La Commission Nationale de l’Informatique et des Libertés, ses moyens et ses limites
p. 261-265
Texte intégral
1Au cours de l’année 2010, la Commission Nationale de l’Informatique et des Libertés (CNIL) a fêté son trente-deuxième anniversaire. Autorité administrative indépendante, elle est chargée de veiller aux libertés des citoyens telles que le droit au respect de la vie privée. Dans l’optique d’une présentation brève, la CNIL est composée de dix sept membres dont douze sont élus par le corps législatif ou juridictionnel. Accompagnée de différents collaborateurs choisis par le Président de la CNIL, elle est censée dans le cadre de ses missions : informer et sensibiliser le public et veiller à la bonne application des législations en exerçant tant son pouvoir de contrôle que de sanction.
2Si la longévité d’une institution est un signe d’efficacité par rapport à son objet, la CNIL reste encore une institution jeune. Si lors de sa création en 1978, par la loi Informatique et Libertés1, la CNIL était un organisme particulièrement innovant dans le contexte technologique de cette époque, elle ne semble pas avoir évolué aussi rapidement que les technologies de l’information et de la communication.
3L’émergence des technologies change indéniablement le comportement d’une société. Ces nouveaux outils ont cette particularité de s’intégrer rapidement dans la vie quotidienne des citoyens modifiant leurs habitudes, améliorant leur quotidien. Les outils que la technique génère, deviennent multiples, efficaces et utilisés à toute fin tant par le secteur public que privé. La sphère privée de chaque individu se retrouve éclatée et les informations collectées sont utilisées à leur insu. Face à l’expansion d’une surveillance globalisée, la CNIL peine à asseoir sa fonction principale, qu’est la protection des libertés.
4La principale limite de cette institution réside essentiellement dans sa forme. Autorité administrative indépendante, la CNIL est marquée par une ambiguïté originelle, sa nature administrative excluant toute indépendance organique à l’égard de l’administration. Elle reste donc soumise aux impératifs du gouvernement en place. De ce fait, protéger le citoyen contre les dérives potentielles d’une surveillance globale générée par l’État devient complexe.
5Les pouvoirs institués par le législateur sont peu effectifs, voire inexistants envers l’État. Son pouvoir d’avis conforme pouvait potentiellement imposer la CNIL dans les activités de l’État. Or, ce pouvoir a été supprimé par la modification de la loi Informatique et Liberté, le 6 août 2004. Dès lors, la CNIL ne peut se faire entendre auprès de l’État. Elle se retrouve alors impuissante au regard du pouvoir étatique. Si la loi de 1978 donnait à la CNIL le pouvoir de contrôler a priori les fichiers publics, la loi du 6 août 2004 lui a fait perdre ce contrôle des fichiers administratifs et policiers, vaste source d’informations pour l’État. Seul son avis consultatif dans ce domaine demeure.
6Devant l’émergence des fichiers institués par l’État, tels que le Système de Traitement des Infractions Constatées (STIC)2, la CNIL ne dispose que de sa faculté d’émettre des avis non contraignants. Il est à rappeler que son pouvoir d’émettre des avis peut sembler mince si l’on s’en tient à l’exemple même du fichier CRISTINA. La CNIL, dans sa délibération n° 2008-177 du 16 juin 2008 portant avis sur le projet de décret portant création au profit de la direction centrale du renseignement intérieur d’un traitement automatisé de données à caractère personnel dénommé « CRISTINA » émet un avis favorable avec réserves. Publiée au Journal Officiel (JO) n° 0152 du 1er juillet 2008, cette délibération n’exprime en aucun cas l’avis de la CNIL, aucun détail n’étant relaté. De ce fait, il est difficile de connaître l’opinion de la CNIL sur ce sujet.
7Si la CNIL semble satisfaite de l’apport de la loi du 12 mai 2009 de simplification et de clarification du droit et d’allègement des procédures, dans son article 104 qui est de publier ses avis, cela ne restera pas suffisant au regard de son influence envers l’État.
8L’émergence de la vidéosurveillance instituée par l’État pour des finalités sécuritaires n’est pas au niveau du contrôle, de la compétence exclusive de la CNIL. La loi du 21 Janvier 1995 lui a retiré sa compétence sur la question de la vidéo surveillance sauf dans le cas où les enregistrements donnent lieu à un fichier nominatif, et la vidéo surveillance dans les lieux non ouverts au public3. Le contrôle a posteriori échappe à la CNIL, seules les commissions départementales de vidéo surveillance sont compétentes. Malgré l’apparition de débats, tendant à l’unique compétence de la CNIL dans ce domaine, on ne peut qu’envisager un contrôle minimal, par ailleurs non applicable à l’État. Elle ne pourrait que constater a posteriori un manquement, sans pouvoir émettre une quelconque sanction à l’égard de l’État.
9Dès lors, la CNIL, vis-à-vis de l’État, n’est qu’un organe transparent, dépossédée de ses pouvoirs. Si la CNIL est impuissante pour ce qui est des actions de l’État, que dire de son contrôle envers les entreprises ? Le secteur privé collecte une multitude de données personnelles, à l’insu des citoyens. La loi Informatique et Liberté de 1978 encadre pourtant cette collecte. La CNIL quant à elle, est chargée d’en contrôler la bonne application.
10La CNIL peut certes, procéder à des vérifications au sein des entreprises. Pour ce faire, elle peut diligenter des enquêtes et utiliser son pouvoir de sanction allant d’un simple avertissement à une sanction pécuniaire. La CNIL peut aussi mettre en demeure un responsable de traitement ne respectant pas la loi, informer le Procureur de la République en cas d’atteintes graves aux libertés. Enfin, elle dispose d’un pouvoir d’injonction de faire cesser le traitement en cause. Pourtant, la composition exclusivement parisienne de la CNIL tend à réduire l’ampleur de ses missions sur le territoire français. Son personnel limité à une centaine de personnes rend son pouvoir de contrôle peu effectif en pratique. Ses homologues européens sont sur ce point, mieux dotés en terme de moyens. À titre d’illustration, l’Allemagne et le Royaume-Uni, disposent pour leurs autorités de contrôles, de respectivement, 400 et 270 personnes environ. La CNIL est également en dernière place pour son budget qui paraît fort mince en comparaison de celui attribué aux autorités de contrôles des États membres de l’Union européenne. On peut déduire que la CNIL n’exercera qu’un contrôle accessoire et insuffisant à l’égard des entreprises.
11L’apparition du concept des Correspondants Informatique et Libertés durant l’année 2004 permettant aux entreprises de simplifier les démarches auprès de la CNIL et de veiller à la bonne application de la loi Informatique et Libertés s’avère être un échec, sa désignation étant actuellement facultative. Si sa présence s’avèrerait obligatoire, le contrôle a priori ne serait que partiel, car cantonné au simple comportement d’une entreprise. La mise en place obligatoire d’un Correspondant Informatique et Libertés poserait nécessairement des problèmes d’effectivité et ne concernerait pas l’intégralité du secteur privé4.
12Pour ce qui est du contrôle a posteriori à l’égard des entreprises, les membres de la CNIL se réunissent une fois par mois pour examiner les dossiers issus de plaintes et statuent sur les démarches à effectuer, sous entendant un éventuel contrôle des entreprises en cause. L’élément déclencheur d’un contrôle effectué par la CNIL passe nécessairement par le dépôt d’une plainte d’un citoyen. Au vu des moyens peu nombreux de la CNIL, on peut supposer que plusieurs plaintes envers une entreprise, doivent être déposées avant le lancement d’un contrôle au sein de l’entreprise ne respectant pas les principes nés de la loi Informatique et Liberté de 1978. Dès lors, la présence de la CNIL auprès des entreprises s’avère minimale. Malgré le fait que les plaintes augmentent d’années en années, la CNIL ne dispose pas de moyens nécessaires pour pouvoir y répondre de manière efficace, une plainte nécessitant parfois des investigations poussées. C’est ainsi que la CNIL met parfois plus d’une année pour donner suite à une plainte reçue.
13Dans le cadre de son 29e rapport de l’année 2008, la CNIL fait état d’une augmentation des plaintes de 25 % par rapport à l’année 2007. Au cours de l’année 2008, la CNIL a contrôlé environ deux cent entreprises et a utilisé son pouvoir de sanction pécuniaire à l’encontre de neuf entreprises allant de 100 euros à 30 000 euros d’amendes.
14Considérant la multitude d’entreprises présentes sur le territoire, le contrôle effectif de la CNIL contre les atteintes potentielles de la surveillance, s’avère insuffisant. Prenant en compte, les capacités pour les entreprises de collecter des données telles que les moyens de communications électroniques, l’utilisation de cartes de fidélité, les procédés de prospection et autres, la CNIL est face à de grandes difficultés pour remplir sa mission qui est de protéger les citoyens. Or, un organe de contrôle se doit d’être crédible aux yeux des citoyens qu’il est censé protéger. Les missions d’information et de pédagogie de la CNIL envers les citoyens tendent à rassurer une population qui n’a pas conscience d’une société de surveillance déjà établie. Malgré les efforts de la CNIL, celle-ci peine à se faire entendre au sein du public. Un semblant de publicité et d’intervention au sein des médias ne suffisent pas à combler ce déficit d’audience. La CNIL censée être établie afin de protéger nos libertés telles que le droit au respect de la vie privée, manque de puissance. Elle ne dispose pas de moyens nécessaires à cette tâche, et même dans le cas contraire, la perspective internationale de la surveillance pose des difficultés d’efficacité liées à l’absence d’harmonisation de règles protectrices des libertés dans ce domaine et d’un organe international compétent pour coordonner leur mise en œuvre.
Notes de bas de page
1 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
2 Officialisé par le décret n° 2001-583 du 5 juillet 2000, 1e STIC est un fichier national destiné à enregistrer toutes informations recueillies lors de procédures établies par les services de police.
3 Loi n° 95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité.
4 M. Yves Detraigne et Mme Anne-Marie Escoffier, Proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, enregistré à la Présidence du Sénat le 6 novembre 2009.
Auteur
Juriste d'affaires, diplômée en Droit du Cyberespace (Lille 2).
Le texte seul est utilisable sous licence Licence OpenEdition Books. Les autres éléments (illustrations, fichiers annexes importés) sont « Tous droits réservés », sauf mention contraire.
L’Allemagne change !
Risques et défis d’une mutation
Hans Stark et Nele Katharina Wissmann (dir.)
2015
Le Jeu d’Orchestre
Recherche-action en art dans les lieux de privation de liberté
Marie-Pierre Lassus, Marc Le Piouff et Licia Sbattella (dir.)
2015
L'avenir des partis politiques en France et en Allemagne
Claire Demesmay et Manuela Glaab (dir.)
2009
L'Europe et le monde en 2020
Essai de prospective franco-allemande
Louis-Marie Clouet et Andreas Marchetti (dir.)
2011
Les enjeux démographiques en France et en Allemagne : réalités et conséquences
Serge Gouazé, Anne Salles et Cécile Prat-Erkert (dir.)
2011
Vidéo-surveillance et détection automatique des comportements anormaux
Enjeux techniques et politiques
Jean-Jacques Lavenue et Bruno Villalba (dir.)
2011