3. Les gardiens vigilants de la protection des données personnelles : la CNIL, le G29 et le contrôleur européen des données
Vos rapporteurs ont pu constater que le droit à la vie privée est aujourd'hui protégé de manière relativement satisfaisante, même à l'épreuve des nouveaux défis présentés dans la première partie du rapport, non seulement parce qu'il est largement consacré dans les textes et qu'il s'appuie sur des principes intemporels, mais aussi parce que son respect est assuré par certaines autorités indépendantes , aux premiers rangs desquelles figurent la CNIL, le G29 et le contrôleur européen des données.
a) La CNIL
(1) Une autorité administrative indépendante collégiale
La Commission nationale pour l'informatique et les libertés (CNIL) est une autorité administrative indépendante, créée par la loi de 1978 précitée.
Notons d'ailleurs que cette loi est la première à consacrer la notion d'autorité administrative indépendante. L'amendement créant cette nouvelle entité fut présenté par M. Jacques Thyraud, rapporteur au nom de la commission des lois du Sénat, à l'article 6 du projet de loi 47 ( * ) . L'Assemblée nationale proposait à l'époque d'en faire un service du ministère de la Justice.
Comme la quasi-totalité des autorités administratives indépendantes, la CNIL est une instance collégiale ; elle est composée de quinze membres nommés pour cinq ans :
- 2 sénateurs,
- 2 députés,
- 2 conseillers d'Etat,
- 2 conseillers à la Cour de cassation,
- 2 conseillers à la Cour des comptes,
- 5 personnalités qualifiées désignées par le président du Sénat (1 personnalité), par le président de l'Assemblée nationale (1 personnalité) et le Conseil des ministres (3 personnalités).
(2) Ses missions au service de la protection de la vie privée
Jusqu'à la loi du 6 août 2004, la CNIL avait pour missions, aux termes de la loi de 1978, d'une part, d'effectuer des missions de contrôle ou de vérifications sur place (324 missions de ce type ont été enregistrées de 1978 à 2003), d'autre part, d'adopter, en séance plénière, des délibérations qui se déclinaient en :
- des avis sur des projets de loi ou de décret ;
- des avis sur des traitements ou des fichiers ;
- des normes simplifiées pour les traitements publics ou privés les plus courants qui ne comportent pas d'atteinte manifeste à la vie privée ou aux libertés. Entre 1978 et 2003, la CNIL a édicté quarante-deux normes simplifiées (voir par exemple la délibération n° 03 067 du 18 décembre 2003 sur la gestion et les négociations des biens immobiliers) ;
- des recommandations , qui, bien que dépourvues de force juridique contraignante, définissent une ligne de conduite dans des secteurs d'activité particuliers. Elles illustrent la mission de conseil et d'accompagnement de la CNIL à l'égard des responsables de traitements de données. Entre 1978 et 2003, la CNIL a publié une trentaine de recommandations, dont la délibération n° 03-036 du 1er juillet 2003 qui concerne la sécurité des systèmes de vote électronique ;
- des avertissements ou dénonciations au parquet : entre 1978 et 2003, cinquante-quatre avertissements et trente-quatre dénonciations au parquet ont ainsi été recensés.
La loi n° 2004-801 du 6 août 2004, modifiant la loi de 1978, a profondément enrichi les moyens d'action de la CNIL. Elle a en effet précisé et renforcé son pouvoir de contrôle, l'a dotée d'un pouvoir de sanction de nature quasi-juridictionnelle, d'un droit de veto a priori pour les traitements de données les plus sensibles et créé des correspondants informatique et libertés.
La CNIL, par l'intermédiaire de ses commissaires et de ses agents, dispose désormais de pouvoirs de contrôle sur pièces et sur place , dans les horaires des perquisitions judiciaires (6 heures à 21 heures). Pour garantir le bon exercice de cette mission, le législateur a créé un « délit d'entrave » qui punit d'un an d'emprisonnement et de 15.000 euros d'amende le fait de s'opposer à l'accomplissement d'une opération de contrôle de la CNIL.
Ces missions de contrôle s'inscrivent dans le cadre du programme annuel des contrôles , adopté par la Commission en fonction des thèmes jugés prioritaires au vu de l'actualité, ou répondent à des besoins ponctuels identifiées par la CNIL, dans les cas suivants :
• dans le cadre du prolongement des formalités
préalables (le traitement mis en oeuvre est-il conforme à la
déclaration ou à l'autorisation ? le refus d'autorisation
prononcé par la Commission est-il respecté ? quelles sont les
pratiques des autres responsables de traitement ? les mesures de
sécurité décrites sont-elles effectivement mises en place
? ...) ;
• dans le cadre de l'instruction de plaintes
significatives dont le contenu laisse à penser que le responsable de
traitement est en infraction avec la loi de 1978 ;
• afin de vérifier le respect des
recommandations ou normes simplifiées élaborées par la
CNIL ;
• afin d'apporter des éléments
d'information dans le cadre de groupes de travail constitués au sein de
la CNIL.
En outre, jusqu'à la loi précitée de 2004, lorsque la CNIL constatait, à l'occasion d'un de ses contrôles, un manquement aux obligations prévues par la loi « informatique et libertés », elle ne pouvait que prononcer un avertissement ou dénoncer les faits au parquet.
Aussi le législateur a-t-il décidé, en 2004, conformément à la directive européenne de 1995, de doter la Commission d'un pouvoir de sanction de nature quasi-juridictionnelle . Il a ainsi créé une nouvelle structure, dénommée « formation restreinte », composée du président, des deux vice-présidents et de trois membres élus par la commission en son sein pour la durée de leur mandat.
Cette formation dispose de trois niveaux d'intervention : la mise en demeure, l'avertissement et, uniquement pour les entreprises, la sanction pécuniaire, décisions que la CNIL peut décider de rendre publiques.
Il faut noter que depuis l'entrée en vigueur de ces nouveaux pouvoirs, le décret d'application n° 2005-1309 étant paru le 20 octobre 2005, la CNIL a prononcé trente-deux sanctions représentant, au total, 520.400 euros d'amende .
Un autre apport de la loi de 2004, en conformité avec la directive de 1995, a été de doter la CNIL d'un droit de veto a priori pour les traitements de données les plus sensibles , tels que les traitements biométriques, ceux portant sur des données génétiques, comportant des appréciations sur les difficultés sociales des personnes, ou encore les traitements susceptibles d'exclure des personnes du bénéfice d'un droit (article 25 de la loi de 1978 modifiée).
Le non-respect de l'autorisation préalable est passible de lourdes sanctions (cinq ans d'emprisonnement et 300.000 euros d'amende) en application des dispositions de l'article 226-16 du code pénal.
Enfin, le législateur a décidé en 2004, à l'initiative de M. Alex Türk, alors rapporteur au nom de la commission des lois du Sénat, de donner la possibilité aux entreprises et administrations publiques d'identifier, en leur sein, des « correspondants informatique et libertés » , relais de la CNIL et garants du respect de la loi de 1978. En contrepartie, les structures qui désignent un tel correspondant ne sont plus tenues d'adresser leurs déclarations à la CNIL car désormais le correspondant recense ces fichiers. Seuls les traitements identifiés comme sensibles dans la loi demeurent soumis à autorisation préalable de la CNIL.
S'il n'est pas prévu d'agrément par la CNIL, le correspondant devant simplement, selon la loi, bénéficier des « qualifications requises pour exercer ses missions », il apparaît que, le plus souvent, la personne désignée possède, en pratique, des compétences en informatique, droit, conseil et management (le correspondant a un rôle d'information et d'audit de l'organisme) ainsi que dans le domaine de la médiation et de la pédagogie (le correspondant vise à favoriser le dialogue entre le responsable du traitement, les personnes faisant l'objet du traitement et la CNIL).
Un correspondant peut exercer sa mission pour le compte de plusieurs organismes lorsqu'il est, par exemple, consultant, avocat, etc. : ainsi, au 31 mars 2009, la France comptait 1.273 correspondants représentant quelque 5.066 organismes.
* 47 Cf. rapport n° 72, 1977-1978.