Data et technologies de l’information
La CNIL tient des articles 57 du RGPD et 8 de la n° 78-17 du 6 janvier 1978, la mission de veiller à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions légales applicables. A ce titre, il lui appartient notamment de :
Au terme de l’article 58 du RGPD, chaque autorité de contrôle dispose des pouvoirs d’enquête suivants :
L’exercice des pouvoirs conférés à l’autorité de contrôle est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l’Union et le droit des États membres. A ce titre, le Règlement intérieur (RI) de la CNIL fournit de précieuses indications quant aux modalités d’exercice du pouvoir de contrôle (articles 52 et suivants).
Afin de mener à bien les missions qui lui sont dévolues, la CNIL est habilitée non seulement à procéder à des enquêtes à l’occasion des réclamations pétitions et plaintes dont elle peut être saisie (art. 8, I, 2°, d) mais également à procéder ou à faire procéder, de sa propre initiative, à des vérifications (art. 8, I., 2°, g).
Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du RGPD (art. 77RG).
L’objet de la plainte est communiqué au responsable du traitement mis en cause, ou, le cas échéant, au correspondant, afin que celui-ci fournisse toutes les explications utiles. Ces échanges peuvent avoir lieu par tout moyen (art. 50RI).
Par dérogation à l’alinéa précédent, l’objet de la plainte peut ne pas être communiqué au responsable de traitement si la Commission estime nécessaire de procéder à un contrôle sur place pour constater directement les faits rapportés (art. 50RI).
Au terme de la jurisprudence du Conseil d’Etat (arrêt du 12.02.20 N° N° 430803), « il appartient à la CNIL de procéder, lorsqu’elle est saisie d’une plainte ou d’une réclamation tendant à la mise en œuvre de ses pouvoirs, à l’examen des faits qui sont à l’origine de la plainte ou de la réclamation et de décider des suites à lui donner. Elle dispose, à cet effet, d’un large pouvoir d’appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu’elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l’ont été et, plus généralement, de l’ensemble des intérêts généraux dont elle a la charge.
Nécessité d’une décision particulière
Les pouvoirs que la commission tient de cette faculté sont indépendants de ceux qui lui sont conférés sur saisine de tiers. Elle en use, nous dit le texte, par « décision particulière ». Cette décision doit en principe émaner de la formation plénière.
Toutefois, en application de l’article 13, la commission peut charger le président ou le vice-président délégué d’exercer les attributions qu’elle tient de l’article 8, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d’obtenir des copies de tous documents ou supports d’information utiles à ses missions.
La décision d’engager une procédure de contrôle ou de vérification émanera donc le plus souvent soit du président soit du vice-président délégué. Le décret fixe les conditions et limites dans lesquelles le président de la commission et le vice-président délégué peuvent déléguer leur signature.
En exigeant une décision « particulière », le texte impose semble-t-il, une décision spécifique pour chaque opération de contrôle ou de vérification que la commission entend initier. Il est donc douteux qu’elle puisse procéder par « bloc » en visant, par exemple, tel ou tel traitement ou telle ou telle catégorie de responsables.
Agents chargés du contrôle
Peuvent effectuer des contrôles et vérifications outre les membres de la commission ainsi que son secrétaire général (art. 8), des agents qui lui sont rattachés, spécifiquement habilités par la Commission conformément à l’article 10 de la loi.
On relèvera que les membres de la Formation restreinte ne peuvent participer à l’exercice des attributions de la Commission quant aux contrôles et vérifications prévus à l’article 19 (art. 16).
Les agents de la Commission sont nommés par son président (art. 10). Cependant, ceux qui peuvent être chargés d’une mission de vérification doivent être habilités à cette fin (art. 10). C’est à la Commission qu’il appartient de procéder à cette habilitation. Toutefois, elle peut confier au bureau le soin d’y procéder (art. 15).
Les agents de la commission sont astreints au secret pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, sous peine des sanctions prévues à l’article 413-10 du code pénal et, sous réserve de ce qui est nécessaire à l’établissement du rapport annuel, à l’article 226-13 du même code (art. 11).
Un ou plusieurs membres de la commission ainsi que son secrétaire général, peuvent également chargés de procéder ou de faire procéder à des vérifications portant sur tous traitements (art. 8).
Les moyens d’enquête dont dispose en propre la Commission sont :
La loi prévoit un mécanisme d’information ou d’autorisation préalable destiné à préserver au tant que faire se peut, les droits et libertés individuels.
Contrôle effectué en dehors du domicile privé
Le procureur de la République territorialement compétent est préalablement informé du contrôle. L’information est écrite, le procureur de la République compétent étant celui dans le ressort territorial duquel doit avoir lieu la visite ou la vérification (art. D25).
Le procureur de la République doit être informé au plus tard vingt-quatre heures avant la date à laquelle doit avoir lieu le contrôle sur place. Cet avis précise la date, l’heure, le lieu et l’objet du contrôle (art. D25).
Les membres de la commission ainsi que les agents de ses services habilités ont accès, de 6 heures à 21 heures, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre du traitement de données à caractère personnel concerné.
Lorsque la commission effectue un contrôle sur place, elle informe au plus tard lors de son arrivée sur place le responsable des lieux ou son représentant de l’objet des vérifications qu’elle compte entreprendre, de l’identité et de la qualité des personnes chargées du contrôle ainsi que, le cas échéant, de son droit d’opposition à la visite (art. 26D).
Dans le cadre de leurs vérifications, les personnes chargées du contrôle présentent en réponse à toute demande leur ordre de mission et, le cas échéant, leur habilitation à procéder aux contrôles (art. 26D).
Lorsque le responsable du traitement ou le sous-traitant n’est pas présent sur les lieux du contrôle, ces informations sont portées à sa connaissance dans les quinze jours suivant le contrôle (art. 26D).
Contrôle effectué au sein d’un domicile privé
Sont ici concernés les traitements de données à caractère personnel mis en œuvre, soit dans les parties des lieux, locaux, enceintes, installations ou établissements affectées au domicile privé, soit dans de tels lieux, locaux, enceintes, installations ou établissements entièrement affectés au domicile privé,
L’information préalable du procureur de la République est également requise.
Cependant, le responsable de ces lieux, locaux, enceintes, installations ou établissements est informé de son droit d’opposition à la visite. Lorsqu’il exerce ce droit, la visite ne peut se dérouler qu’après l’autorisation du juge des libertés et de la détention du tribunal judiciaire dans le ressort duquel sont situés les locaux à visiter, qui statue dans des conditions fixées par décret (art. 19).
La décision du responsable des lieux de s’opposer à la tenue du contrôle donne lieu à la rédaction d’un procès-verbal par les agents de la Commission. Dans l’hypothèse où le responsable exerce ce droit au cours de la mission, le procès-verbal mentionne les raisons qui ont mené le responsable à prendre cette décision (art. 56RI).
Le fait, pour le responsable, de s’opposer à certains actes de contrôle après avoir permis aux agents de la Commission de pénétrer dans les lieux est regardé comme l’exercice de son droit d’opposition. Dans ce cas, les agents de la Commission peuvent décider d’interrompre le contrôle et dresser un procès-verbal faisant état de cette opposition (art. 56RI).
Lorsque l’urgence, la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la visite peut avoir lieu sans que le responsable des locaux en ait été informé, sur autorisation préalable du juge des libertés et de la détention. Dans ce cas, le responsable des lieux ne peut s’opposer à la visite.
Le juge est saisi par le président de la commission. Le juge des libertés et de la détention statue dans un délai de quarante-huit heures (art. 27D). L’ordonnance est exécutoire au seul vu de la minute. Elle mentionne que le juge ayant autorisé la visite peut être saisi à tout moment d’une demande de suspension ou d’arrêt de cette visite. Elle indique le délai et la voie de recours (art. 19).
L’ordonnance est notifiée sur place, au moment de la visite, au responsable des lieux ou à son représentant qui en reçoit copie intégrale contre récépissé ou émargement au procès-verbal de visite (art. 27D).
L’ordonnance autorisant la visite peut faire l’objet d’un appel devant le premier président de la cour d’appel suivant les règles prévues par les articles 931 et suivants du code de procédure civile (art. 28D).
Exercice du contrôle
La visite s’effectue sous l’autorité et le contrôle du juge des libertés et de la détention qui l’a autorisée, en présence de l’occupant des lieux ou de son représentant qui peut se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des personnes chargées de procéder au contrôle (art. 19).
Le juge des libertés et de la détention peut, s’il l’estime utile, se rendre dans les locaux pendant l’intervention. À tout moment, il peut décider la suspension ou l’arrêt de la visite. La saisine du juge des libertés et de la détention aux fins de suspension ou d’arrêt des opérations de visite et de vérification n’a pas d’effet suspensif (art. 27D).
