POUVOIRS DE CONTROLE
En application de l’article 11 de la loi 78-17 du 6 janvier 1978 modifiée, la Cnil peut faire procéder à des contrôles dans les espaces où sont mis en œuvre des traitements de données à caractère personnel.
Ainsi, les membres et agents de la Cnil ont accès, de 6 heures à 21 heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en oeuvre d'un traitement de données à caractère personnel, et qui sont à usage professionnel. Le Procureur de la République doit être informé au préalable de la visite des lieux et le responsable de ces lieux peut s'y opposer.
Interprétant ces dispositions alors applicables à la lumière des stipulations de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales qui garantissent, en particulier, le respect du domicile, le Conseil d'Etat a estimé que, si l'intervention du juge pour autoriser et contrôler la visite en cas d'opposition du responsable des lieux constitue une garantie suffisante au regard de l'équilibre entre les exigences du respect du domicile et l'ingérence de l'autorité publique pour des motifs d'intérêt public, encore faut-il que le responsable des lieux ait été dûment informé de la faculté de s'opposer à la visite et mis à même d'exercer celle-ci (CE du 6 novembre 2009 nos 304300 et 304301 : BS 2/10 inf. 203).
La loi ordinaire relative au défenseur de droits (à ne pas confondre avec la loi organique relative à ce défenseur adoptée le même jour) remanie donc les modalités de déroulement des visites de contrôle de la Cnil afin de tenir compte de ces réserves.
Désormais la Cnil devra systématiquement informer le responsable des locaux professionnels privés de son droit d’opposition à la visite.
En cas d’opposition, celle-ci ne pourra se dérouler qu’après l’autorisation du juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter, qui statuera dans des conditions à fixer par décret en Conseil d’État.
Toutefois, lorsque l’urgence, la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifiera, la visite pourra avoir lieu, sur autorisation du juge des libertés et de la détention, sans que le responsable des lieux en soit préalablement informé ni puisse s’y opposer. Ces dispositions visent en particulier les contrôles réalisés dans le cadre de l'instruction d'une plainte reçue par la commission.
Les modalités du contrôle proprement dit sont, par ailleurs, précisées.
La visite s’effectuera sous l’autorité et le contrôle du juge des libertés et de la détention qui l’a autorisée, en présence de l’occupant des lieux ou de son représentant qui pourra se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins indépendants des personnes chargées de procéder au contrôle.
POUVOIRS DE SANCTION
La possibilité de prononcer des sanctions à l'encontre des responsables de traitement qui ne respectent pas les obligations découlant de la loi du 6 janvier 1978 est désormais réservée à la formation restreinte de la Cnil.
Cette formation pourra prononcer, après une procédure contradictoire, un avertissement ayant nature de sanction à l’égard du responsable d’un traitement qui ne respecte pas les obligations découlant de la loi informatique et libertés.
En cas d’urgence, c'est-à-dire si la mise en oeuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits et libertés, la formation restreinte pourra, après une procédure contradictoire, et selon des modalités à fixer par décret en Conseil d’Etat, prononcer un avertissement ou décider, selon le cas, soit l’interruption de la mise en oeuvre du traitement, soit le verrouillage de certaines données, pendant une durée maximale de trois mois.
Afin de renforcer le caractère dissuasif des sanctions, la possibilité de les rendre publiques est généralisée. Ces sanctions pourront, en particulier, être insérées, aux frais des personnes sanctionnées, dans des publications, journaux ou autres supports, y compris en l'absence de mauvaise foi du responsable de traitement.
ENTREE EN VIGUEUR
Les dispositions qui précèdent entreront, en principe, en vigueur le lendemain de la publication de la loi organique relative au Défenseur des droits, cette dernière ne pouvant intervenir qu’après décision du Conseil Constitutionnel, saisi par le Premier ministre ainsi qu’il y est obligé par la Constitution.
Leur application effective dépendra cependant, en pratique, de la parution des décrets d’application nécessaires.
Source: Editions Francis Lefebvre
