Dans deux arrêts rendus le 6 novembre 2009, le Conseil d’Etat vient de poser un frein sévère aux pouvoirs de contrôle et de sanction de la CNIL (Commission Nationale de l’Informatique et des Libertés).
La réforme du 6 août 2004 modifiant la loi n°78-17 du 6 janvier 1978 relative à l’Informatique, aux fichiers et aux libertés (adoptée suite à la directive européenne 95/46/CE du 24 octobre 1995) a donné à la CNIL des possibilités d’action renforcée lui permettant d’être plus réactive face aux signalements émanant de personnes estimant leurs droits violés. Celles-ci lui permettent d’exercer un contrôle sur la conformité des systèmes de traitements des données à caractère personnel, notamment via des pouvoirs de visite et de contrôle sur place, et de prononcer directement des sanctions, y compris pécuniaires.
Pour autant, la CNIL n’a pas adopté une politique de sanction systématique. En 2008, sur 126 procédures donnant lieu à l’envoi de mises en demeure, 84 ont fait l’objet d’une clôture ultérieure suite au respect des mises en demeure. Seulement 11 ont fait l’objet de sanctions financières. On constate donc que la grande majorité des organismes destinataires de mises en demeure se conforment aux demandes de la CNIL dans un délai très bref. Ainsi, seuls les organismes vis-à-vis desquels la CNIL estime avoir épuisé toute possibilité de concertation sont concernés par les sanctions.
Or en jugeant que les pouvoirs de visite et de contrôle de locaux professionnels de la CNIL violent l’article 8 de la Convention Européenne de Sauvegarde des Droits de l’Homme (CESDH), le Conseil d’Etat ampute la CNIL d’une de ses prérogatives les plus efficaces à l’égard des contrefaisants récalcitrants et illustre, une fois de plus, les obstacles à une réelle politique répressive en matière de droit des fichiers et de respect des données à caractère personnel en France.
Charles MOREL
Avocat à la Cour
