Le site de la CNIL qui joue, comme toujours la transparence, se fait l’écho d’une jurisprudence assez négative pour l’efficacité de ses actions de contrôle sur place. La CNIL dispose en effet d’un droit à vérifier comment sont tenus les fichiers qui ont été déclarés (ou non d’ailleurs). Le ton de l’article est assez franc mais cache mal un certain malaise face à ces décisions. La CNIL met les pieds dans le plat en reprenant les termes de 2 Arrêts du conseil d’État du 6 novembre 2009 qui portent sur le droit de la personne contrôlée à s’opposer à ce contrôle.
Le Conseil d’État stigmatise en fait une des forces du texte de la loi informatique fichiers et libertés qui donne à la CNIL des pouvoirs de perquisition (appelons les choses par leur nom) particulièrement étendus. Notamment la loi autorise la CNIL à accéder à des locaux professionnels en dehors de leurs heures normales de fonctionnement et en l’absence du responsable du traitement de données à caractère personnel soumis au contrôle. Or le Conseil d’Etat semble estimer que le texte n’a pas prévu de mesures suffisantes pour encadrer de tels pouvoirs, dont l’exercice par la CNIL peut, en conséquence, revêtir un caractère disproportionné. Donc, selon le Conseil d’Etat, l’ingérence dont peut faire preuve la CNIL à l’occasion de ces contrôles est disproportionnée par rapport au but poursuivi par ces contrôles. Mais quel est ce but ? Et bien tout simplement de vérifier la bonne application de la loi informatique fichiers et libertés.
Pour ma part, je lis cette décision comme une véritable remise en place. Le Conseil d’Etat, juge administratif supprême, censeur des actes des autorités administratives indépendantes vient tout bonnement de dire » A la niche médor, on n’aboie pas après le facteur ! « . Attention métaphore subtile : La CNIL a des dents trop longues et n’a pas de laisse suffisamment courte, alors même qu’elle ne garde que la maison du gardien de chasse. C’est dire, en quelque sorte, que le sujet de la protection des données à caractère personnel n’est pas assez important pour laisser son autorité de contrôle seule juge du bien fondé de ses actions.
Pour autant la CNIL affirme bien que ces arrêts ne viennent pas museler ses pouvoirs puisque ceux-ci sont bien inscrits dans la loi :
- possibilité de demander communication de tout document, quel qu’en soit le support,
- possibilité d’accéder aux programmes informatiques et aux données,
- possibilité d’en prendre copie ;
- possibilité de recueillir tout renseignement et toute justification utiles.
Simplement, avant de pouvoir les exercer, la CNIL doit depuis un mois, informer le responsable des locaux contrôlés de son droit de s’opposer à cette procédure. Le Conseil d’État a estimé que cette faculté du responsable de s’opposer au contrôle permettait de garantir les droits du contrôlé, à condition que ce dernier soit valablement informé de son droit à s’opposer à la visite. La CNIL se voit donc contrainte de prévenir les personnes du contrôle à venir et de leur droit de s’y opposer ! .
La CNIL déclare avoir sollicité une modification de la loi afin de pouvoir solliciter l’autorisation d’un juge judiciaire pour effectuer des contrôles sans informations préalables à des fins conservatoires lorsque cela s’avère nécessaire. En tous les cas, à cette date, c’est loupé pour l’effet de surprise … La CNIL est tout bonnement muselée par ces décisions (cf. métaphore douteuse) qui vont jusqu’à remettre partiellement en cause les pouvoirs qui lui sont conférés par la loi. En effet, nous sommes en matière de fichiers de données à caractère personnel, et les preuves d’une infraction à la loi sont donc particulièrement immatérielles et volatiles. La surprise du contrôle est donc primordiale.
Je trouve d’ailleurs qu’il est regrettable que la CNIL se voit ainsi démunie alors que les conséquences de ses contrôles n’emportent pas de dommage particulier pour l’entreprise. Mais je regrette encore plus encore qu’à l’heure des réseaux sociaux, et de la guerre de la collecte de l’information qualifiée, le Conseil d’Etat ne considère pas que la préservation des libertés fondamentales protégées par l’action de la CNIL soit un sujet justifiant une certaine ingérence autoritaire dans certains cas. Le recours devant le juge administratif serait toujours là pour réparer certaines exagérations.
Nous connaissons en France bien d’autres autorités, qui sous prétexte de protéger l’ordre public agissent sans dicernement et portent atteinte à des entreprises de manière irréparable et parfois disproportionnée. La CNIL fait, encore aujourd’hui, figure de parent pauvre de ces autorités alors que son rôle est sans doute aussi important.
Le plus ironique dans l’histoire est que les sociétés qui ont diligenté ces recours devant le CE avaient été sanctionnées par la CNIL pour un défaut de respect du droit d’opposition exercé par certains titulaires de données qu’elles conservaient. Et la CNIL se fait justement retoquer elle-même pour défaut d’information des entreprises de leur droit d’opposition …
Gérald SADDE – Avocat CNIL’s cheerleader