Les membres et agents chargés du contrôle peuvent demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie. Ils peuvent recueillir tout renseignement et toute justification utiles et nécessaires à l’accomplissement de leur mission (art. 19).
Ces agents peuvent accéder, dans des conditions préservant la confidentialité à l’égard des tiers, aux programmes informatiques et aux données ainsi qu’en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle (art. 19).
Le secret ne peut être opposé aux agents chargés du contrôle sauf concernant les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou par le secret médical sous les réserves suivantes (art. 19).
Le premier président de la cour d’appel connaît des recours contre le déroulement des opérations de visite autorisées par le juge des libertés et de la détention (art. 19 – art. 29D).
En dehors des visites et auditions, les membres et agents habilités peuvent demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie. Ils peuvent recueillir tout renseignement et toute justification utiles et nécessaires à l’accomplissement de leur mission.
Ils peuvent accéder, dans des conditions préservant la confidentialité à l’égard des tiers, aux programmes informatiques et aux données ainsi qu’en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. Le secret ne peut leur être opposé sauf concernant les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, sous certaines réserves, par le secret médical (art. 19).
Les agents habilités peuvent entendre toute personne susceptible de leur fournir tout renseignement ou toute justification utile pour l’accomplissement de leur mission (art. 34D).
En dehors des contrôles sur place et sur convocation, les agents peuvent procéder à toute constatation utile (art. 19). Ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations. Ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle (art. 19).
Pour le contrôle de services de communication au public en ligne, les membres et agents habilités peuvent réaliser toute opération en ligne nécessaire à leur mission sous une identité d’emprunt. A peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction. L’utilisation d’une identité d’emprunt est sans incidence sur la régularité des constatations effectuées conformément aux dispositions légales (art. 19).
Obligation de collaboration
Les membres du Gouvernement, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la Commission nationale de l’informatique et des libertés ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche. Sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la commission en application du g du 2° du I de l’article 8 sont tenues de fournir les renseignements demandés par celle-ci pour l’exercice de ses missions (art. 18).
L’article 31 du RGPD dispose que « le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions ».
L’article 33 prévoit au demeurant une obligation spécifique de communication l’autorité de contrôle en cas de violation de données à caractère personnel. Cette obligation visa tant le responsable du traitement que le sous-traitant, ce dernier ne devant toutefois notifier la violation qu’au responsable du traitement. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article (art. 33.5RG).
Le non-respect de cette obligation de coopération constitue un manquement sanctionnable.
Recours à des experts
Les membres et agents habilités de la CNIL peuvent, à la demande du président de la commission, être assistés par des experts. Le président de la commission définit l’objet de l’expertise et fixe le délai de sa réalisation (art. 35D).
Le ou les experts informent le président de la commission de l’avancement des opérations d’expertise. Celles-ci sont menées contradictoirement (art. 35D).
Le rapport d’expertise est remis au président de la commission qui en adresse une copie au responsable du traitement ou au sous-traitant (art. 35D).
*
La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante. Comme le souligne un rapport du Sénat, les AAI « sont en rupture avec l’organisation traditionnelle de l’Etat, non seulement parce qu’elles échappent au contrôle du Gouvernement, mais aussi parce qu’elles peuvent cumuler tous les pouvoirs : le pouvoir normatif, le pouvoir d’application et le pouvoir juridictionnel (sanction des manquements) » .
Ce pouvoir juridictionnel nécessite de toute évidence un encadrement légal destiné à garantir aux « justiciables » tant l’indépendance et l’impartialité de ses « juges » qu’une procédure respectueuse des droits de la défense.
De même, lorsque cette autorité est investie d’un pouvoir de contrôle et d’investigation, ce qui est le cas de la CNIL, il importe également que ces contrôles et ces investigations s’exercent également dans le respect des droits et garanties fondamentaux.
Si un statut général des AAI n’a été institué qu’en 2017, avec la loi n° 2017-55 du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes, la jurisprudence a très tôt complété le statut légal spécifique de chacune de ces autorités en soumettant leurs pouvoirs d’enquête et de jugement aux principaux généraux gouvernant ces matières.
Ainsi, ces principes généraux, tels qu’interprétés par les tribunaux, viennent utilement compléter les garde-fous résultant des dispositions légales et réglementaires régissant le fonctionnement de la Commission.