La CNIL, nouvel acteur du contrôle dans le cyberespace
Une récente modification législative permet à la CNIL d'opérer des contrôles en ligne sans contradictoire.
PublicitéIl y a peu, le Parlement a modifié la loi « informatique et libertés » pour confier à la Commission nationale de l'Informatique et des libertés (CNIL) le pouvoir de procéder à des contrôles en ligne.
A la différence de nombreuses autorités de protection des données en Europe, la CNIL est d'ores et déjà dotée d'un important pouvoir de contrôle sur place qu'elle utilise de façon croissante. En effet, le nombre de ses contrôles est passé de 96 en 2005 à 270 en 2007 pour atteindre 458 en 2012 (derniers chiffres disponibles).
Dans ce cadre, la CNIL peut avoir accès, entre 6 heures et 21 heures, à tous les lieux, installations ou établissements servant à la mise en oeuvre de traitements de données personnelles et qui sont à usage professionnel (article 44 de la loi « informatique et libertés »). Le responsable des lieux peut s'opposer au contrôle, généralement inopiné, de la CNIL. Dans cette hypothèse, le Président de la Commission peut solliciter du juge des libertés et de la détention une ordonnance l'autorisant à procéder au contrôle. Munie de cette ordonnance, la CNIL peut mener les investigations initialement envisagées, en étant, le cas échéant, accompagnée des forces de police. Le responsable des locaux n'est alors plus en droit de s'y opposer sous peine de commettre un délit d'entrave. Dans le cadre de ces investigations, les agents de la CNIL peuvent demander communication de tout document utile et en prendre copie.
A l'issue du contrôle, un procès verbal est dressé« contradictoirement » et doit être signé par les agents de la CNIL et le responsable des lieux. Ce procès verbal énonce, notamment, la nature, le jour, l'heure et le lieu du contrôle, indique les personnes rencontrées et leurs déclarations. Enfin, il dresse l'inventaire des pièces et documents dont il est fait copie.
Ainsi rapidement rappelé, le droit en vigueur apparaît comme particulièrement complet et précis. Les contrôles, les procès verbaux associés, les documents ainsi collectés, fondent en grande partie les éléments de preuve que la CNIL mobilise dans le cadre de ses procédures de sanction.
Pour autant, qu'en est-il des contrôles, non plus sur place, mais « en-ligne » ? Les modalités prévues par l'article 44 de la loi « informatique et libertés » leur sont-elles applicables ? Certaines de ses dispositions semblent délicates à transposer dans le cyberespace, à l'instar de l'exercice du droit d'opposition du« responsable des lieux », de la mention au procès verbal des« personnes rencontrées », ou encore de la signature dudit procès verbal dressé « contradictoirement » pour ne mentionner que ces quelques exemples.
La loi « informatique et libertés » est étonnement silencieuse en matière de (...)
La loi « informatique et libertés » est étonnement silencieuse en matière de contrôle en ligne : nulle disposition spécifique ni nulle interdiction ne sont prévues. L'incertitude juridique qui en résulte explique pourquoi, lorsque la CNIL souhaite faire constater à des fins probatoires des manquements à la loi commis en ligne, elle recourt, comme toute administration, entreprise ou particulier, à un constat dressé par un huissier.
PublicitéCe formalisme est peu adapté à la mise en oeuvre dans l'espace numérique du pouvoir de contrôle dont est pourtant doté le Régulateur qu'est la CNIL. C'est la raison qui a conduit le Parlement à souhaiter modifier la loi « informatique et libertés ».
En effet, l'article 48 bis, du projet de loi relatif à la consommation, d'ores et déjà adopté dans les mêmes termes par le Sénat et l'Assemblée nationale, introduit un nouveau paragraphe au sein de l'article 44 précité. Ce paragraphe dispose que les agents de la CNIL peuvent désormais « à partir d'un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d'un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. »
S'agissant du procès verbal de contrôle, la loi précise dorénavant qu'il « est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place » ce qui implique, a contrario, qu'il l'est unilatéralement lorsque les contrôles sont réalisés en ligne.
Ce changement législatif est particulièrement important. Il confère à la CNIL un pouvoir d'investigation en ligne comparable, voire supérieur, à celui qui lui est reconnu dans le monde physique. En effet, ces investigations numériques seront menées sans que le droit d'opposition puisse s'exercer, sans que le responsable du site en soit informé et, partant, sans qu'un procès verbal contradictoire soit établi.
Pour autant, la mise en oeuvre de ce nouveau pouvoir soulève certaines interrogations juridiques. La principale tient à la prise en considération des critères définissant le champ d'application territorial de la loi que la CNIL est chargée de faire respecter. En effet, la loi « informatique et libertés » ne s'applique qu'aux responsables « établis » sur le territoire français ou bien qui« utilisent des moyens de traitement situés sur le territoire français »(article 5 de la loi). Dès lors, dans le cadre d'un contrôle en ligne, il sera essentiel d'établir que la loi française est bien applicable à un responsable de site Internet, certes accessible depuis la France, mais qui peut ne pas y posséder d'établissement. Dans cette hypothèse, la CNIL devra alors prouver que des moyens de traitement sont utilisés en France. Or, cette preuve pourrait s'avérer complexe à établir et, partant, devenir une source de contentieux compte tenu de certaines architectures informatiques et technologies retenues (Cloud notamment) qui rendent délicate la détermination de la localisation des moyens de traitement utilisés à un instant donné.
En dépit de cette difficulté juridique, nul doute que ce nouveau moyen d'investigation en ligne, rapide et peu coûteux, devrait conduire la CNIL à accroître considérablement le nombre de ses contrôles et, par voie de conséquence, celui des procédures de sanction en découlant.
Sur le fond, ce nouveau moyen d'investigation devrait permettre à la Commission de vérifier la conformité des sites en termes de mentions légales, d'information des personnes ou de recueil du consentement en matière de Cookies. Il devrait également conduire la CNIL à contrôler le respect des obligations en matière de sécurité des données personnelles et des systèmes d'information et, le cas échéant, à constater par elle-même l'existence d'une faille de sécurité.
Article rédigé par
Yann Padova, Membre de la Commission de Régulation de l'Energie (CRE)
Yann Padova est membre de la Commission de Régulation de l'Energie (CRE), en charge des questions relatives à la protection des données personnelles.
Il a été Senior Counsel au sein de l'équipe Technologies de l'Information, Communication et Data Privacy du cabinet Baker & McKenzie à Paris du 1er octobre 2012 à début 2015. Auparavant, il a été Secrétaire Général de la CNIL entre 2006 et 2012 après avoir été pendant 7 ans administrateur à la Commission des Lois de l'Assemblée nationale en charge du droit de l'informatique, des nouvelles technologies et du droit pénal.
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire