Données personnelles : vers un renforcement des contrôles de conformité à la loi Informatique et Libertés (fr)

Un article de la Grande Bibliothèque du Droit, le droit partagé.
France > Droit du numérique > Droits de l'Homme et libertés fondamentales
Fr flag.png

Auteurs : Bénédicte Deleporte et Betty Sfez,
Avocates au barreau de Paris
Deleporte Wentz Avocat
Publié le 10/03/2014 sur le blog du cabinet Deleporte Wentz Avocat


La loi relative à la consommation (“loi Hamon”), votée le 13 février 2014, doit entrer en vigueur après sa validation par le Conseil constitutionnel. Cette loi comporte des dispositions très diverses, portant notamment sur l’action de groupe, la protection des consommateurs (transposant la directive européenne relative aux droits des consommateurs du 25 octobre 2011), la vente de lunettes en ligne, etc[1].

Parmi ces dispositions figurent des mesures visant à renforcer les pouvoirs de contrôle des autorités en matière conformité des traitements de données personnelles à la réglementation. Le texte prévoit ainsi la possibilité, d’une part, pour la Commission Nationale de l’Informatique et des Libertés (CNIL) d’effectuer, à distance, des contrôles de conformité à la loi Informatique et Libertés, et d’autre part, pour les agents de la DGCCRF de constater des manquements à la réglementation sur la protection des données personnelles.

En quoi ces contrôles consistent-ils ? Quelle est l’étendue des pouvoirs de contrôle respectifs de la CNIL et de la DGCCRF ? Quelles sont les risques de sanctions en cas de non-conformité ? Nous faisons un point ci-après sur ces nouvelles dispositions légales.


1. Les contrôles de conformité à la loi Informatique et Libertés effectués par la CNIL

Sous réserve de validation de ces dispositions par le Conseil constitutionnel, la CNIL pourra désormais réaliser des contrôles de conformité à la loi sur place, mais également à distance.


Le droit en vigueur : les contrôles sur place

Depuis la modification de la loi Informatique et Libertés en 2004, les agents de la CNIL sont habilités à effectuer des contrôles sur place, c’est à dire dans les locaux des entreprises à partir desquels des traitements de données personnelles sont mis en oeuvre[2].

Ces contrôles sont généralement réalisés à la suite de plaintes d’utilisateurs et de manière inopinée. Sauf urgence ou gravité particulière, le responsable des locaux contrôlés a la possibilité de s’opposer à la visite de contrôle. Dans ce cas, la visite ne peut se dérouler qu’après l’autorisation d’un juge des libertés et de la détention. La visite devra être effectuée en présence de l’occupant des lieux, éventuellement assisté d’un conseil.

Les agents de la CNIL peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données afin de vérifier la conformité à la loi ou encore se faire assister par des experts.

A l'issue du contrôle, un procès verbal des vérifications et visites menées est dressé contradictoirement et doit être signé par les agents de la CNIL et le responsable des lieux.


Les contrôles en ligne

La loi Hamon, relative à la consommation modifie la loi Informatique et Libertés (article 105) afin de permettre à la CNIL de constater, à distance, les infractions à la réglementation . Cette nouvelle possibilité de contrôle à distance a pour objet de pouvoir multiplier les contrôles de conformité de sites web, sans pour autant démultiplier les ressources de la CNIL et les coûts associés.

Ainsi, les agents de la CNIL pourront désormais : (i) procéder à toute constatation utile à partir d’un service de communication au public en ligne, (ii) consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données, le temps nécessaire aux constatations ; et (iii) retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

S'agissant du procès-verbal de contrôle, la loi précise dorénavant qu’il “est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place”. Ceci implique, a contrario, que le procès-verbal est dressé de façon unilatérale lorsque les investigation de la CNIL sont réalisées à distance. Le nouveau texte de loi prévoit donc un procès-verbal notifié a posteriori simplement pour observation.

Dès lors, ce texte confère à la CNIL un pouvoir d'investigation très important puisque les contrôles en ligne seront menés sans que le droit d'opposition du responsable de traitement puisse s’exercer au moment du contrôle, sans que le responsable du site en soit informé et, sans qu'un procès verbal contradictoire soit établi. Comme précisé plus haut, la loi est actuellement en cours d’examen par le Conseil constitutionnel. Il est possible que cette disposition fasse l’objet de remarques par le Conseil sur sa mise en oeuvre.


2. Les nouveaux pouvoirs de contrôle par les agents de la DGCCRF

L’article 76 de la loi modifie le Code de la consommation (article L.141-1) et prévoit ainsi que les agents de l’autorité administrative chargée de la protection des consommateurs : - sont habilités, lors de leurs contrôles relatifs à la protection économique des consommateurs, à constater les infractions et manquements à la loi Informatique et Libertés, et - peuvent communiquer ces constatations à la CNIL.

Les manquements constatés visent la licéité des traitements de données, les formalités préalables obligatoires, les obligations incombant aux responsables de traitement et les droits des personnes concernées par le traitement de leurs données.

Toutefois, cet article ne définit pas les suites à donner une fois qu’un constat de non-conformité aura été établi, ni ne prévoit la possibilité pour les agents de prononcer des sanctions. Le texte dispose simplement que les agents sont “habilités à constater” et qu’ils peuvent rendre compte des manquements à la CNIL.

En pratique, en cas de manquements à la loi, les agents de la DGCCRF communiqueront en principe les résultats de leurs constatations à la CNIL, afin que celle-ci puisse prendre les mesures appropriées (contrôler, voire sanctionner les entreprises ne respectant pas la loi). Ce texte consacre donc une coopération entre les deux autorités.

La coopération entre la CNIL et la DGCCRF a déjà été abordée à deux reprises : en janvier 2011, la CNIL et la DGCCRF avaient signé un protocole de coopération, permettant l’échange d’informations entre les deux autorités afin de renforcer la protection des données personnelles des consommateurs sur les sites marchands ; en juin 2011, un projet de loi renforçant les droits des consommateurs prévoyait également la possibilité pour les agents de la DGCCRF de relever les manquements à la loi Informatique et Libertés et de les signaler à la CNIL[3]. Ce projet de loi de 2011 n’a pas abouti.


3. Les risques encourus par le responsable de traitement en cas de non-conformité à la loi Informatique et Libertés

A l’issue du contrôle et lorsque des manquements à loi Informatique et Libertés sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une sanction pécuniaire d’un montant maximal de 150.000€(allant jusqu’à 300.000€ en cas de récidive), une injonction de cesser le traitement ou un retrait de l’autorisation éventuellement accordée par la CNIL.

La CNIL peut également rendre publiques les sanctions qu’elle prononce, en procédant à leur publication sur son site ou en ordonnant leur insertion dans la presse, aux frais de l’organisme sanctionné. Cette dernière sanction est, de toute évidence, susceptible de nuire à l’image de marque de l’entreprise concernée.

Indépendamment des sanctions administratives, l'entreprise qui n'a pas mis en place des mesures de sécurité suffisantes pour protéger les données personnelles est passible de sanctions pénales pouvant atteindre 300.000€ d’amende et cinq ans d'emprisonnement.


Ces deux nouvelles mesures de contrôle de conformité à la loi Informatique et Libertés devraient entraîner un accroissement du nombre de contrôles par la CNIL et, par voie de conséquence, des procédures de sanction pour non-conformité à la loi. Il appartient donc aux responsables de traitement de données de s’assurer de la conformité des traitements réalisés et si nécessaire, de faire procéder à des audits de conformité à la loi Informatique et Libertés.


Notes et références

  1. Loi du 13 février 2014 relative à la consommation, actuellement examinée par le Conseil constitutionnel Directive 2011/83/UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux droits des consommateurs
  2. Voir notamment article 44 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée
  3. Communiqué CNIL du 6 janvier 2011 : “La CNIL et l'ARJEL s'associent pour contrôler les opérateurs de jeux en ligne” et notre article sur le sujet http://dwavocat.blogspot.fr/2011/07/le-renforcement-des-controles-de-la.html ; Projet de loi renforçant les droits, la protection et l'information des consommateurs n°3508, déposé le 1er juin 2011

Voir aussi

« Erreur d’expression : opérateur / inattendu. » n’est pas un nombre.