L’année 2011 s’est achevée avec l’adoption tant attendue du décret[1] relatif aux pouvoirs de contrôle et de sanction de la Commission nationale de l’informatique et des libertés (CNIL). Ce dernier vient modifier le décret du 20 octobre 2005.

En effet, depuis 2004 la CNIL dispose de moyens d’actions coercitifs afin de s’assurer du respect des dispositions de la loi du 6 janvier 1978. Cependant, les pouvoirs de la CNIL en matière de contrôle ont été fortement remis en cause à la suite de deux décisions du Conseil d’Etat de 2009 annulant des procédures jugées excessives au regard de l’article 8 de la CESDH relatif au droit au respect du domicile et de la vie privée.

Ces décisions ont appelé le législateur à réviser les règles encadrant ces procédures.

 

1. Réforme du contrôle sur place

 

A la suite des décisions du Conseil d’Etat, risquant de freiner l’action de la CNIL, une loi insérant des garanties supplémentaires a été adoptée le 29 mars 2011, afin d’encadrer d’avantage la procédure de contrôle de la CNIL.

Le décret du 29 décembre 2011 vient en préciser les conditions d’applications.

 

Le texte pose les conditions :

–      d’information du responsable des lieux (représentant de l’entité subissant le contrôle) quant à la visite des agents de la CNIL à des fins de contrôle. Notamment, l’information de cette visite doit intervenir au plus tard au moment de l’arrivée sur place des agents. Par ailleurs, il doit être fait mention du droit d’opposition dont dispose le responsable des lieux audit contrôle. Les motifs de cette opposition seront portés au procès-verbal dressé par les agents de la CNIL.

–      En cas d’opposition, la visite ne pourra être effectuée qu’après l’autorisation du juge des libertés et de la détention qui dispose de 48h pour accepter ou refuser la demande d’autorisation transmise par la CNIL pour assurer la visite. A ce titre, le décret fixe notamment ce que doit contenir l’acte de notification (mention et délais des voies de recours et possibilité de demander la suspension ou l’arrêt de la visite) de l’ordonnance rendue par le juge.

–      Cette ordonnance est susceptible de recours devant le premier Président de la Cour d’appel.

Enfin, le juge des libertés et de la détention peut, s’il l’estime utile, se rendre sur place à l’occasion de la visite, et décider à tout moment de sa suspension ou de son arrêt.

 

2. Les procédures devant la formation restreinte et les sanctions prononcées

Le nouveau décret organise par ailleurs la procédure applicable devant la formation restreinte de la CNIL (Formation contentieuse composée du président et de cinq autres membres élus par la commission en son sein) et précise le déroulement de ses séances.

Parmi les nouveautés, les mises en demeure adressées aux responsables de traitement par la CNIL en cas de manquements à leurs obligations au regard de la loi de 1978, sont désormais décidées par le Président de la CNIL, alors qu’elles l’étaient auparavant par la formation restreinte.

Ces mises en demeure doivent mentionner les délais dans lesquels le responsable d’un traitement de données à caractère personnel est tenu de se conformer à la loi et de mettre fin aux manquements constatés par la CNIL. Ce délai peut être renouvelé une fois si la complexité de l’affaire le justifie.

 

En cas de contrôle de la CNIL il est vivement conseillé :

–      Pendant le contrôle :

  • de vérifier que l’information de la visite de la CNIL est conforme au décret et notamment qu’elle mentionne : votre droit d’opposition et les voies de recours
  • de faire en sorte que les contrôleurs de la CNIL ne sortent pas du périmètre du contrôle qui leur est défini
  • de relire soigneusement le procès-verbal établi à la fin du contrôle afin de demander toute modification / précision utile surtout sur les procédés techniques contrôlés
  • de faire inscrire toute observation et réserve utile

–      Après le contrôle :

  • prévoir de mettre en place un audit CNIL pour identifier les actions de mise en conformité à la règlementation informatique et liberté
  • dès réception de la mise en demeure de la CNIL qui suivra le contrôle : mettre en conformité les points identifiés dans cette mise en demeure.

 

Claudia WEBER, avocat fondatrice de ITLAW Avocats et Eloïse URBAIN, avocat

Cabinet ITLAW Avocats

www.itlaw.fr

 

[1] Décret n° 2011-2023 du 29 décembre 2011 relatif aux pouvoirs de contrôle et de sanction de la Commission nationale de l’informatique et des libertés

Nous contacter