Droits et obligations en cas de contrôle de la Cnil
La première autorité administrative indépendante (AAI) créée en France fut la Commission Nationale de l'Informatique et des Libertés (CNIL). Elle dispose de prérogatives et de pouvoirs étendus en termes de contrôle et de sanction des entreprises. Celle-ci doivent se préparer à un contrôle. Toute obstruction au contrôle peut faire l'objet de sanctions pénales, pouvant aller jusqu'à un an d'emprisonnement et de 15 000 € d'amende.
PublicitéLes entreprises produisent et conservent chaque jour une quantité impressionnante de données : documents bureautiques, données de gestions traitées par les PGI, courriers électroniques, données des systèmes embarqués comme les autocoms, les logs, les badgeuses, etc.
Les autorités publiques voient dans ce patrimoine informationnel une source presque inépuisable d'informations, pour ne pas dire de preuves, des faits dont il relève de leur compétence de rechercher l'existence.
La première autorité administrative indépendante (AAI) créée en France par une loi du 6 janvier 1978 fut la Commission Nationale de l'Informatique et des Libertés (CNIL). Les AAI sont, par la suite, devenues l'instrument privilégié de la régulation d'un secteur déterminé. C'est le cas, par exemple, pour le secteur de l'audiovisuel par l'actuel Conseil Supérieur de l'Audiovisuel, celui des marchés financiers par l'Autorité des Marchés Financiers, celui des télécommunications par l'Autorité de Régulation des Communications Electroniques et des Postes. Ce faisant, les pouvoirs des AAI ont évolué. Certaines AAI cumulent parfois le pouvoir de créer leurs propres normes, d'en contrôler l'application, et d'en sanctionner le respect.
Corolaires presque indispensables du pouvoir de sanction dont elles sont parfois dotées, certaines AAI, comme la CNIL, disposent d'importants pouvoirs d'investigation afin d'établir l'existence des pratiques illicites qui relèvent de leur compétence. Leurs agents peuvent ainsi procéder à ce que la loi nomme des « visites », c'est-à-dire des perquisitions. Il se développe ainsi une procédure « para-pénale » qui nourrit de nombreuses difficultés, difficultés renouvelées depuis que l'administration dispose du pouvoir de saisir les données informatiques des entreprises.
Les dispositions légales encadrant les pouvoirs de visite et de saisie des agents de l'administration sont d'une grande hétérogénéité, dispersées dans de nombreux textes, rarement formulées en termes identiques. Il en résulte un manque de clarté confondant de la matière et parfois des incohérences. Nous allons nous concentrer ici sur les pouvoirs d'une autorité qui s'intéresse directement aux données informatiques : la Cnil.
Le droit de visite de la Cnil
Une réforme de 2004 a doté la Cnil de nouveaux pouvoirs de contrôle. La Cnil peut maintenant vérifier le respect de la loi du 6 janvier 1978 en procédant à des contrôles inopinés sur place, dans les locaux des entreprises et organisations.
Le contrôle peut être opéré par l'un des 17 membres de la Commission mais également par les agents habilités de la Cnil, ce qui est le cas usuel.
L'article 44-I de la loi du 6 janvier 1978 dispose que les agents peuvent pénétrer dans les « lieux, locaux, enceintes, installations ou établissements servant à la mise en oeuvre d'un traitement de données à caractère personnel et qui sont à usage professionnel, à l'exclusion des parties de ceux-ci affectées au domicile privé ». Aujourd'hui, les traitements de données à caractère personnel sont partout, les agents peuvent donc en réalité pénétrer dans n'importe quel local professionnel. Il n'est donc fait exception au droit d'accès des agents de la Cnil que pour la partie des locaux professionnels « affectée au domicile privé », ce qui confine au cas d'école.
PublicitéL'article 44-II de la loi du 6 janvier 1978 traite de l'accès « aux locaux professionnels privés ». C'est une curieuse notion. Il faut comprendre que les « locaux professionnels privés » sont les locaux professionnels qui n'accueillent pas habituellement du public, typiquement les bureaux.
La « visite », comme l'appelle le texte, doit s'effectuer en présence de l'occupant des lieux ou de son représentant qui peut se faire assister d'un avocat de son choix. En l'absence de l'occupant des lieux, le contrôle doit s'opérer en présence de deux témoins qui ne sont pas placés sous l'autorité des agents.
Les agents doivent informer, au début du contrôle, le responsable des lieux de l'identité et de la qualité des personnes chargées du contrôle et de « l'objet des vérifications qu'elle compte entreprendre ». Mais ce dernier point est réduit à une simple formalité car les ordres de mission des agents de la Cnil sont en général formulés ainsi : « Il importe de vérifier le respect par la société de l'ensemble des dispositions de la loi du 6 janvier 1978 ». En pratique, lorsque les agents arrivent sur place, l'entreprise qui les reçoit n'a aucune idée des éléments que ceux-ci entendent inspecter et les opérations se déroulent « au fil de l'eau », au fur et à mesure des demandes des agents.
A l'inverse d'autres matières, tel le droit de la concurrence, la loi du 6 janvier 1978 ne prévoit pas la présence d'un OPJ pendant les opérations.
Les agents opérants le contrôle peuvent être assistés par des experts. En pratique, les « brigades » de contrôle viennent en général composées de juristes et d'experts informatiques de la Cnil.
A la fin des opérations, il est dressé « contradictoirement » un procès-verbal des « vérifications et visites menées » qui est signé par les personnes chargées du contrôle et par le responsable des lieux ou par toute personne désignée par celui-ci. En cas de refus ou d'absence de celles-ci, mention en est portée au procès-verbal.
Un droit d'opposition très limité
A l'inverse de ce qui se passe pour locaux professionnels « non-privés », c'est-à-dire les locaux accueillant habituellement du public, les agents de la Cnil doivent informer le responsable des lieux de son droit à s'opposer à la visite lorsque ceux-ci souhaitent accéder aux « locaux professionnels privés ».
Si le responsable des lieux exerce ce droit, l'accès à ces locaux professionnels privés ne pourra s'effectuer qu'après l'autorisation du juge des libertés et de la détention (JLD) du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter.
En la matière, le JLD agit très souvent comme simple chambre d'enregistrement, et ce recours au juge préalablement à la perquisition dans des locaux privatifs, s'il est indispensable, est réduit à une formalité par la pratique qu'en ont les JLD. Exercer ce droit d'opposition ne présente donc qu'un intérêt limité.
Pour user de leur droit de contrôle en toute liberté, les agents de la Cnil omettaient d'informer le responsable des lieux, à leur arrivée, que celui-ci pouvait s'opposer à la visite. Cette pratique fut sanctionnée par le Conseil d'Etat, par deux arrêts du 6 novembre 2009*. Le Conseil d'Etat considère ensuite que « la faculté du responsable des locaux de s'opposer à la visite, laquelle ne peut alors avoir lieu qu'avec l'autorisation et sous le contrôle du juge judiciaire, offre une garantie équivalente à l'autorisation préalable du juge » mais souligne « qu'une telle garantie ne présente néanmoins un caractère effectif que si le responsable des locaux [...] a été préalablement informé de son droit de s'opposer à la visite et mis à même de l'exercer ». Constatant que les responsables des locaux ayant fait l'objet des contrôles sur place n'avaient pas été informés de leur droit de s'opposer à ces visites, le Conseil d'Etat a déclaré la procédure de la Cnil irrégulière et annulé les sanctions prises.
A la suite de ces arrêts, le responsable des lieux devait faire l'objet d'une information par les agents, lors de leur arrivée sur place, quant à son droit d'opposition au contrôle.
Ce triomphe des droits de la défense fut de courte durée. A la faveur de la loi d'une loi du 29 mars 2011, l'article 41-II a été modifié pour permettre, de nouveau, aux agents de la Cnil d'agir « par surprise ». Il fut donc ajouté à l'article 41-II, la possibilité pour les agents de la Cnil, préalablement autorisés par le JLD, de contrôler des locaux « professionnels privés » sans que le responsable en ait été informé et puisse s'opposer à la visite « lorsque l'urgence, la gravité des faits à l'origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie ».
Les pouvoirs des agents
Les agents opérant le contrôle sur place peuvent demander communication de « tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie ». Ils peuvent également recueillir, sur place ou sur convocation, « tout renseignement et toute justification utiles », ce qu'il faut comprendre comme étant le droit pour les contrôleurs de poser des questions au personnel. Les contrôleurs peuvent enfin « accéder aux programmes informatiques et aux données, ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle ».
Lorsqu'un contrôle de la Cnil est diligenté, et sauf opposition nécessitant l'autorisation du JLD, le responsable des lieux doit fournir aux agents de la Cnil l'ensemble des informations et documents demandés par eux.
Toute obstruction au contrôle peut faire l'objet de sanctions pénales, pouvant aller jusqu'à un an d'emprisonnement et de 15 000 € d'amende.
Compte tenu des larges pouvoirs dont dispose la Cnil en matière de contrôle et des possibilités très limitées de s'y opposer, il importe pour toutes les entreprises de se mettre en conformité avec la loi du 6 janvier 1978 avant de faire l'objet d'une « visite » de ses agents.
* C.E. 6 novembre 2009 n°304300 société Inter Confort et C.E. 6 novembre 2009 n°304301 société Pro Decor.
Article rédigé par
Etienne Papin, Avocat associé du cabinet Feral-Schuhl / Sainte-Marie
Avocat au Barreau de Paris, Etienne Papin exerce dans les domaines du droit de l'informatique, de l'internet et des médias. Il conseille des SSII, éditeurs de logiciels, grandes entreprises et personnes publiques pour la rédaction et la négociation de leurs contrats informatiques. Il assiste également ces entreprises lors de procédures judiciaires. Il est associé du cabinet Feral-Schuhl / Sainte-Marie.
Suivez l'auteur sur Google+, Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire