Outre ses répercussions sur le droit de la consommation, la loi du 17 mars 2014 relative à la consommation a également modifié les pouvoirs de la CNIL. Tout d’abord, cette loi a élargi les pouvoirs d’investigation de la CNIL (I), tout en précisant ses missions accessoires (II).
I. Les pouvoirs d’investigation de la CNIL élargis
A. L’inauguration d’un contrôle en ligne
Au titre de ses missions, la CNIL doit contrôler les conditions et les circonstances dans lesquelles les fichiers sont créés et utilisés. A cet effet elle a effectué 414 missions de vérification en 2013. [1]
En vertu de la loi Informatique et Libertés le pouvoir d’investigation de la CNIL se décline en trois axes de contrôle auxquels celle-ci peut procéder:
— des contrôles sur place, au cours desquels la délégation de la CNIL a accès aux matériels (serveurs, ordinateurs, applications) où sont stockés les fichiers des données personnelles ;
— des contrôles sur pièce, permettant d’obtenir la communication de documents ou de fichiers sur demande écrite ;
— des contrôles sur audition, consistant à convoquer dans les locaux de la CNIL les personnes mettant en œuvre un fichier ou leurs représentants aux fins d’obtention de tout renseignement utile.[2]La loi du 17 mars 2014 relative à la consommation a favorisé l’adaptation du pouvoir d’investigation de la CNIL au développement numérique tout en augmentant son efficacité dans un environnement en permanente évolution. En effet, l’article 105 de la loi du 17 mars 2014 relative à la consommation a modifié le III de l´article 44 de la loi du 6 janvier 1978 en ajoutant aux pouvoirs d’investigation mentionnés la possibilité d’effectuer des contrôles en ligne, qui lui permettront de constater à distance, depuis un ordinateur connecté à Internet, des manquements à la loi « Informatique et Libertés ». Ces manquements seront portés à la connaissance des organismes concernés par un procès-verbal, les constatations retenues leur étant opposables. Dès lors que le contrôle en ligne se fait à distance, ce procès-verbal sera dressé unilatéralement par opposition au procès-verbal établi contradictoirement à la suite d’un contrôle effectué sur place.
En l’absence d’une procédure contradictoire durant la constatation des manquements et l’établissement du procès-verbal, on peut signaler que cette nouvelle disposition attribue à la Commission un pouvoir de contrôle très étendu. Dès lors, les organismes concernés par cette procédure ne seront informés des griefs à leur encontre qu’à posteriori sans que ceux-ci puissent exercer leur droit d’opposition au moment du contrôle.
B. Le champ d’application du nouveau pouvoir de contrôle
Ce nouveau pouvoir s’applique aux données librement accessibles ou rendus accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.[3] Pourtant, le champ d’application de ce pouvoir de contrôle est limité car la Commission n’aura pas la possibilité de surmonter des mesures de sécurité afin de pénétrer dans un système d’information.
La Commission doit pouvoir rapidement constater et agir en cas de failles de sécurité sur Internet. Elle pourra aussi vérifier la conformité des mentions d’information figurant sur les formulaires en ligne, ou des modalités de recueil de consentement des internautes en matière de prospection électronique.[4]Lorsque des manquements à la loi Informatique et Libertés sont relevés, la CNIL peut mettre en demeure le responsable du traitement afin que celui-ci fasse cesser le manquement constaté dans un délai fixé par la Commission. La CNIL peut prononcer une sanction pécuniaire d’un montant maximal de 150.000€, une injonction de cesser le traitement ou un retrait de l’autorisation accordée par la CNIL si le responsable du traitement ne se conforme pas à la mise en demeure.
La CNIL peut aussi procéder à la publication des sanctions prononcées sur son site ou ordonner leur insertion dans la presse aux frais du responsable du traitement.
A part des sanctions prononcées par la CNIL, l’entreprise qui n’a pas mis en place des mesures de sécurité suffisantes pour protéger les données personnelles est passible d´une amende d´un montant maximal 300.000€ d’amende et cinq ans d’emprisonnement.
II. Les missions accessoires de la CNIL précisées
A. La modification de la mission de délivrance des labels
La loi Hamon a également modifié l’article 11 de la loi Informatique et libertés qui confie à la CNIL le pouvoir de délivrer des labels à la demande d’organisations professionnelles ou d’institutions regroupant des responsables de traitements. Ces labels ont pour objet de distinguer les entreprises pour la qualité de leur service et de véhiculer auprès des utilisateurs un indicateur de confiance grâce au haut niveau de protection de leurs données personnelles.
La loi du 17 mars 2014 prévoit désormais que la CNIL pourra délivrer, de sa propre initiative, des labels aux produits et procédures susceptibles d’en disposer conformément à la « loi Informatique et Libertés ». Si les conditions qui ont permis la délivrance du label ne sont plus satisfaites, la CNIL pourra le retirer.
B. Le renforcement de la coopération entre la CNIL et la DGCCRF
La loi du 17 mars 2014 relative à la consommation renforce la coopération existante entre la CNIL et la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) depuis le protocole de coopération pour la protection des données personnelles des consommateurs signé en janvier 2011. L’article L.141-1 VI modifié du code de la consommation prévoit que lors de leurs enquêtes relatives à la protection économique des consommateurs, les agents de la DGCCRF sont habilités à constater les infractions à la loi Informatique et libertés et peuvent notifier la constatation des manquements à la CNIL. Ce texte n’habilite pas toutefois la DGCCRF avec un pouvoir de sanction, car ses agents sont compétents à constater simplement les manquements à la loi. Dès lors, c’est la CNIL qui dispose d’un pouvoir coercitif et qui est habilitée à prononcer les sanctions appropriés.
Les dispositifs mis en place devront favoriser une augmentation du nombre de contrôles par la CNIL et des sanctions de non-conformité à la loi « Informatique et Libertés ». Les responsables de traitement de données auront par conséquent l’obligation de s’assurer de la conformité des traitements effectués à la loi.
[1]Communiqué CNIL, 18 mars 2014 : Un pouvoir d’investigation renforcé grâce aux contrôles en ligne
[2] La Semaine Juridique Entreprise et Affaires n° 14, 3 Avril 2014, act. 252
[3]Article 44 III, alinéa 4, loi Informatique et Libertés.
[4] Communiqué CNIL, 18 mars 2014 : Un pouvoir d’investigation renforcé grâce aux contrôles en ligne
Write a comment: