Les propositions de la CNIL en vue du projet de loi numérique

Alors que la présentation du projet de loi numérique d’Axelle Lemaire est prévue pour le trimestre prochain, la Commission nationale de l’informatique et des libertés (CNIL) a dévoilé hier les propositions qu’elle avait fait au gouvernement en vue de l’élaboration de ce texte : droit à l’oubli pour les mineurs, action collective pour les litiges relatifs aux données personnelles, renforcement de son pouvoir de sanction, etc. Tour d’horizon des mesures qui pourraient potentiellement se retrouver prochainement devant le Parlement.

Cela fait maintenant près de deux ans que le gouvernement promet la présentation devant le Parlement d’un projet de loi consacré au numérique, avec une priorité : la protection des données personnelles. Le périmètre de ce fameux texte, tout d’abord porté par Fleur Pellerin (alors ministre déléguée à l’Économie numérique), s’est progressivement affiné. La secrétaire d’État au Numérique Axelle Lemaire nous expliquait ainsi en juin dernier qu’outre un volet effectivement consacré à la question des données personnelles, deux autres parties de ce projet de loi traiteraient de l’innovation et de la modernisation de l’action publique – via l’ouverture des données publiques notamment.

Si le Conseil national du numérique mène depuis le mois d’octobre une grande concertation visant à influencer l’élaboration de ce texte, le gouvernement n’a pas attendu pour consulter l’une des principales institutions intéressée par le mouvement qui s’annonce : la CNIL. La gardienne des données personnelles a d’ailleurs dévoilé hier plusieurs propositions d’évolution législative présentées en mars 2014 à l’exécutif. Son objectif est désormais de contribuer au débat public précédant la présentation de ce fameux projet de loi numérique, dont devraient d’ailleurs débattre les députés cet après-midi dans l’hémicycle (voir notre article).

La CNIL prône des modifications de la loi Informatique et Libertés de 1978 selon quatre axes principaux :

• Un renforcement de l’effectivité des droits pour les personnes,
• L’amélioration du cadre juridique de certains traitements publics (fichiers de police ou de renseignement...),
• Une saisine plus systématique de la CNIL,
• L’adaptation des pouvoirs et du fonctionnement de l’autorité administrative, notamment en matière de sanctions.

L’institution prévient cependant d’emblée que la tâche des pouvoirs publics s’annonce délicate, compte-tenu du contexte législatif. La Commission rappelle ainsi que les discussions relatives au projet de règlement européen sur les données personnelles sont toujours en cours, et que « les modifications éventuelles de la loi informatique et libertés devront naturellement être compatibles avec le règlement à venir ». En attendant l’adoption définitive de ce texte, prévue pour cette année, il faudra donc continuer à respecter le « cadre juridique actuel, issu de la directive de 1995, que les modifications ne sauraient contredire ».

La CNIL plaide pour un « droit à l’oubli » pour les mineurs

Relevant que le futur règlement européen « prévoit de nouveaux droits au bénéfice de l’individu (droit à l’oubli, à la portabilité des données, etc.) », la CNIL se limite à formuler deux propositions pouvant « d’ores et déjà être retenues à cadre européen constant ».

Tout d’abord, l’institution prône la consécration d’un « droit à la connaissance de ses données », qui serait le prolongement de l’actuel droit d’accès prévu par l’article 39 de la loi Informatique et Libertés. Ses dispositions seraient modifiées « pour donner aux individus un accès aux informations relatives aux durées de conservation et, de manière plus systématique, sur l’origine des données ». La CNIL demande également à ce que les personnes soient explicitement autorisées à exercer ce droit sur simple email, de même qu’en cas d’opposition à un traitement de données personnelles ou pour une demande de rectification.

Deuxièmement, la Commission estime qu’il faudrait introduire dans la loi de 1978 des dispositions spécifiques aux mineurs. Elle plaide en particulier pour un « droit à l’oubli » qui s’appliquerait à « toute donnée collectée, traitée ou mise en ligne avant les 18 ans de la personne concernée ». Via leur droit d’opposition, les individus seraient alors en droit d’obtenir l’effacement de données à caractère personnel (dans un moteur de recherche, sur un réseau social, etc.). « Il conviendrait, soit de prévoir que l’exercice d’un tel droit est inconditionnel s’agissant des données portant sur une personne mineure (ce qui reviendrait à supprimer l’exigence d’un « motif légitime », actuellement prévu à l’article 38, dans cette hypothèse), soit de considérer que le fait que les données portent sur une personne, mineure constitue en soi un motif légitime. »

Un meilleur contrôle des fichiers de police ou de renseignement

À la lumière des révélations d’Edward Snowden, la CNIL juge qu’il est aujourd’hui « nécessaire de donner des garanties supplémentaires au public en matière de contrôle des fichiers de souveraineté ». L’institution vise ici les fichiers des services de renseignement français, qui passent en dehors de son radar, l’article 44 de la loi Informatique et Libertés prévoyant des dispenses pour les « traitements intéressant la sûreté de l’État ». L’autorité administrative propose de ce fait « d’étendre à ces fichiers le contrôle par la CNIL, selon des modalités tenant compte de leurs spécificités (contrôle par les seuls commissaires du droit d’accès indirect, qui ont déjà accès à ces fichiers, selon la procédure ‘confidentiel défense’, avec résultats communiqués au seul ministre de tutelle et au Premier ministre) ».

Dans le même rayon, mais pour des fichiers moins « sensibles », la Commission demande à ce que le projet de loi numérique donne un accès direct aux personnes non mises en cause à quelque titre que ce soit (victimes, plaignants...) aux « données contenues dans les fichiers d’antécédents judiciaires », tels que le STIC par exemple. La difficulté consiste ici à garantir les droits des personnes tout en empêchant qu’un individu mis en cause dans une affaire sache exactement ce que les services de police savent sur lui.

La CNIL veut être davantage saisie

La CNIL, qui avait par exemple regretté de ne pas avoir été saisie du contesté article 20 de la loi de programmation militaire, voudrait éviter que ce type d’incident ne se reproduise. Actuellement, l’institution doit être consultée par le gouvernement pour « tout projet de loi ou de décret relatif à la protection des données personnelles ». Problème : cette formulation conduit « parfois à des interprétations divergentes, affirme la Commission, la création d’un fichier par la loi n’étant pas toujours regardée comme relevant de la « protection » des données personnelles au sens de cet article ».

Avec des mots très policés, l’autorité administrative demande dès lors à ce que le projet de loi numérique opère « une clarification » du périmètre de ces saisines. Sous-entendu, afin qu’elle soit systématiquement sollicitée dans davantage de situations. On notera au passage que la gardienne des données personnelles n’évoque pas le cas de ces traitements mis en œuvre par l’exécutif sans attendre l’autorisation de la CNIL, à l’image de ce qu’il s’était passé pour le dispositif de signalement à l’IGPN, la police des polices (voir notre article). Rappelons également que ses avis sont purement consultatifs, puisqu'ils ne lient pas le gouvernement.

Une autre proposition similaire consiste à donner la possibilité aux présidents de l’Assemblée nationale et du Sénat de saisir la Commission pour avis, et ce sur les propositions de loi (préparées donc par les parlementaires). « Une telle faculté serait enfermée dans des délais spécifiques afin de ne pas ralentir la procédure parlementaire » promet la gardienne des données personnelles.

Renforcement de la CNIL : des amendes plus élevées, des procédures accélérées...

Reconnaissant « certaines faiblesses » quant à son action, l’institution plaide pour différentes évolutions législatives à même « de rendre la politique de contrôle et de sanction de la Commission plus crédible, efficace et rapide ». La plus symbolique de ces propositions est peut-être celle concernant le montant maximal des sanctions que la CNIL peut infliger, qui est aujourd’hui de 150 00 euros. Une goutte d’eau pour une entreprise comme Google, qui avait d’ailleurs écopé d’une telle amende il y a tout juste un an.

L’autorité administrative réclame sans grande surprise une augmentation de ce seuil, tout en se gardant bien de prendre position en faveur d’un quelconque chiffre. Elle évoque simplement un montant qui « pourrait utilement être exprimé en valeur absolue et en pourcentage du chiffre d’affaires, ce double plafond étant de nature à couvrir les hypothèses où il n’y a pas de chiffre d’affaires (associations, par exemple) et à garantir, dans les autres cas, la proportionnalité du dispositif par rapport à la capacité financière de l’entité sanctionnée ».

Ce dispositif permettrait d’anticiper l’adoption du règlement européen, la CNIL expliquant que le projet actuel « prévoit une augmentation substantielle du niveau de sanction (5 % du chiffre d’affaires mondial dans la limite d’un milliard d’euros dans la version de compromis adoptée par le Parlement européen) ». Ces dispositions ne sont cependant pas censées entrer en vigueur avant deux ans.

Pour les cas les plus urgents, la CNIL demande à ce que son président puisse directement saisir la formation restreinte de l’institution, la seule à même de décider d’éventuelles sanctions pécuniaires. Actuellement, il faut préalablement que l’autorité administrative adresse une mise en demeure au responsable du traitement, ce qui ralentit les procédures. Ce type de raccourci pourrait également être autorisé pour les situations dans lesquelles le manquement n’appelle plus de correction.

Avec davantage de pincettes, la Commission demande à ce qu’une étude juridique approfondie soit menée, afin d’examiner dans quelle mesure son bureau pourrait, dans les cas les plus urgents et les plus graves, ordonner directement la suspension du traitement litigieux « jusqu’à ce que la mise en conformité soit effective ou que la formation restreinte se soit prononcée ». « Actuellement, est-il expliqué, lorsqu’un traitement est mis en œuvre illégalement ou porte une atteinte grave à la vie privée, seule la formation restreinte peut ordonner la cessation de celui-ci, au terme d’une procédure de mise en demeure puis sanction. Le président de la CNIL peut donc mettre en demeure un responsable de traitement de se mettre en conformité, tout en laissant « vivre » un traitement illégal pendant ce temps. »

Il est ensuite question d’une arme très peu utilisée par la gardienne des données personnelles : la possibilité de demander au juge des référés, « en cas d'atteinte grave et immédiate », d'ordonner « toute mesure de sécurité nécessaire à la sauvegarde » du droit à la vie privée ou aux libertés publiques et individuelles. L’institution propose ici de supprimer les mots « de sécurité » pour que la CNIL puisse saisir le juge des référés « de toute demande tendant, notamment, à l’exécution de ses décisions de sanctions ou à la suspension d’un traitement ».

Action collective pour la protection des données personnelles

La dernière proposition portée par la Commission fut également soulevée dans le récent rapport du Conseil d’État, et vise à la mise en place d’une action collective spécifique aux litiges relatifs à la protection des données personnelles. Et pour cause, les actions de groupe prévues par la loi Hamon sur la consommation ne s’appliquent pas à de tels cas de figure (fuite de données d’un réseau social, etc.). L’autorité administrative relève toutefois que « la question se pose de savoir si une telle action spécifique doit être introduite à l’occasion du projet de loi numérique, ou si elle a vocation à constituer une déclinaison d’une action collective qui serait inscrite dans un cadre plus général », sous-entendu au travers d’un autre véhicule législatif.

Cette piste semble quoi qu’il en soit avoir retenu l’attention de l’exécutif, puisqu’elle fut évoquée en novembre lors d’une réunion interministérielle consacrée au projet de loi numérique. Le renforcement du pouvoir de sanction de la CNIL fut également mis sur la table, de même que la question de la saisine de l’institution (qui pourrait s’auto-saisir, outre une saisine élargie à tous les textes ayant trait aux « libertés numériques »). S’agissant des autres thématiques, différentes pistes ont été étudiées, telles que l’introduction dans notre droit d’un principe de neutralité des réseaux. Il est cependant impossible pour l’heure de savoir ce qui sera finalement retenu par le gouvernement.

Notons enfin que d’une manière plus large, la CNIL affirme dans ses propositions à l’attention de l’exécutif que le débat autour de ce projet de loi pourrait « être utilement complété par une réflexion sur la constitutionnalisation du droit à la protection des données personnelles ». Sauf qu’une modification de la Constitution s’avère bien plus complexe à mettre en oeuvre que l’adoption d’une loi ordinaire, puisqu’à défaut d’en passer par un référendum, le président de la République doit faire voter les réformes constitutionnelles par les trois cinquièmes des membres du Parlement réunis en Congrès, chose plus que délicate actuellement eu égard à la composition politique des deux assemblées. 

• Consulter l'intégralité des propositions législatives de la CNIL (PDF).