Dec
07
Coup de tonnerre sur les pouvoirs de contrôle de la CNIL

Dans deux arrêts rendus le 6 novembre 2009, le Conseil d'Etat vient de poser un frein sévère aux pouvoirs de contrôle et de sanction de la CNIL (Commission Nationale de l'Informatique et des Libertés).

La réforme du 6 août 2004 modifiant la loi n°78-17 du 6 janvier 1978 relative à l'Informatique, aux fichiers et aux libertés (adoptée suite à la directive européenne 95/46/CE du 24 octobre 1995) a donné à la CNIL des possibilités d'action renforcée lui permettant d'être plus réactive face aux signalements émanant de personnes estimant leurs droits violés. Celles-ci lui permettent d'exercer un contrôle sur la conformité des systèmes de traitements des données à caractère personnel, notamment via des pouvoirs de visite et de contrôle sur place, et de prononcer directement des sanctions, y compris pécuniaires.

Pour autant, la CNIL n'a pas adopté une politique de sanction systématique. En 2008, sur 126 procédures donnant lieu à l'envoi de mises en demeure, 84 ont fait l'objet d'une clôture ultérieure suite au respect des mises en demeure. Seulement 11 ont fait l'objet de sanctions financières. On constate donc que la grande majorité des organismes destinataires de mises en demeure se conforment aux demandes de la CNIL dans un délai très bref. Ainsi, seuls les organismes vis-à-vis desquels la CNIL estime avoir épuisé toute possibilité de concertation sont concernés par les sanctions.

Or en jugeant que les pouvoirs de visite et de contrôle de locaux professionnels de la CNIL violent l'article 8 de la Convention Européenne de Sauvegarde des Droits de l'Homme (CESDH), le Conseil d'Etat ampute la CNIL d'une de ses prérogatives les plus efficaces à l'égard des contrefaisants récalcitrants et illustre, une fois de plus, les obstacles à une réelle politique répressive en matière de droit des fichiers et de respect des données à caractère personnel en France.

1. Contenu et encadrement des pouvoirs de visite et de contrôle sur place de la CNIL

Les dispositions de l'article 44 de la loi Informatique et Libertés confèrent à la CNIL un pouvoir d'investigation à l'égard des personnes ayant recours à un traitement automatisé de données à caractère personnel à des fins professionnelles, et soupçonnées de violer les obligations auxquelles elles sont tenues en matière de droit des fichiers.

Le texte prévoit que dans l'exercice de leurs missions, les agents de la CNIL ont accès aux lieux, installations ou établissements à usage professionnel servant à l'utilisation de systèmes de traitement des données à caractère personnel. Les membres et agents de la CNIL peuvent demander toute communication des documents nécessaires à l'accomplissement de leur mission et en prendre copie, et recueillir tout renseignement utile sur place ou par convocation (à l'exception des données médicales). Ils peuvent accéder aux programmes informatiques et aux données et en demander la transcription. Ces visites et vérifications font l'objet d'un procès-verbal dressé contradictoirement.

Ces prérogatives importantes sont toutefois encadrées d'un certain nombre de garanties.

Le texte précise tout d'abord que la visite doit avoir lieu entre 6h et 21h, et qu'elle est soumise à l'information du Procureur de la République territorialement compétent.

En cas d'opposition du responsable des lieux concernés par la visite, l'article 44 prévoit que cette dernière est subordonnée à l'autorisation du Président du Tribunal de Grande Instance saisi sur requête par le Président de la CNIL, et statuant par voie d'une ordonnance, décision provisoire rendue non contradictoirement. Si le juge autorise la procédure de visite, celle-ci s'effectue alors sous son contrôle. Le magistrat peut se rendre sur place durant la visite et en ordonner l'arrêt ou la suspension.

Le responsable des lieux peut toujours demander au juge de modifier ou de rétracter son ordonnance ou encore le saisir par voie d'une procédure de référé, l'ordonnance de référé pouvant ensuite faire l'objet d'un appel.

2. Les arrêts du 6 novembre 2009

- Le contexte

Avec les arrêts du 6 novembre 2009, c'est la première fois que le Conseil d'Etat se prononce sur ces pouvoirs de contrôle.

Il est ici question de deux sociétés spécialisées dans la vente de fenêtre (les sociétés Pro Décor et Inter Confort) ayant crée une plateforme téléphonique pour effectuer des opérations de prospection à des fins promotionnelles et commerciale.

Suite à de nombreuses plaintes émanant de particuliers faisant état du défaut de prise en compte par ces sociétés de leurs demandes de ne plus faire l'objet de démarchage téléphonique, des membres de la CNIL ont effectué une première visite de contrôle, en mai et juin 2005, des locaux de ces sociétés.

A la suite de ces visites, les sociétés furent mises en demeure par la CNIL, après délibération, d'utiliser une base de données mise à jour et de prendre dans un délai de quinze jours, les mesures propres à garantir l'effectivité du droit d'opposition des personnes concernées à l'utilisation de leurs données personnelles à des fins de prospection commerciale, conformément à la Loi du 6 janvier 1978 (article 38).

En janvier 2006, des membres de la CNIL procédaient à une seconde visite des locaux et constataient que le nouveau système de gestion manuelle des demandes d'opposition mis en place par les sociétés ne permettait pas de garantir une prise en compte effective et rapide des demandes d'opposition. Estimant que les sociétés ne respectaient pas les mises en demeure qui leurs avaient été adressées, la CNIL leur a infligé une amende de 30000 euros et leur a enjoint de cesser d'utiliser le fichier tant qu'une procédure plus efficace des demandes de radiation ne serait pas mise en place.

Les deux sociétés ont contesté ces sanctions en invoquant l'irrégularité de la procédure de visite sur place mise en oeuvre par la CNIL, du fait de la méconnaissance des dispositions de l'article 8 de la CEDH protégeant, entre autres, le droit au respect du domicile.

- La motivation des arrêts du 6 novembre 2009

Rappelant tout d'abord l'article 8 de la CESDH aux termes duquel toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance, ainsi que les conditions dans lesquelles les autorités publiques peuvent limiter l'exercice de ce droit, le Conseil d'Etat rappelle ensuite que ces stipulations s'appliquent dans certaines circonstances aux « domiciles » des personnes morales et, dès lors, à leurs locaux professionnels.

Considérant que les pouvoirs de visite de la CNIL constituent une ingérence dans l'exercice de ce droit, le Conseil d'Etat exerce un contrôle de la proportionnalité de cette ingérence à l'ampleur et à la finalité de ces pouvoirs, eu égard à l'existence de garanties effectives et appropriées les encadrant.

La haute juridiction administrative estime à cet égard que du fait de l' « ampleur » de ces pouvoirs de visite et de « l'imprécision » des dispositions qui les encadrent, l'existence de garanties nécessaires ne peut résulter que de l'autorisation préalable d'un juge, rendue possible en l'occurrence par la faculté d'opposition de la personne responsable des locaux à une intervention contraignante de la CNIL, qui entraîne l'intervention et le contrôle de l'autorité judiciaire.

Le Conseil d'Etat, faisant l'application de la théorie de l'effectivité des droits développée par la Cour Européenne des Droits de l'Homme (CEDH) selon laquelle la Convention Européenne des Droits de l'Homme a pour but de protéger des droits non pas théoriques mais concrets, considère qu' « une telle garantie ne présente néanmoins un caractère effectif que si le responsable des locaux ou le représentant qu'il a désigné à cette fin a été préalablement informé de son droit de s'opposer à la visite et mis à même de l'exercer. »

Or, après avoir relevé que les personnes responsables des locaux ayant fait l'objet des contrôles en cause n'avaient pas été informées de leur droit de s'opposer à ces visites, le seul visa de l'article 44 de la loi du 6 janvier 1978 prévoyant la faculté d'opposition étant jugé à cet égard insuffisant, le Conseil d'Etat conclut à l'irrégularité de la procédure et à l'annulation de la sanction infligée à son terme par la CNIL, en se fondant sur le droit au respect du domicile protégé par l'article 8 de la CESDH.

3. L'application de l'article 8 de la Convention Européenne des Droits de l'Homme aux locaux professionnels

En appliquant l'article 8 de la CESDH au cas d'espèce, le Conseil d'Etat met en oeuvre la jurisprudence de la Cour de Strasbourg selon laquelle l'article 8 de la CESDH trouve à s'appliquer aux locaux professionnels des personnes morales.

Cette protection aux locaux professionnels des personnes physiques puis des personnes morales a été consacrée de manière progressive.

