Protection des données à caractère personnel : rôle et pouvoirs de la CNIL

Note introductive

Vers la fin des années soixante, le développement de l’outil informatique suscitait des préoccupations de plus en plus accrues des administrations en matière de traitement des données à caractère personnel. Désormais, la vie quotidienne commençait à inspirer une ère épanouie des nouvelles technologies de l’information. Autant la technologie avance autant la circulation des données personnelles s’amplifie et autant la possibilité d’une utilisation abusive portant atteinte à la vie privée et aux libertés individuelles connaît un accroissement rapide et considérable. Un double problème est alors à relever. Primo, il faut protéger l’individu face aux dangers de l’informatique et, secundo, cette protection est la contrepartie du principe de libre circulation de l’information.

Certains pays envisageaient la mise en oeuvre des mesures législatives qui visent en effet à réaliser cette protection. C’est l’Allemagne qui est le premier pays à se doter des législations spécifiques et protectrices dès 1970 Marie-Pierre FENOLL-TROUSSEAU, Internet et protection des données personnelles, Droit@Litec, p. 10.. Le Land de Hess adopte la première loi relative au « traitement automatisé des informations nominatives « Ibid. et une loi fédérale suivra en janvier 1977. L’exemple est suivi par la Suède en 1973. Enfin en janvier 1974 les Etats Unis adoptent un Privacy act qui ne concernera que les fichiers détenus par les administrations fédérales. C’est en effet une illustration du souci de protection de la vie privée contre tout abus des administrations quant à l’utilisation d’informations personnelles Ibid..

L’Europe a, elle aussi, mis en oeuvre tout un processus pour atteindre cet objectif de protection des données personnelles. Des directives ont été émises par la communauté européenne dont l’une des plus marquantes est celle de 1995 (Directive n°95/46/CE du Parlement et du Conseil du 24 octobre 1995 relative à la protection des personnes des personnes physiques à l’égard du traitement des données à caractère personnel et la libre circulation des données.

Pour le cas de la France, en remontant dans le temps, la loi n°78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés a été adoptée marquant ainsi ce souci de protection des données à caractère personnel. Certaines dispositions de cette loi ont subi une modification par la loi n°2004-801 du 6 août 2004 relative à la protection de données à caractère personnel, J.O. n°182 du 7 août 2004. Rappelons que la loi n°78-17 a son origine dans l’affaire SafariSafari (Système informatisé pour les fichiers administratifs et le répertoire des individus). Ce projet gouvernemental voulait interconnecter les fichiers de l’administration à partir d’un identifiant unique, le numéro de sécurité sociale. L’idée a été lancée en 1974 mais fut abandonnée au profit d’une législation protectrice.. En 1978, via cette nouvelle loi, le législateur a créé un outil particulier de protection : la Commission nationale de l’informatiques et des libertés (CNIL).

On peut avancer beaucoup de choses lorsqu’on parle de la CNIL mais nous allons nous consacrer à analyser sa mission et ses pouvoirs qui sont d’ailleurs largement définis par la loi ; ils concernent en général l’information des personnes sur leurs droits et le conseil au public, le contrôle des applications de l’informatique et, finalement un réel pouvoir réglementaire (II) (pour reprendre les termes de Marie-Pierre FENOLL-TROUSEAU). Mais avant cela, nous jugeons intéressant de décrire (I) cette institution, parler de sa composition et de ses différents services dans un premier temps. Dans un second temps c’est également intéressant de toucher un mot sur son fonctionnement.

I. Partie descriptive

A. La CNIL : une institutionwww.cnil.fr

Comme nous l’avons dit ci-dessus c’est la loi n°78-17 du 6 janvier 1978 qui a institué la Commission nationale de l’informatique et des libertés. Cette loi la qualifie d’autorité administrative indépendante dans son article 11 modifié par la loi n°2004-801 du 6 août 2004 art.2. En dehors de cela nous verrons au fil de cet essai que la CNIL peut tenir une fonction de juridiction à part entière.

a. Un collège pluraliste

La Cnil connaît un collège pluraliste de 17 commissaires dont quatre (4) parlementaires (2 députés et 2 sénateurs), deux (2) membres du conseil économique et social, six (6) représentants des hautes juridictions (2 conseillers d’Etat, 2 conseillers à la cour de cassation et deux conseillers à la cour des comptes). En outres cinq (5) personnalités qualifiées sont désignées dont une (1) par le président de l’Assemblée nationale, une autre par le président du Sénat et les trois restantes sont désignées en conseil des ministres.

Le mandat des ses membres est de cinq (5) ans ou, pour les parlementaires, d’une durée égale à leur mandat électif.

b. Une autorité administrative indépendante

Autorité indépendante

Douze (12) des 17 membres sont élus par les assemblées ou les juridictions auxquelles ils appartiennent. La Cnil agit librement. Elle élit son président parmi ses membres et ne reçoit d’instruction d’aune autorité ; les ministres, autorités publiques, dirigeants d’entreprises, publiques ou privées, ne peuvent s’opposer à l’action de la Cnil pour quelque motif que ce soit et doivent prendre des décisions utiles pour faciliter sa tâche.

