UXDE dot Net Wordpress Themes

Retour sur l’incidence de la Convention européenne de sauvegarde des droits de l’homme sur le fonctionnement de la CNIL

Parce que cette plate-forme s’adresse aux amateurs de nouvelles technologies, il semble utile d’effectuer un bref retour sur les instances de régulation de l’Internet parmi lesquelles l’inévitable CNIL. Cette dernière dispose de nombreuses missions dont la variété n’est pas sans heurts sur les régimes autonomes de protection des droits de l’homme comme la Convention Européenne des Droits de l’Homme. Dès lors, il peut être utile de revenir sur les effets des régimes juridiques des articles 5 et 8 sur le fonctionnement en amont (dans ses missions de contrôle) et en aval (dans ses missions de sanctions) de la Commission Nationale de l’Informatique et des Libertés.

 

La Commission Nationale de l’Informatique et des Libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Mise en place par la loi Foyer du 6 Janvier 1978 (n° 78-17) dite aussi loi Informatique et Libertés, elle est qualifiée par cette dernière d’Autorité Administrative Indépendante.

Si on ne reviendra pas sur la nouveauté même du terme d’Autorité Administrative Indépendante que met en place la loi Foyer, il semble important de comprendre que, parce qu’elle est une autorité, la CNIL est dotée de différentes missions auxquelles répondent des pouvoirs bien déterminés. Ainsi, le site internet de la Commission dessine-t-il six catégories bien définies de missions lui étant échues :

– Information-Conseil
– Protection
– Régulation
– Contrôle
– Sanction
– Anticipation(1)

S’agissant des missions de contrôle, on pourra dire que le contrôle a posteriori constitue le moyen privilégié d’intervention auprès des responsables de traitements de données personnelles. Il permet à la CNIL d’appréhender la mise en œuvre concrète de la loi et les conséquences du recours à l’informatique dans certains secteurs d’activité.

Les missions de contrôle s’inscrivent dans le cadre d’un programme annuel adopté en séance plénière. Ce programme est élaboré en fonction des thèmes d’actualité et des grandes problématiques (actualité, nouvelles technologies) dont la CNIL est saisie.

Les contrôles peuvent également être décidés en réponse à des besoins ponctuels, dans le cadre de l’instruction de plaintes, ou de demandes de conseil.
Pour contrôler les applications informatiques, la CNIL peut :
– accéder à tous les locaux professionnels,
– demander communication de tout document nécessaire et d’en prendre copie,
– recueillir tout renseignement utile,
– accéder aux programmes informatiques et aux données.

Dans le cadre de ces contrôles, la CNIL surveille la sécurité des systèmes d’information en s’assurant que toutes les précautions sont prises pour empêcher que les données ne soient déformées ou communiquées à des personnes non-autorisées.

A l’issue de missions de contrôle ou de plaintes, la formation contentieuse de la CNIL, composée de 5 membres et d’un Président distinct du Président de la CNIL, peut prononcer diverses sanctions à l’égard des responsables de traitements qui ne respecteraient pas la loi.

En effet, les missions de contrôle  de la Commission ou la saisine de sa formation contentieuse peuvent aboutir au prononcé de sanctions dont l’arsenal est varié : pécuniaires (jusqu’à 300.000 euros en cas de manquements réitérés), elles peuvent également être pénales (cinq ans d’emprisonnement et jusqu’à 1.500.000 euros d’amendes si l’infraction est commise par une personne morale). Il convient également de ne pas minorer l’impact de la publicité de ces sanctions qui traduit également d’un rôle dissuasif de ces dernières (au niveau de l’image de marque notamment pour les entreprises sanctionnées).

Ces pouvoirs de poursuite et de sanction ne peuvent, on le comprend aisément, être garantis par  la simple impartialité des collèges de la CNIL. En effet, eut égard à leur importance, de nombreux débats ont porté sur la qualification de juridiction de la CNIL quand cette dernière fait usage de pouvoirs qui, du point de vue de leur importance, peuvent gravement affecter la santé financière des entreprises. S’est donc imposée progressivement l’exigence d’imposer des garanties procédurales proches de celles s’appliquant aux autorités administratives : qu’elles soient administratives ou judiciaires. Jusqu’à quel degré s’exerce cette exigence en ce qui concerne le pouvoir de sanction de la Commission Nationale de l’Informatique et des Libertés ?

D’autre part, la Convention Européenne de Sauvegarde des Droits de l’Homme pose un autre obstacle assez sérieux à une réelle politique répressive en matière de droit des fichiers et de respect des données à caractère personnel en France. Cet obstacle se met en place dès l’action des pouvoirs de contrôle de la CNIL.

