Cnil : une nouvelle organisation et des pouvoirs renforcés

Mise en œuvre et déroulement des contrôles

{{}}

La Cnil peut, par décision particulière, procéder ou faire procéder ses agents à des vérifications portant sur tous traitements de données, et le cas échéant, obtenir copie de tous documents ou supports d’information utiles à ses missions.

Lors d’un contrôle sur place, le responsable des locaux professionnels privés doit désormais être informé de son droit d’opposition à la visite des agents habilités de la Cnil. Dès lors qu’il exerce ce droit, le contrôle ne peut se dérouler qu’après une autorisation du juge des libertés et de la détention (JLD) du tribunal de grande instance dans le ressort duquel sont situés ces locaux (un décret en Conseil d’État fixera les conditions d’encadrement par le juge).

Toutefois, en cas d’urgence (faits graves, risque de destruction ou dissimulation de documents) et sur autorisation préalable du JLD, le contrôle sur place de la Cnil peut avoir lieu sans que le responsable des locaux en ait été informé et sans que ce dernier puisse s’y opposer. La visite s’effectue alors sous l’autorité et le contrôle du JLD qui l’a autorisée en présence de l’occupant des lieux ou de son représentant qui peut se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des agents de la Cnil chargés du contrôle. L’ordonnance du juge mentionne qu’il peut à tout moment être saisi d’une demande de suspension ou d’arrêt du contrôle sur place et que celle-ci peut faire l’objet d’un appel devant le premier président de la cour d’appel.

Sanctions aggravées

La formation restreinte de la CNIL peut prononcer des sanctions à l’encontre des responsables de traitements qui ne respectent pas les obligations découlant de la loi Informatique et Libertés.

Afin de respecter les règles du procès équitable, les membres de la formation restreinte ne peuvent pas participer à l’exercice des attributions de la Commission relatives à la réception des plaintes et aux phases d’enquête et d’instruction des contrôles.
A l’issue des contrôles, la formation restreinte de la Cnil peut prononcer, après une procédure contradictoire, un avertissement à l’égard du responsable d’un traitement qui n’a pas respecté les obligations de la loi Informatique et Libertés. Cet avertissement a le caractère d’une sanction.

Le président de la Cnil peut également mettre en demeure ce responsable de faire cesser le manquement constaté, dans un délai qu’il fixe. En cas d’urgence, ce délai peut être ramené à cinq jours.

Si le responsable du traitement ne se conforme à la mise en demeure qui lui a été adressée, la formation restreinte peut prononcer à son encontre, après une procédure contradictoire :

 une sanction pécuniaire de 150 000 euros (à l’exception des cas où le traitement est mis en œuvre par l’État) ;

 une injonction de cesser le traitement (lorsque celui-ci relève du régime de la déclaration auprès de la Cnil), ou un retrait de l’autorisation accordée.

De plus, lorsque la mise en œuvre d’un traitement ou l’exploitation des données traitées a porté atteinte à l’identité humaine, aux droits de l’homme, à la vie privée, ou aux libertés individuelles et publiques, la formation restreinte peut, après une procédure contradictoire, engager une procédure d’urgence (qui sera définie par décret en Conseil d’État), pour :

 décider l’interruption de la mise en œuvre du traitement, pour une durée maximale de trois mois ;

 prononcer un avertissement ;

 décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois ;

 informer le Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est mis en œuvre pour le compte de l’Etat, pour la sûreté, la défense et la sécurité publique, ou la recherche et la constatation des infractions pénales.

Publicité des sanctions

{{}}

La formation restreinte peut rendre publiques les sanctions qu’elle prononce. Et également ordonner leur insertion dans des publications et supports qu’elle désigne aux frais des personnes sanctionnées.

Enfin, le président de la Cnil peut demander au bureau de rendre publique la mise en demeure prononcée à l’encontre d’un responsable de traitements.

Cnil : Un nouveau président en 2012

L’actuel président de la Cnil, le sénateur du Nord, Alex Türk, dont la présidence, saluée à droite comme à gauche de l’échiquier politique, a été marquée par le renforcement des moyens et des contrôles de la Cnil, ne pourra se représenter à la prochaine élection du président de la Commission, qui sera organisée en septembre 2012. Cette fonction ( pour un mandat de cinq ans) est, en effet, dorénavant incompatible avec toute activité professionnelle, tout mandat électif national, tout autre emploi public et toute détention, directe ou indirecte, d’intérêts dans une entreprise du secteur des communications électroniques ou de l’informatique.

Le Défenseur des droits

{{}}

Le Défenseur des droits remplace le Médiateur de la République, le Défenseur des enfants, la Commission nationale de déontologie de la sécurité (CDNS) et la Halde (Haute autorité de lutte contre les discriminations et pour l’égalité). A ce titre, le Défenseur des droits, ou son représentant, est membre de la Cnil avec voix consultative. Il peut être associé, à sa demande, aux travaux de la Commission.

1 Composée d’un président et de cinq autres membres élus par la Commission en son sein. Les membres du bureau (le président et les deux vice-présidents de la Cnil ne) sont pas éligibles à la formation restreinte. L’élection des nouveaux membres aura lieu le 28 avril prochain.

2 En cas de récidive : 300 000 euros dans la limite de 5% du chiffre d’affaires.