La Commission nationale de l’informatique et des libertés (ci-après la CNIL) a présenté le 16 février dernier son 35ème rapport d’activité 2014. Comme le souligne le rapport, la CNIL connaît actuellement une hausse de ses activités, témoignant de la place centrale qu’elle occupe dans le système actuel de protection des données à caractère personnel.
Instituée en France par la loi du 6 janvier 1978 modifiée qui transpose la Directive n°95/46/CE du Parlement européen et du Conseil du 24 Octobre 1995 (Ci-après « la Directive»), la CNIL est chargée de recevoir les réclamations, pétitions et plaintes relatives à la mise en œuvre des traitements des données à caractère personnel. Ainsi, depuis la transposition de cette directive (texte de référence en la matière dans l’Union Européenne) la France dispose, comme d’autres pays européens, d’une autorité indépendante de protection des données à caractère personnel. Cette autorité administrative indépendante a pu asseoir son autorité et conquérir le rôle qu’elle joue aujourd’hui, à travers ses recommandations, avis, prises de positions stables, rapports annuels d’activités, etc.
Réunissant 185 agents, la CNIL veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la loi de 1978, loi dite « informatique et libertés ». Son but est de protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel. Cette protection n’est cependant octroyée qu’en contrepartie de la libre circulation des données personnelles, consacrée elle aussi par la Directive.
Depuis sa création, on retiendra que cette autorité administrative a toujours favorisé la pédagogie à la répression. Si le législateur a, réforme après réforme, étendu ses missions et ses compétences, la CNIL vise avant tout la mise en conformité des organismes qu’elle contrôle. En ce sens la CNIL a, dans le cadre de sa mission, des pouvoirs de contrôle sur pièces, sur place et plus récemment en ligne. En 2014, elle a opéré 421 contrôles, rendu 62 mises en demeure dont 4 publiques et prononcé 18 sanctions (contre 14 en 2013). Elle a également été dotée d’un pouvoir de labellisation en 2011. Label qui permet à une entreprise de faire valoir le respect d’exigences élevées en matière de protection des données.
Même si le législateur a autorisé la CNIL à cumuler un certain nombre de compétences, il est important de souligner qu’il est tout à fait possible d’invoquer la loi de 1978 aussi bien devant l’ordre administratif que devant l’ordre judiciaire. On peut relever par exemple qu’il existe des dispositions relatives aux atteintes aux droits de la personne résultant de fichiers ou de traitements spécifiques dans le code pénal (a 50 loi n°78-17 ; a 226-16 à 226-24 et R625-10 à R 625-13 c. pén.) De plus, le nombre d’infractions en lien avec la loi de 1978 a été augmenté par la loi du 06 août 2004. Dans la même logique, il existe quelques arrêts de la chambre sociale de la Cour de Cassation qui permettent de voir les incidences de la loi de 1978 sur le droit du travail.
En pratique, il est cependant constaté que les personnes concernées préfèrent s’adresser à la CNIL plutôt que d’ester en justice en raison de la facilité de s’adresser à cette autorité mais également en raison de la gratuité de son service.
La proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (elle remplacera la Directive) pourrait cependant bien être l’élément qui fera opérer un glissement du contentieux vers le juge judiciaire. En effet, les nouvelles obligations des responsables de traitements qu’elle prévoit (comme l’obligation de mettre en place des mécanismes et des procédures pour l’exercice de ses droits par les personnes sujets du traitement des données personnelles), pourrait générer beaucoup de contentieux relatives à la responsabilité civile.
En parallèle, la proposition de règlement va dans le sens du renforcement du rôle coercitif des autorités de protection des données à caractère personnel. Elle prévoit ainsi de revoir à la hausse le montant des amendes que pourrait prononcer la CNIL. Il varierait entre 250.000 à 1 millions d’euros ou dans le cas d’une entreprise entre 2 à 4% du CA mondial annuel. Rappelons qu’actuellement, toute entrave à la loi informatique et libertés est punissable d’un maximum de 5 ans d’emprisonnement et 300.000 euros d’amendes.
D’autres dispositions du futur règlement européen sur les données personnelles dont l’entrée en vigueur est prévue d’ici à la fin de l’année 2015 ou début 2016 prévoient de confier de nouvelles tâches aux autorités indépendantes de protection des données à caractère personnel, dont la CNIL.
Ces changements devraient renforcer le statut et les pouvoirs de cette dernière.
Ando Randrianjafisamindrakotroka
