Le pouvoir de contrôle de la CNIL

L’essentiel : la CNIL dispose de pouvoirs étendus de contrôle de la régularité des traitements de données personnelles.

 

 

Les pouvoirs de contrôle de la CNIL

1. – La CNIL dispose d’un important pouvoir d’investigation et de contrôle qui a d’ailleurs été accru par la loi du 6 août 2004 (voir art. 44 s. ci-après, détaillé par les art. 61 et suivants du décret). Ce pouvoir prend sa source au sein de la directive de 1995 (art. 28-3, al 2) qui prévoit que l’autorité nationale de contrôle dispose de pouvoirs effectifs d’intervention_, tels que la possibilité « _d’ordonner le verrouillage, l’effacement ou la destruction de données ou interdire temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une admonestation au responsable du traitement ».

2. – Au titre de ses prérogatives de contrôle, la loi en particulier permet à la Commission de charger un ou plusieurs de ses membres de procéder ou de faire procéder à des vérifications portant sur tous traitements et obtenir des copies de tous documents ou supports d’information utiles à ses missions (art. 11). Il faut noter que les membres et les agents de la commission sont dans ce cadre astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues à l’article 413-10 du code pénal et sous réserve de ce qui est nécessaire à l’établissement du rapport annuel, à l’article 226-13 du même code.

3. – Pour donner quelques chiffres, en 2008, elle a mené 218 missions de contrôle (contre 30 pour l’année 2000 par ex.). 25% des contrôles réalisés ont été décidés dans le cadre de l’instruction de plaintes. Et en 2009 elle notait que « ces contrôles concernent des cas aussi variés qu’un vétérinaire portant, dans son fichier client, des appréciations injurieuses (…), un établissement de santé dont les médecins qui y travaillent signalent à la CNIL des défauts de sécurité présentant un risque pour les données de santé des personnes ou encore une crèche dont le personnel est placé sous surveillance constante ».

4. – Un point important tient à ce que la la loi impose aux responsables des traitements de prendre toutes les mesures nécessaires pour faciliter à la CNIL son contrôle (art. 21) : « Les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche ». Ceux-ci « sont tenus de fournir les renseignements demandés par celle-ci pour l’exercice de ses missions ».

L’entrave à l’action de la CNIL est un délit pénal

Cette obligation est sanctionnée pénalement par le délit d’entrave à l’action de la CNIL (1 an d’emprisonnement et 15.000 euros d’amende) dans les termes de l’article 51 de la loi : « Est puni d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés : 1° Soit en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités en application du dernier alinéa de l’article 19 (habilitation par la commission) lorsque la visite a été autorisée par le juge ; 2° Soit en refusant de communiquer à ses membres ou aux agents habilités en application du dernier alinéa de l’article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ; 3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible« .

La procédure de contrôle est détaillée dans les articles 44 et suivants de la loi :

Article 44

I. – Les membres de la Commission nationale de l’informatique et des libertés ainsi que les agents de ses services habilités dans les conditions définies au dernier alinéa de l’article 19 ont accès, de 6 heures à 21 heures, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel et qui sont à usage professionnel, à l’exclusion des parties de ceux-ci affectées au domicile privé.

Le procureur de la République territorialement compétent en est préalablement informé.

II. – Le responsable de locaux professionnels privés est informé de son droit d’opposition à la visite. Lorsqu’il exerce ce droit, la visite ne peut se dérouler qu’après l’autorisation du juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter, qui statue dans des conditions fixées par décret en Conseil d’État. Toutefois, lorsque l’urgence, la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la visite peut avoir lieu sans que le responsable des locaux en ait été informé, sur autorisation préalable du juge des libertés et de la détention. Dans ce cas, le responsable des lieux ne peut s’opposer à la visite.

La visite s’effectue sous l’autorité et le contrôle du juge des libertés et de la détention qui l’a autorisée, en présence de l’occupant des lieux ou de son représentant qui peut se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des personnes chargées de procéder au contrôle.

L’ordonnance ayant autorisé la visite est exécutoire au seul vu de la minute. Elle mentionne que le juge ayant autorisé la visite peut être saisi à tout moment d’une demande de suspension ou d’arrêt de cette visite. Elle indique le délai et la voie de recours. Elle peut faire l’objet, suivant les règles prévues par le code de procédure civile, d’un appel devant le premier président de la cour d’appel. Celui-ci connaît également des recours contre le déroulement des opérations de visite.

III.- Les membres de la commission et les agents mentionnés au premier alinéa du I peuvent demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie ; ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles ; ils peuvent accéder aux programmes informatiques et aux données, ainsi qu’en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

Ils peuvent, à la demande du président de la commission, être assistés par des experts désignés par l’autorité dont ceux-ci dépendent.

Seul un médecin peut requérir la communication de données médicales individuelles incluses dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou à la gestion de service de santé, et qui est mis en œuvre par un membre d’une profession de santé.

Il est dressé contradictoirement procès-verbal des vérifications et visites menées en application du présent article.

IV.- Pour les traitements intéressant la sûreté de l’État et qui sont dispensés de la publication de l’acte réglementaire qui les autorise en application du III de l’article 26, le décret en Conseil d’État qui prévoit cette dispense peut également prévoir que le traitement n’est pas soumis aux dispositions du présent article.

 

Lire la suite : Les pouvoirs de sanction

Le plan de l'article :

- La CNIL
- Les pouvoirs de décision et de proposition de la CNIL
- Les pouvoirs de donner des avis et des recommandations
- Les pouvoirs de contrôle
- Les pouvoirs de sanction
- Les missions d'information
- Les missions de réflexion et d'assistance

Thiébaut Devergranne
Thiébaut Devergranne
Docteur en droit
Thiébaut Devergranne est expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus
formation RGPD
Legiscope
VOS CGV (gratuites)