Dès lors, il convient de s’attacher à étudier l’influence de la Convention Européenne de Sauvegarde des Droits de l’Homme sur le fonctionnement des missions attribuées à la CNIL tout d’abord en amont (s’agissant des pouvoirs de contrôle de cette dernière) puis en aval (s’agissant des pouvoirs de sanction de la Commission des Sanctions de la CNIL).

Un impact à première échelle : les implications de la Convention sur les pouvoirs de contrôle de la CNIL

La réforme du 6 Août 2004 modifiant la loi Foyer qui fait suite à la directive européenne 95/46/CE du 24 Octobre 1995 confère à la CNIL des pouvoirs étendus notamment par l’exercice d’un contrôle sur la conformité des systèmes de traitement des données à caractère personnel par le biais d’un pouvoir de visite et de contrôle sur place et le prononcé de sanctions pécuniaires. L’effet dissuasif de ce pouvoir de contrôle de la CNIL s’exerce également à plus courte échelle par un pouvoir de mise en demeure qui illustre la volonté propre à la Commission d’échapper à une politique de sanction systématique. Ainsi, en 2008, sur 126 procédures donnant lieu à l’envoi de mises en demeure, 84 ont fait l’objet d’une clôture ultérieure suite au respect des mises en demeure. Seulement 11 ont fait l’objet de sanctions financières. On constate donc que la grande majorité des organismes destinataires de mises en demeure se conforment aux demandes de la CNIL dans un délai très bref (2).

Or, par un arrêt du 6 Novembre 2009, le Conseil d’Etat a jugé que les pouvoirs de visite et de contrôle des locaux professionnels de la CNIL violaient l’article 8 de la Convention Européenne de Sauvegarde des Droits de l’Homme.

La portée de la jurisprudence du Conseil d’Etat sur les pouvoir de visite et de contrôle sur place de la CNIL

Selon l’article 44 de la loi Informatique et Libertés de 1978 :

«Les membres de la Commission nationale de l’informatique et des libertés ainsi que les agents de ses services habilités dans les conditions définies au dernier alinéa de l’article 19 (habilitation par la Commission) ont accès, de 6 heures à 21 heures, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel et qui sont à usage professionnel, à l’exclusion des parties de ceux-ci affectées au domicile privé.
Le procureur de la République territorialement compétent en est préalablement informé».

«Le responsable de locaux professionnels privés est informé de son droit d’opposition à la visite. Lorsqu’il exerce ce droit, la visite ne peut se dérouler qu’après l’autorisation du juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter, qui statue dans des conditions fixées par décret en Conseil d’État. Toutefois, lorsque l’urgence, la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la visite peut avoir lieu sans que le responsable des locaux en ait été informé, sur autorisation préalable du juge des libertés et de la détention. Dans ce cas, le responsable des lieux ne peut s’opposer à la visite.
La visite s’effectue sous l’autorité et le contrôle du juge des libertés et de la détention qui l’a autorisée, en présence de l’occupant des lieux ou de son représentant qui peut se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des personnes chargées de procéder au contrôle.
L’ordonnance ayant autorisé la visite est exécutoire au seul vu de la minute. Elle mentionne que le juge ayant autorisé la visite peut être saisi à tout moment d’une demande de suspension ou d’arrêt de cette visite. Elle indique le délai et la voie de recours. Elle peut faire l’objet, suivant les règles prévues par le code de procédure civile, d’un appel devant le premier président de la cour d’appel. Celui-ci connaît également des recours contre le déroulement des opérations de visite».

Les membres de la commission et les agents mentionnés au premier alinéa du I peuvent demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie ; ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles ; ils peuvent accéder aux programmes informatiques et aux données, ainsi qu’en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.Ils peuvent, à la demande du président de la commission, être assistés par des experts désignés par l’autorité dont ceux-ci dépendent.Seul un médecin peut requérir la communication de données médicales individuelles incluses dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou à la gestion de service de santé, et qui est mis en œuvre par un membre d’une profession de santé.Il est dressé contradictoirement procès-verbal des vérifications et visites menées en application du présent article.Pour les traitements intéressant la sûreté de l’État et qui sont dispensés de la publication de l’acte réglementaire qui les autorise en application du III de l’article 26, le décret en Conseil d’État qui prévoit cette dispense peut également prévoir que le traitement n’est pas soumis aux dispositions du présent article.»(3)

L’article de loi prévoit que les agents de la Commission ont donc accès aux lieux servant à l’utilisation de systèmes de traitement de données à caractère personnel. Ces visites font l’objet d’un contrôle par procès verbal contradictoire. On ne reviendra pas sur les garanties attenantes à ce contrôle ou tout au moins en soulignant la plus importante d’entre elles, le droit d’opposition du responsable des lieux concernés par la visite ainsi que l’information du procureur de la République.

Dans les arrêts rendus le 6 Novembre 2009, deux sociétés contestent des sanctions prises par la CNIL selon le moyen que sont irrégulières des procédures de visites sur place de la CNIL au regard de l’article 8 de la CEDH qui garantit le droit au respect du domicile.

Or, le Conseil d’Etat va suivre les demandeurs au pourvoi en considérant que ce texte peut s’appliquer au domicile des personnes morales et donc à des locaux à usage professionnel. Dès les personnes morales auraient droit au respect du domicile dans la limite d’une ingérence des autorités publiques nécessairement astreinte selon les juges du Conseil d’Etat à un principe de proportionnalité.

Parce que la Cour Européenne des Droits de l’Homme s’attache, à l’image de l’ensemble des juridictions oeuvrant au respect des régimes conventionnels en matière de droits de l’homme, à garantir des droits concrets et effectifs (CEDH, 1979, Eirey c/Irlande), le Conseil d’Etat va considérer que les responsables des lieux n’ayant pas été informés de leur droit de s’opposer à ces visites, la sanction prononcée par la CNIL doit être annulée. En effet, le responsable aurait du être informé des visites pour pouvoir rendre effectif son droit d’opposition à cette dernière.

Ainsi, l’article 8 de la Convention Européenne de Sauvegarde des Droits de l’Homme contribue à un renforcement des droits des entreprises oeuvrant un traitement de données à caractère personnel. On pourra toutefois se poser la question d’un équilibre à trouver entre la protection à donner aux entreprises et à l’effectivité de l’action de la Commission.

La portée de l’effectivité de l’article 8 de la Convention Européenne de Sauvegarde des Droits de l’Homme sur le pouvoir de contrôle de la CNIL

Cette décision du Conseil d’Etat semble, à plusieurs ordres, marquer un recul de l’effectivité du pouvoir de contrôle de la CNIL.

D’une part, en notifiant que les responsables de locaux doivent être notifiés de leurs droits d’opposition avant toutes visites sous peine d’une annulation contentieuse de la procédure, ou à tout le moins d’un recours (parfois tout à fait dilatoire) des personnes visés devant les juridictions administratives, le Conseil d’Etat met en marge l’effet recherché par le législateur dans l’article 44 de la loi Foyer. En effet, la procédure suivie trouvait son sens dans son caractère inopiné qui empêche le responsable de mauvaise foi de succomber à la tentation de dissimuler des traitements frauduleux de données à caractère personnel.

D’autre part, le rôle dissuasif de ce pouvoir de contrôle ayant été souligné, ne serait-il pas plus juste de penser que ce droit d’opposition permettrait aux entreprises de se mettre en conformité avec les dispositions de la loi Informatique et Libertés.

A ce titre, deux exigences d’effectivité s’affrontent : d’une part celle de la Convention Européenne des Droits de l’Homme, d’autres part celle poursuivie par les procédures de contrôle mises en place par la CNIL.

L’intervention du législateur est à ce titre recommandée. En effet, Charles Morel, détaillant ces problématiques explique qu’existe par exemple un danger de frictions entre les article 44 et 51 de la loi Foyer du fait qu’un responsable de traitement, mettant en oeuvre son droit d’opposition reconnu par les juges, pourrait plus facilement commettre un délit d’entrave à l’action de la CNIL consistant dans la dissimulation ou la destruction des éléments utiles à l’action de la CNIL et passible d’un an d’emprisonnement et de 15.000 euros d’amende.

Quelle pourrait donc être cette réponse du législateur face à cette situation ?

Comme Charles Morel l’explique, deux solutions sont envisageables. Soit légiférer dans le sens de la décision du Conseil d’Etat en modifiant les dispositions de la loi du 6 janvier 1978, et en précisant que le droit d’opposition doit être expressément notifié à la personne responsable avant toute mise en oeuvre de la procédure. Pour autant cela affaiblirait d’autant plus les procédures spécifiques visant à la protection des données personnelles. Soit faire précéder la procédure de visite sur place d’une autorisation d’un magistrat de l’ordre judiciaire, délivrée sur requête dans le cadre d’une procédure non contradictoire, et supprimer la possibilité d’exercice du droit d’opposition une fois la procédure mise en oeuvre. Le magistrat ne pourrait ainsi autoriser l’opération que s’il existe des indices sérieux de violation des obligations, rassemblés de manière licite par la CNIL. Il appartiendrait donc à ce magistrat de vérifier que le recours à une visite domiciliaire n’est pas disproportionné.

Une telle option permettrait non seulement à la procédure de visite de la CNIL de conserver tout son intérêt mais enverrait également un signal fort, et souhaitable, dans le sens d’une politique de répression à la fois légitime et efficace, en matière de protection des données à caractère personnel.

 

L’influence en aval : l’applicabilité des garanties procédurales au pouvoir de sanction de la CNIL

Le débat concernant les garanties procédurales à appliquer à la CNIL, autrefois très vif, paraît aujourd’hui tranché. Ce dernier portait notamment sur l’applicabilité de l’article 6 de la Convention Européenne des Droits de l’Homme sur l’exigence de garanties d’un procès équitable. Ce débat portait également aux garanties d’impartialité et de respect des droits de la défense. Ces garanties procédurales qui ont été successivement apportées au pouvoir de sanction de la CNIL ne sont cependant pas sans limites.

La CNIL et sa commission des sanctions, un tribunal ?

Une ordonnance de référé rendue le 19 Février 2008 par le Conseil d’Etat a précisé les contours du pouvoir de sanction de la CNIL mais également, plus important encore, la nature institutionnelle de cette dernière. En effet, le Conseil d’Etat admet en creux que tout contrevenant demandant une suspension d’une décision de la CNIL sur le fondement de l’article L521-1 du Code de Justice Administrative peut le faire sur le fond mais également par voie de référé dès lors qu’est prouvé l’urgence et le doute sérieux sur la légalité de la décision contestée.

Le 19 février 2008, le juge des référés du Conseil d’Etat a rejeté la requête d’une société qui demandait la suspension de l’exécution d’une décision de la CNIL, lui enjoignant de cesser la mise en œuvre de son traitement.

A cette occasion, le juge administratif s’est prononcé de manière inédite sur le statut et le fonctionnement de la CNIL en la qualifiant de « juridiction » au sens de l’article 6-1 de la CEDH, eu égard à sa nature, à sa composition et à ses attributions. Le juge a précisé les différentes implications de cette qualification, à savoir le respect du principe d’impartialité et d’équité.

La loi « Informatique et Libertés » comporte d’ores et déjà un ensemble de procédures destinées à respecter les droits de la défense. La Commission ne fait usage de ses pouvoirs de sanction, qu’après avoir mis en demeure le responsable du traitement de respecter les obligations imposées par les textes législatifs et réglementaires.

En cas de non-conformité à la mise en demeure, un rapport de sanction est envoyé plus d’un mois avant l’audience à l’organisme faisant l’objet de la procédure afin qu’il puisse présenter ses observations. Le responsable de l’organisme mis en demeure peut, être présent le jour de l’audience pour développer ses arguments ou se faire représenter par un avocat. En revanche, il n’assiste pas au délibéré de la formation contentieuse qui se tient à huis clos, dans un souci d’impartialité et conformément aux règles précisément applicables aux juridictions.

On le voit, cette décision n’est pas sans conséquences pratiques sur le fonctionnement des pouvoirs de sanction de la Commission Nationale de l’Informatique et des Libertés. On peut également voir en elle un renforcement et une consécration des pouvoirs de sanction et de contrôle de la CNIL.

Cet arrêt va avoir une grande importance en ce qui concerne la procédure suivie par la Commission des sanctions de la CNIL. En effet, bien que cette dernière l’ait mise en place avant même la décision rendue par le juge des référés. Il s’agit tout d’abord de revenir sur l’article 6§1 de la Convention européenne de sauvegarde des droits de l’homme.

Art 6 CEDH

§1 – Toute personne a le droit à ce que sa cause soit entendue équitablement, publiquement et dans un délai raisonnable, par un tribunal indépendant et impartial établi par la loi (notion générale et impersonnelle qui ne renvoie pas seulement à la loi au sens strict) qui décidera soit des contestations sur ses droits et obligations à caractère civile, soit du bien fondé de toute accusation en matière pénale.

§ 2 : présomption d’innocence

§3 : garanties complémentaires : droit d’être informé dans le plus court délai de ce qui vs ait reproché, temps et facilités nécessaires à la préparation de sa défense, toute personne a le droit de choisir un avocat de son choix et si pas les moyens de le rémunérer, possibilité d’avoir un avocat commis d’office gratuit, pouvoir de contre interroger les témoins à charge ou à décharge, possibilité de se faire assister par un interprète.

La consécration des exigences d’impartialité et de respect des droits de la défense attenantes au pouvoir de sanction des autorités administratives

Ces dispositions ne s’appliquent selon les juges de Strasbourg que tant que la juridiction est à caractère pénale ou qu’elle réunit les conditions alternatives suivantes (4) :
– La qualification juridique de l’infraction en droit interne
– La nature de l’infraction
– Le degré de sévérité de la sanction

Sur la question de l’applicabilité de l’article 6 de la Convention Européenne de Sauvegarde des Droits de l’Homme, un grand débat jurisprudentiel s’est tenu entre le Conseil d’Etat et la Cour d’appel de Paris. En effet la haute juridiction administrative a pu décider que l’article 6 n’énonce aucune règle ou aucun principe dont le champs d’application s’étendrait au delà des procédures contentieuses suivies devant les juridictions  et qui gouvernerait l’élaboration de la sanction, quelque soit la nature de celle-ci, par les autorités administratives qui en sont chargées par la loi (5). En 1997, la Cour d’appel de Paris rend une décision contraire pour les sanctions rendues par la COB. Le CE maintenait sa position l’année d’après en disant que le fait que les sanctions puissent faire l’objet de recours devant des juridictions présentant les garanties de l’article 6 de la Convention Européenne de Sauvegarde des Droits de l’Homme était suffisant (6).

Les juridictions judiciaires sont alors plus audacieuses. Ainsi la Cour d’appel a pu jugé en 19996 que l’article 6 de la CEDH doit s’appliquer aux autorités administratives car, d’une part, on ne peut s’en remettre aux qualifications de juridictions de droit interne car sinon on pourrait tout simplement s’affranchir du respect de l’article 6 en qualifiant une juridiction d’autorité administrative, d’autre part que certaines exigences sont tellement essentielles que leur méconnaissance en amont d’un recours juridictionnel porte préjudice aux droits des parties de façon irrémédiable. La Cour de cassation quant à elle va plus loin en disant que l’article 6 est applicable même à une autorité administrative ce qui implique que la rapporteur ne puisse participer au délibéré au nom du principe d’impartialité (7).

Le Conseil d’Etat est en conséquence revenu sur sa position de 1995 en disant qu’un moyen tiré de l’irrespect de l’article 6§1 peut, eut égard à la nature, la composition et les attributions de l’organisme, être utilement invoqué à l’appui d’un recours7. Ainsi, selon une jurisprudence constante, une décision prise à titre de sanction et donc ayant une coloration pénale doit respecter l’article 6 de la Convention Européenne des Droits de l’Homme notamment en ce qui concerne le principe d’impartialité posé par ce dernier (8).

Cependant quelles garanties posées par cet article doit-on réellement appliquer ? En effet, il s’agit tout à la fois de garantir l’impartailité de la prise de sanction mais également de ne pas l’alourdir d’une manière démesurée. Le conseil d’Etat a tranché de manière pragmatique en expliquant que ne doivent être protégées que les garanties essentielles posées par l’article 6§1 de la Convention Européenne de Sauvegarde des Droits de l’Homme, c’est-à-dire les principes d’impartialité et de respect des droits de la défense (9).

On pourra donc considérer que la CNIL se doit maintenant d’offrir les garanties de la Convention Européenne de Sauvegarde des Droits de l’Homme en ce qui concerne l’article 6. C’est à dire que les sanctions qu’elle prend doivent être, d’autant plus qu’elle est maintenant considérée même en droit interne comme un tribunal, en accord avec les principe d’impartialité et de respect des droits de la défense.

Ainsi comme on le voit, la CNIL a vu son fonctionnement, tant au niveau de ses missions de contrôle que de sanctions, évoluer vers un principe d’impartialité de la sanction mais également de respect du domicile des responsables de traitement par l’action de la Convention Européenne de Sauvegarde des Droits de l’Homme.

(1) voir le site internet de la Commission Nationale de l’Informatique et des Libertés

(2) A ce propos, lire l’article de Charles Morel «Coup de tonnerre sur les pouvoirs de contrôle de la CNIL».

(3) Article 44 de la loi 78-17 du 6 Janvier 1978 modifiée

(3) Voir à ce propos les travaux M. Sébastien Touzé sur les spécificités des régimes conventionnels en matière de protection des droits de l’homme

(4) CEDH, 8 Juin 1976, Engels c/ Pays-Bas

(5) CE 31 Mars 1995, Ministre de l’Industrie c/ SARL Auto Industrie Meric

(6) CE 4 Mai 1998 Société de Bourse Patrice Wargny

(7)) CA Paris, Oury c/ COB 1999

(8) CE section 3 Décembre 1999 Didier

(9) CE section 27 Octobre 2006 Parent

Thomas

BENHAMOU

By les étudiants du M2 ASSAS DMI|Website|Other Articles

Laissez une réponse

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>