La CEDH a tout d'abord jugé que le terme « domicile » s'appliquait au domicile d'une personne physique qui constituait également le local de sa société , et qu'il pouvait dès lors y avoir ingérence dans le droit au respect du domicile au sens de l'article 8 de la Convention lorsqu'une perquisition y était effectuée.

Dans l'arrêt Niemietz contre Allemagne , la CEDH a ensuite reconnu un droit au respect du domicile professionnel, en tant que tel, des personnes physiques. Mais si la CEDH a pris soin de qualifier le cabinet d'avocat de domicile au sens de l'article 8 de la Convention dans l'affaire Niemietz, c'est notamment eu égard à la nature particulière de cette activité, et des documents examinés, dont la fouille abusive empiétait de manière disproportionnée sur d'autres droits garantis, en l'occurrence ceux visés à l'article 6 de la Convention Européenne des Droits de l'Homme, notamment les droits de la défense et le respect du secret professionnel.

Dans un arrêt Sociétés Colas Est contre France, la CEDH a ensuite consacré le droit au respect du domicile professionnel des personnes morales, estimant que les droits reconnus par l'article 8 de la Convention pouvaient être « interprétés comme incluant pour une société le droit au respect de son siège social, son agence ou ses locaux professionnels » , interprétation qui fut ultérieurement suivie par la Cour de Justice de Luxembourg .

Bien que la Cour de Strasbourg ait réservé l'application de cette garantie à « certaines circonstances », on peut regretter que ces circonstances restent pour l'heure indéterminées.

La Cour a par ailleurs émis la possibilité que le droit d'ingérence de l'autorité publique « puisse aller plus loin pour les locaux commerciaux d'une personne morale », que dans le cas du domicile d'une personne physique (arrêts Niemetz §31 et Sociétés Colas Est §49 précités).

Le Conseil constitutionnel, suivi par la juridiction pénale, a au demeurant déclaré applicable le droit à la protection du domicile au profit des personnes morales avant même la décision de la Cour Européenne.

C'est cette jurisprudence que semble aujourd'hui suivre le Conseil d'Etat en qualifiant les locaux visés par la visite de la CNIL, de « domicile » au sens de l'article 8 de la Convention, et en considérant que l'ingérence résultant d'un contrôle de la CNIL n'est pas proportionnée aux buts poursuivis.

Les effets d'une telle décision sont selon nous pourtant loin de contribuer au renforcement de la protection générale des droits de l'homme, s'agissant particulièrement du respect des droits encadrant le traitement automatisé des données à caractère personnel. Elle crée au contraire un déséquilibre entre la protection du domicile dont se prévalent les responsables des traitements de données, et la liberté individuelle des personnes dont les données personnelles font l'objet du traitement litigieux.

L'application des dispositions protectrices de la Convention Européenne des Droits de l'Homme, gardienne des libertés individuelles, aux personnes morales, a à cet égard été dénoncée par certains observateurs comme une « mercantilisation du contentieux européen des droits de l'Homme » . Cette conception extensive de l'article 8 risque en effet d'être instrumentalisée par des sociétés commerciales peu scrupuleuses, se prétendant victimes d'ingérence dans leur « domicile ».

4. L'existence de garanties suffisantes et adéquates encadrant les pouvoirs de visite

Le respect du domicile ayant pour corollaire son inviolabilité, les perquisitions domiciliaires opérées au domicile privé ou professionnel constituent une ingérence dans ce droit. De telles ingérences ne peuvent passer pour « nécessaires dans une société démocratique » que si le droit interne offre des garanties suffisantes contre les abus.

Ainsi, dans un arrêt Funke rendu contre la France en 1993, la CEDH a censuré la procédure de visite et de saisie douanière en vigueur sous le régime antérieur aux réformes de 1986 et 1989, estimant que les conditions prévues par la loi « apparaissaient trop lâches et lacunaires », particulièrement à défaut d'un mandat judiciaire, par rapport aux larges pouvoirs dont disposait l'administration, pour que les ingérences dans les droits du requérant fussent étroitement proportionnées au but légitime recherché.

Le même raisonnement a été adopté par la Cour dans sa décision Sociétés Cola Est précitée s'agissant de la procédure de saisie alors suivie par la Direction générale de la Concurrence, de la Consommation et de la Répression des Fraudes. La Cour a souligné les pouvoirs larges de l'administration, le défaut de mandat préalable du juge judiciaire, et l'absence d'officier de police judiciaire lors de la saisie.

Dans les arrêts du 6 novembre 2009, le Conseil d'Etat suit le même raisonnement et estime qu' « en raison de l'ampleur de ces pouvoirs de visite des locaux professionnels et d'accès aux documents de toute nature qui s'y trouvent que de l'imprécision des dispositions qui les encadrent, cette ingérence ne pourrait être regardée comme proportionnée aux buts en vue desquels elle a été exercée qu'à la condition d'être préalablement autorisée par un juge. »

Or, il convient tout d'abord de souligner que la Cour de Strasbourg n'a jamais formellement exigé l'existence d'un mandat judiciaire préalable comme pré-requis indispensable aux garanties nécessaires en cas d'ingérence dans le droit au respect du domicile. Rappelons également que les visites en question ne concernent que les locaux professionnels, à l'exclusion des domiciles privés de personnes physiques.

Attardons nous ensuite un instant sur l'ampleur alléguée des pouvoirs de visite de la CNIL.

D'après l'article 44 de la loi du 6 janvier 1978, dans le cadre de ces opérations, les membres ou agents de la CNIL ont accès aux lieux, locaux, enceintes, installations ou établissements servant à la mise en oeuvre d'un traitement de données à caractère personnel et qui sont à usage professionnel. Ils peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, recueillir tout renseignement et toute justification utiles, accéder aux programmes informatiques et aux données, ainsi qu'en demander la transcription. Ils peuvent être assistés d'experts.

Les contrôles ainsi opérés ne sauraient pour autant être assimilés au régime de la perquisition, qui implique la fouille intégrale des locaux, et permet d'effectuer des saisies et placement sous scellés, ce qui n'est pas le cas dans le cadre de la procédure déclenchée par la CNIL.

Le texte précise en outre que sont exclues de la visite les parties des locaux affectées au domicile privé, et que le parquet est informé de l'opération.

Qu'en est-il des autres types de visites domiciliaires prévues notamment en matière d'infractions économiques, en matière fiscale et douanière ?

S'agissant des procédures douanières, une distinction est opérée entre d'une part, le droit de visite domiciliaire (article 64 du Code des Douanes), soumis à une autorisation de l'autorité judiciaire et d'autre part, le droit de visite des locaux et lieux à usage professionnel (article 63 ter du Code des Douanes).

Il est intéressant de constater que l'article 63 ter qui permet la visite des locaux et lieux à usage professionnel en vue de la constatation des infractions douanières en matière de contrefaçon, ne prévoit ni d'autorisation judiciaire préalable ni la présence d'un officier de police judiciaire pendant l'opération, ni un quelconque droit d'opposition du responsable des lieux.

L'article 63 ter, alinéa 3, du Code des douanes, à l'instar de l'article 44 de la Loi du 6 janvier 1978 relatif au pouvoir de visite de la CNIL, prévoit uniquement l'information préalable du procureur de la République. Il ajoute toutefois que le procureur de la République peut s'opposer aux opérations.

Il suffit donc que des marchandises ou documents se rapportant à ces infractions soient “susceptibles” d'être détenus (C. douanes, art. 63 ter, al. 1). L'opération présente donc un caractère essentiellement administratif, puisque l'existence de soupçons concrets n'est pas exigée. Les agents des douanes peuvent ainsi procéder à la visite spontanément, comme c'est le cas des agents de la CNIL.

Notons également qu'en ce qui concerne les horaires de ces visites, l'article 63 ter prévoit par exemple que l'accès aux locaux a lieu entre 8 heures et 20 heures ou, en dehors de ces heures, lorsque l'accès au public est autorisé, ou lorsque sont en cours des activités de production, de fabrication etc. Les horaires de visite prévus à l'article 44 n'ont donc à notre sens rien de particulièrement choquant.

Enfin, et de la même manière que l'article 44 de la Loi du 6 janvier 1978, l'alinéa 6 de l'article 63 ter exclut expressément toute visite dans la partie des locaux et lieux à usage professionnel qui est également affectée au domicile privé.

S'agissant des enquêtes menées par la DGCCRF, il convient de souligner que les enquêtes prévues à l'article L450-3 du Code de Commerce conférant aux enquêteurs des pouvoirs de visite du même ordre que ceux de la CNIL (à distinguer des enquêtes plus approfondies prévues par l'article L450-4 du Code de Commerce et qui font l'objet d'une ordonnance du Président du Tribunal de Grande Instance), ne font l'objet d'aucune autorisation judiciaire et s'effectuent sans la présence d'un officier de police judiciaire.

On peut donc s'interroger sur l'opportunité de la décision du Conseil d'Etat et se demander si la haute juridiction administrative aurait statué dans le même sens s'agissant non pas de visites ayant pour cadre la recherche d'infractions commises contre des citoyens, mais la répression d'infractions douanières ou de pratiques anti-concurrentielles.

5. Portée des arrêts du 6 novembre 2009 : une réduction sensible des pouvoirs de la CNIL

Avec cette décision, qui intervient alors que l'activité juridictionnelle de la CNIL est en plein essor, les pouvoirs de contrôle de la CNIL se trouvent réduits de manière significative.

En énonçant que les personnes responsables des locaux visés doivent se voir expressément notifiées leur droit d'opposition avant toute visite, sous peine de vicier l'ensemble de la procédure et par voie de conséquence la sanction qui en découle, le Conseil d'Etat vide le pouvoir de visite de la CNIL de son efficacité et de son effet dissuasif.

Une telle exigence exclut en effet toute possibilité d'effet de surprise et ouvre largement la voie à une invocation dilatoire du droit d'opposition, facilitant la dissimulation des preuves et réduisant comme peau de chagrin le risque d'une quelconque sanction.

Le Conseil d'Etat relève qu'aucun texte « ne prévoit que le responsable du traitement soit prévenu de cette visite et puisse se faire assister de la personne de son choix ». Quant au responsable des locaux, l'article 62 du décret du 20 octobre 2005 prévoit que « lorsque la commission effectue un contrôle sur place, elle informe au plus tard au début du contrôle le responsable des lieux de l'objet des vérifications qu'elle compte entreprendre, ainsi que de l'identité et de la qualité des personnes chargées du contrôle.. »

Or c'est bien là que réside tout l'intérêt de la procédure de visite sur place de la CNIL. Les modalités de cette procédure visent précisément à éviter la disparition ou la dissimulation des éléments de preuve de pratiques contraires aux dispositions de la Loi Informatiques et Libertés.

On aimerait croire que le responsable du traitement des données à caractère personnel mette à profit le délai résultant de la mise en oeuvre de son droit d'opposition en se mettant en conformité avec la Loi du 6 janvier 1978.

Il apparaît pourtant plus réaliste de penser que ce laps de temps constituera l'occasion rêvée pour les responsables des traitements de données litigieux de dissimuler les fichiers et autres éléments de preuve le temps que la CNIL effectue la visite, sans pour autant renoncer à leur utilisation ultérieure.

On assisterait alors à une situation ubuesque dans laquelle la mise en oeuvre du droit d'opposition favoriserait la commission du délit d'entrave à l'action de la CNIL prévu à l'article 51 de la Loi du 6 janvier 1978, passible d'un an d'emprisonnement et de 15 000 euros d'amende, consistant notamment dans la dissimulation ou la destruction des éléments utiles à la mission de la CNIL.

6. Le législateur doit prendre ses responsabilités

Après une telle décision, le législateur se trouve donc face à une alternative :

- soit légiférer dans le sens de la décision du Conseil d'Etat en modifiant les dispositions de la loi du 6 janvier 1978, et en précisant que le droit d'opposition doit être expressément notifié à la personne responsable avant toute mise en oeuvre de la procédure. Nous sommes d'avis que cette option reviendrait à vider pour l'essentiel la procédure de sa substance et à affaiblir davantage le peu d'outils répressifs existant à l'encontre des contrefaisants en matière de protection des données à caractère personnel ;

- soit faire précéder la procédure de visite sur place d'une autorisation d'un magistrat de l'ordre judiciaire, délivrée sur requête dans le cadre d'une procédure non contradictoire, et supprimer la possibilité d'exercice du droit d'opposition une fois la procédure mise en oeuvre. Le magistrat ne pourrait ainsi autoriser l'opération que s'il existe des indices sérieux de violation des obligations, rassemblés de manière licite par la CNIL. Il appartiendrait donc à ce magistrat de vérifier que le recours à une visite domiciliaire n'est pas disproportionné.

Une telle option permettrait non seulement à la procédure de visite de la CNIL de conserver tout son intérêt mais enverrait également un signal fort, et souhaitable, dans le sens d'une politique de répression à la fois légitime et efficace, en matière de protection des données à caractère personnel.

Mots-clés: 

Ajouter un commentaire

Image CAPTCHA