Le président de la Cnil recrute librement ses collaborateurs.

Autorité administrative

La Cnil a toutes les conditions requises pour être qualifiée d’autorité administrative. Son budget est imputé sur le budget de l’Etat. Les agents de la Cnil sont des contractuels de l’Etat et ses décisions peuvent faire l’objet de recours devant la juridiction administrative.

B. Composition de la CNILwww.cnil.fr

On peut distinguer en 5 catégories les membres de la Cnil : le président (actuellement en la personne de M. Alex TÜRK) ; le vice-président délégué (Guy ROSIER) ; le vice -président (François GIQUEL) ; quatorze (14) membres et deux (2) Commissaires du gouvernement.

C. Les services de la CNIL

On peut recenser 11 services au sein de la CNILIbib.. Ils sont répartis sous quatre entités hiérarchiques différentes.

a. Services sous l’autorité de la présidence(3)

Service des affaires européennes et internationales.

Tout d’abord il y a le service des affaires européennes et internationales chargé des relations européennes et du « groupe article 29 «Art. 29 DC 95/46/CE « Il est institué un groupe de protection des personnes à l’égard du traitement des données à caractère personnel, ci-après groupe. Il a un caractère consultatif et indépendant… «. Chaque Etat membre de la communauté y désigne son représentant.. Il s’occupe aussi de la Coopération européenne et internationale ainsi que de la veille juridique internationale.

Service de l’information et de la documentation.

Il est chargé de l’ingénierie documentaire, du site web, de la documentation juridique, de la bibliothèque et enfin des informations générales.

Service communication.

Celui-ci a la charge de la gestion des relations avec la presse ainsi que des manifestations extérieures.

b. Services sous la direction des affaires juridiques (3)

Division des affaires publiques et sociales

Au sein de cette division on a quatre (4) pôles : le pôle fiscalité, collectivités locales et statistiques. Le pôle justice, police, droit d’accès indirect et libertés publiques. Vient ensuite le pôle santé, assurance maladie et recherche médicale. Enfin, il y a le pôle social, travail et éducation.

Division des affaires économiques

Elle a trois (3) pôles. Pôle banque, crédit, finances, assurances. Pôle mégabases, marketing, relais entreprises. Enfin, pôle réseaux, télécommunications, Net économie.

Service des plaintes et requêtes générales (trois pôles)

Pôle associations, partis politiques, Internet, banque, fichiers centraux d’impayés. Pôle travail, social, sécurité sociale, santé, éducation nationale, fiscal. Pôle marketing, sollicitations commerciales, assurances, télécommunications.

c. Direction de l’expertise informatique et des contrôles

Il existe en son sein un double service : celui chargé de l’expertise informatique et celui chargé des contrôles.

Service de l’expertise informatique

Expertise technique : demande de conseil et dossiers de déclaration préalable, veille technologique.

Service des contrôles

On a deux volets. Primo, les missions de contrôle sur place qui vérifient la conformité des fichiers à la loi du 6 janvier 1978. Deusio, la coopération policière européenne : Europol et Schengen.

d. Direction des affaires administratives

Trois (3) services sont à distinguer : informatique interne, personnel, finances et logistique.

Service de l’informatique interne

Il a pour charge gérer les réseaux, la téléphonie, le parc informatique et assistance technique, la gestion électronique des documents, archivage, exploitation des déclarations de formalités préalables.

Service du personnel

Gestion administrative et développement du personnel. Il résout les problèmes liés aux questions statutaires.

Service des finances et de la logistique

Celui-ci assure la gestion financière et de la logistique pour l’exécution des activités de la CNIL et pour son bon fonctionnement.

Au vu de cet organigramme, l’on peut dire que la CNIL a un champ de compétences très large. Chacun des 17 membres, à part le président, est chargé de suivre un secteur d’activité bien déterminé. On peut distinguer ainsi seize (16) secteurs dont les finances publiques, les collectivités locales et audiovisuel, les libertés publiques, la justice, la sécurité, les affaires culturelles, les affaires sociales, la santé, le travail, les commerce, la gestion des risques et des droits, le secteur de la monnaie et crédit, les télécommunications et réseaux, les affaires économiques, le secteur international et enfin le secteur de la technologie.Cf. www.cnil.fr

II. Missions et pouvoirs de la CNIL

Rappelons que la raison d’être de la Cnil c’est de protéger l’identité humaine.Marie-Pierre FENOLL-TROUSSEAU, Internet et protection des données personnelles, Droit@Litec, p. 18. A vrai dire elle née pour veiller au respect de la vie privée et des libertés individuelles. Sa vocation rejoint le sens de l’article 12 de la déclaration universelle des droit s de l’homme de 1948 qui dispose : « Nul ne fera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteinte à son honneur ou à sa réputation «. Et, également l’article 8 de la convention européenne des droits de l’homme du 4 novembre 1950 dispose que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de son correspondance. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays ; à la défense de l’ordre public et à la prévention des infractions, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. «

La Cour de cassation a rappelé ces principes dans l’affaire société Nikon France pour clamer haut et fort le droit au respect de l’intimité de la vie privée même au temps et au lieu de travail.Cour de cassation, ch. Sociale, 2 octobre 2001, Société Nikon France, n°4164.

A. Missions de la CNIL

Les missions de la CNIL sont énoncées par les dispositions de l’article 11 de la loi du 6 janvier 1978.

a. Protéger la vie privée et les libertés individuelles ou publiques

La CNIL s’assure que les informations utilisées dans les traitements automatisés sont adéquates, pertinentes et non excessives par rapport aux finalités ayant nécessité leur enregistrement. Elle veille à ce que, en dehors des cas prévus limitativement par la loi, les informations relatives aux origines raciales, aux opinions politiques, philosophiques ou religieuses, aux appartenances syndicales, à la santé, à la vie sexuelle des personnes, aux infractions et condamnations ne soient pas mises en mémoire.CNIL, 7 fiches pour mieux connaître la CNIL, mars 1999, n°1 et s.

b. Informer et conseiller

La Cnil a pour mission d’informer les personnes concernées de leurs droits et obligations. Une liste des traitements qui lui ont été déclarés est à ce effet à la disposition du public. La CNIL propose au gouvernement les mesures législatives ou réglementaires de nature à adapter la protection de la vie privée et des libertés à l’évolution des techniques. L’avis de la CNIL doit d’ailleurs être sollicité avant toute transmission au parlement d’un projet de loi créant un traitement automatisé de données nominatives.

c. Garantir le droit d’accès

La CNIL veille à ce que les modalités de mise en oeuvre du droit d’accès aux données contenues dans les traitements n’entravent pas la libre exercice de ce droit. Elle exerce pour le compte des citoyens qui souhaitent, l’accès aux fichiers intéressant la sûreté de l’Etat, la défense et la sécurité publique, notamment ceux des renseignements généraux.

d. Recenser les fichiers

La commission donne un avis sur toutes les créations de traitements du secteur public et reçoit les déclarations de traitements du secteur privé. Le non-respect de ces formalités par les responsables de fichiers est pénalement sanctionné.Art. 226-16 Code pénal : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300.000 € d’amende… « La CNIL tient à la disposition du public le ‘‘fichier des fichiers”, c’est à dire la liste des traitements déclarés et leurs principales caractéristiques.

B. Pouvoirs de la CNIL

a. Contrôler les applications informatiques

Dans le cadre de sa mission générale de contrôle des applications de l’informatique aux traitements des informations nominatives les pouvoirs de la CNIL lui permettent de vérifier que la loi est respectée. La Commission use de ses pouvoirs de vérifications et d’investigation pour instruire les plaintes, pour disposer d’une meilleure connaissance de certains fichiers, pour mieux apprécier les conséquences du recours à l’informatique dans certains secteurs, pour assurer un suivi de ses délibérations. La CNIL surveille par ailleurs la sécurité des systèmes d’information en s’assurant que toutes les précautions sont prises pour empêcher que les données ne soient déformées ou communiquées à des personnes non-autorisées. Le contrôle peut être a priori c’est à dire à l’occasion d’une demande d’avis à la Commission ou a posteriori après que le traitement a été déclaré à la CNIL.

b. Réglementer

La CNIL dispose d’un pouvoir réglementaire, qui est notamment utilisé pour l’élaboration de normes types concernant les traitements les plus courants, ces traitements ne comportant pas de risques d’atteintes à la vie privée ou aux libertés. On parle alors de normes simplifiées ou de règlements types.

Les normes simplifiées sont des textes réglementaires généraux qui traitent des catégories les plus courantes de traitement à caractère public ou privé qui ne portent manifestement aucune atteinte à la vie privée ou aux libertés.

Tandis que les règlements types sont des textes relatifs à la sécurité. Jusqu’à présent, à notre connaissance, aucun règlement types n’a été élaboré. La seule explication jugée valable est que les mutations technologiques sont trop rapide rendant en effet ces textes plus vite dépassés.

Avant de clore cet essai, nous jugeons indispensable de voir un peu comment fonctionne la Commission nationale de l’informatique et libertés.

Intense et multiforme www.cnil.fr/fonctionnement, l’activité de la CNIL est le reflet de la diversité des missions qui lui sont dévolues par la loi n° 78-17 du 6 janvier 1978. La commission se réunit en séance plénière deux fois par mois sur un ordre du jour établi à l’initiative de son président. Ces au cours de ces séances plénières que la CNIL adopte des délibérations qui sont soit des avis sur des traitements ou des fichiers, soit des suites données à des plaintes (c’est ici que l’on peut dire que la Commission est une sorte d’autorité de juridiction « indépendante «), des demandes de conseil ou à des contrôles.

La CNIL exerce également des activités hors séances plénières. Pour donner plus d’écho à certaines décisions ou de ses actions, la CNIL publie régulièrement des communiqués de presse, conduit des actions de formation et des sensibilisation à la loi informatique et liberté, participe à des colloques et des salons ou des conférences pour informer et pour s’informer. Plus rarement elle organise des conférences de presse.

Par Hajanirina RAKOTOZAFI

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.