans que cela puisse se substituer à l'obligation de déclaration ou d'examen préalable qui porte sur le traitement lui-même, cela irait dans le sens d'une demande des représentants du secteur privé qui réclament une "déclaration par entreprise".

d) Enfin, il semble qu'il y ait, de la part des entreprises, une forte demande de conseils, en vue de la mise au point des traitements, et avant la mise en oeuvre de formalités prescrites aujourd'hui par la loi de 1978, demain par la loi issue de la directive. La disponibilité de l'autorité de contrôle à une telle demande est évidemment une question de moyens, mais ce mode d'intervention (qui doit rester très souple qui n'appelle pas de réglementation particulière) va de pair, comme il a été indiqué ci-dessus, avec le recentrage sur le contrôle a posteriori. On voit aussi tout le parti qu'on pourrait tirer dans ce domaine, de l'institution des détachés à la protection des données, corps de spécialistes, excellents connaisseurs de la législation, et placés au coeur de l'entreprise. Raison supplémentaire de ne pas fermer la réflexion sur ce point.

2 - A l'issue de l'examen préalable

Cette question a déjà été abordée ci-dessus, en IV (Examen préalable) et au VI (Cas particulier des traitements de souveraineté). On mentionnera, seulement, pour mémoire les deux cas de figure.

a) Régime de droit commun lorsqu'il y a lieu à examen préalable d'un projet de traitement, c'est l'autorité de contrôle qui décide, à l'issue de cet examen, d'autoriser ou non la mise en oeuvre du traitement.

b) Cas particulier des traitements "de souveraineté" : décision du Gouvernement (décret en Conseil d'Etat) après avis de l'autorité de contrôle.

3 - Dans le cadre du contrôle a posteriori

Le recentrage de l'intervention de l'autorité de contrôle sur ce type de contrôle appelle une réflexion approfondie sur les instruments juridiques du contrôle a posteriori, et les moyens de leur donner une pleine efficacité au regard de l'objectif poursuivi. Dans ce domaine, la directive (article 28) ouvre une large gamme de possibilité parmi lesquelles le législateur national doit choisir. Il s'agit certainement des options parmi les plus délicates de celles que la directive appelle à lever. Toute une série de questions doivent être distinguées.

a) Le pouvoir d'investigation

La directive le définit (article 28-3) comme "le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle". Ces dispositions sont très voisines de celles de la loi de 1978 (article 21, 2° : pouvoir de "procéder... à des vérifications sur place et de se faire communiquer tous renseignements et documents utiles à sa mission").

La portée de ces pouvoirs a été précisée par un avis du Conseil d'Etat du 6 octobre 1987, selon lequel le droit de visite attribué aux délégués de la CNIL ne peut être assimilé à un pouvoir de perquisition ni permettre de procéder à une saisie. En cas d'opposition des intéressés, indique le même avis, les délégués de la CNIL "ne peuvent, sans commettre une voie de faite et une violation de domicile, exécuter d'office les opérations nécessaires à leur mission". Le Conseil d'Etat note à ce sujet que les textes ont prévu des sanctions pénales à l'encontre des personnes qui entraveraient l'action de la commission. L'avis du Conseil d'Etat est rigoureusement conforme à la jurisprudence du Conseil constitutionnel, exprimée dans la décision 87-240 du 19 janvier 1987 à propos des pouvoirs des agents de la COB. De même, les conditions d'exercice de pouvoir d'investigation de la CNIL sont-elles précisées par le règlement intérieur de la commission, d'où il ressort, notamment, qu'une mission de contrôle sur place est décidée par une délibération (articles 54 et 56 du règlement intérieur) et que cette délibération est notifiée à l'avance aux personnes concernées (article 56).

On notera toutefois, sur ce dernier point, que la jurisprudence du Conseil constitutionnel (décision 90-286 DC du 28 décembre 1990) fixe les conditions dans lesquelles un contrôle inopiné peut avoir lieu : un avis d'intervention doit être remis aux intéressés avant le début des opérations de contrôle. Compte tenu de ces éléments, comment envisager de renforcer ou de compléter les dispositions actuelles sur le pouvoir d'investigation, étant admis que dans la logique du contrôle a posteriori, ce pouvoir doit être effectif et étendu ? Trois questions se posent :

faut-il compléter la définition du délit d'entrave au contrôle sur place, prévue à l'article 43 de la loi de 1978. La question a été posée à propos d'un éventuel refus d'un responsable de traitement de communiquer aux enquêteurs un mot de passe ou un code d'accès. Il est certain que ce comportement devrait être réprimé, mais le texte actuel paraît le couvrir en ce qu'il punit le refus de communiquer les renseignements ou documents utiles à la mission de contrôle. S'il a le moindre doute sur ce point, le texte pourrait être complété, l'objectif étant parfaitement clair : les enquêteurs doivent avoir les moyens juridiques de leur mission ;

faut-il alourdir les pénalités prévues au même article 43 (un an d'emprisonnement et 100000 F d'amende) ? On peut songer à les aligner sur celles prévues dans le texte relatif à l'intervention de la COB : 2 ans d'emprisonnement et 2 MF d'amende. Mais on note que les pénalités de la loi de 1978 ont déjà été renforcées au ler mars 1994, soit très récemment. On peut toujours aller plus loin, mais il nous semble que cela aurait surtout un effet "d'affichage".

En revanche, il pourrait être prévu de compléter les dispositions pénales dans le sens de la responsabilité générale de la personne morale dans le cas où l'entrave au contrôle de la commission a manifestement pour objet de protéger l'entreprise.

faut-il prévoir au bénéfice de l'autorité de contrôle des pouvoirs coercitifs exercés sur autorisation expresse (ou ordonnance) du président du tribunal de grande instance et permettant :

. des visites en tous lieux ;

. et la saisie de documents ?

La Chancellerie est pour l'instant réservée sur le point qui mérite un examen complémentaire.

b) L'action au pénal

Actuellement, la CNIL n'a pas la possibilité d'ester en justice, c'est-à-dire de mettre en mouvement elle-même l'action publique, mais seulement de dénoncer les faits dont elle a connaissance au procureur de la République, ce dernier appréciant, comme dans le cas général, l'opportunité des poursuites.

Faut-il aller plus loin ? A priori il y a toute une gradation possible :

- la dénonciation des faits (article 40 du CTR) ;

- permettre à l'autorité de contrôle de se constituer partie civile (à l'exemple du CSA) dans le cas où les poursuites ont été engagées ;

- prévoir que les poursuites ne pourront être engagées qu'après avis de l'autorité de contrôle (analogie : commission des infractions fiscales), voire avis conforme ;

- donner à l'autorité de contrôle le pouvoir de déclencher l'action publique.

La Chancellerie est réservée sur les solutions allant au-delà du simple pouvoir de dénonciation, préférant ne pas réduire la marge de manoeuvre du ministère public. Nous estimons toutefois que le renforcement du pouvoir d'intervention au pénal de l'autorité de contrôle est cohérent avec le développement du contrôle a posteriori. Cela étant admis, pour aller plus loin qu'aujourd'hui, seule la dernière solution mentionnée ci-dessus nous paraît véritablement intéressante.

c) La définition des infractions

Actuellement, les incriminations sont définies aux articles 226-16 et suivants du nouveau code pénal. La nouvelle loi issue de la directive amènera sans doute à modifier ces définitions pour les adapter à un régime du droit plus explicite sur les notions de fond. Il n'est pas possible, à ce stade, d'anticiper sur ce travail d'expertise en droit pénal, mais on peut lui assigner l'objectif de faire correspondre, de la façon la plus étroite que possible, la définition des incriminations avec celle des obligations de la loi. Devraient être sanctionnés pénalement, non seulement aujourd'hui les manquements aux engagements figurant dans la déclaration du traitement, mais aussi les manquements aux obligations tirées directement de la loi.

d) Les pouvoirs effectifs d'intervention

Actuellement, c'est seulement en cas de circonstances exceptionnelles qu'est reconnu à la CNIL (article 21-3° de la loi du 6 janvier 1978) le pouvoir de prendre des mesures de sécurité pouvant aller jusqu'à la destruction des supports d'information, et, à notre connaissance, ces dispositions n'ont jamais été appliquées. La directive, de son côté, n'assortit d'aucune condition particulière l'usage des pouvoirs d'intervention énumérés à l'article 28, tels que celui d'ordonner le verrouillage, l'effacement ou la destruction de données, ou d'interdire temporairement ou définitivement un traitement.

A l'évidence, reconnaître à l'autorité de contrôle de tels pouvoirs serait donc aller beaucoup plus loin que la loi actuelle et cette perspective est considérée par la quasi-totalité des contributions reçues, d'origine publique ou privée, comme inacceptable. De l'avis général, ce n'est pas à une autorité administrative, fut-elle dotée d'une mission éminente, de prendre de telles mesures, mais au juge. Et c'est le fait que le caractère irréversible de certaines de ces mesures (effacement, destruction), prive d'effectivité le recours au juge qui est ressenti comme le plus critiquable (à noter toutefois que l'argument n'est pas déterminant, puisqu'une procédure de sursis à exécution d'une telle mesure peut toujours être prévu).

A noter que s'agissant des traitements du secteur privé, l'octroi de tels pouvoirs à l'autorité de contrôle ne peut en aucune manière être justifié par la suppression du contrôle a priori et le recentrage vers le contrôle a posteriori puisque c'est exclusivement à cette forme de contrôle que sont soumis ces traitements sous le régime de la loi de 1978.

Il paraît donc difficile de doter l'autorité de contrôle d'un pouvoir d'injonction, assorti de la possibilité de prononcer les mesures susmentionnées.

En revanche cette autorité devrait avoir la possibilité de saisir le juge civil dans des conditions d'urgence ; selon une procédure analogue à celle du référé, pour lui demander de faire cesser un traitement contrevenant gravement à la loi. Des dispositions spécifiques devraient être prévues en ce sens dans la loi.

e) Le retrait d'autorisation

Lorsqu'on se trouve dans un cas où le traitement a été autorisé par l'autorité de contrôle, cette dernière devrait avoir la possibilité de retirer cette autorisation, en cas de manquement grave, constaté dans le cadre de son contrôle a posteriori.

Contactez-nous : info@celog.fr

Retour à l'index