Droit Des Nouvelles Technologies de l'information et de la communication

DROIT DES NOUVELLES TECHNOLOGIES DE L’INFORMATION

ET DE LA COMMUNICATION

Cours du jeudi 28 octobre 2010

Contrôle a priori de la CNIL : elle contrôle avant que le fichier ne soit mis en œuvre. Pouvoir de contrôler les déclarations que les entreprises ou les administrations font à la cnil.

Contrôle a posteriori : contrôle sur place, d’instruction de plainte, et prononciation de sanctions. Possibilité qu’à la cnil au-delà de son contrôle sur pièces, de contrôler sur le terrain les conditions dans lesquels un fichier est mis en œuvre.

Plainte : à la cnil il y a un service des plaintes, qui a vocation à recevoir les réclamations adressées par les personnes fichées. C’est en réalité un service de règlement amiable des litiges. Tout citoyen peut écrire un courrier au service des plaintes, qui est tenu de par la loi, de procéder à des investigations. Va faire une réponse à la personne concernée : si l’inscription dans le fichier a été faite à tort, va demander à l’organisme de déficher. Reglt amiable des litiges.

Contrôle sur place de la CNIL : possibilité qu’ont les agents de la CNIL d’aller faire des perquisitions directement dans les entreprises ou les administrations. Contrôles de la cnil faits pour deux raisons : constater une infraction et dans un objectif d’audit (essayer de comprendre comment fonctionne un certain nombrede fichiers ; tous les ans, la CNIL définit son programme des contrôles qui fixe des thématiques, qui font l’objet de visites sur place).

Conditions à respecter pour qu’un contrôle soit réalisé : plusieurs documents officiels doivent être rédigés. Au début de la mission de contrôle, deux documents doivent être remis à la société contrôlée : décision du Pdt de la CNIL portant mission de contrôle. Avant la réforme de 2004, c’était le collège entier qui devait décider de la mission de contrôle. C’est pour cela qu’avt 2004, il y avait très peu de contrôle. Auj., Pdt de la CNIL décide seul des contrôles qui sont faits. Nb de contrôle chq année en évolution constante. 2ème doc : ordre de mission = doc qui liste le nom des agents habilités à procéder à la mission de contrôle. Noms des pers habilitées publiés au JO. Si le contrôle est effectué par des personnes non habilitées, cela vient à violer la règle de sécurité et de confidentialité de la loi.

Si pas de production de ces deux documents, mission non faite de façon régulière.

A la fin de la mission de contrôle, les agents doivent rédiger un PV, qui doit être adressé à la personne contrôlée, et qui doit contenir la nature et la description des vérifications opérées lors du contrôle, ainsi que la liste des documents ou des pièces emportées. Le PV reste factuel : il n’analyse pas le niveau de conformité d’une entreprise à la loi. Il est possible pour l’entreprise de refuser de signer le PV, en le motivant, et ceci doit figurer sur le PV.

C’est important parce que la CNIL a un certain nb de prérogatives :

- interroger toute personne sur convocation ou sur place sur les questions relatives aux fichiers ;

- prendre copie de tous docs utiles quel qu’en soit le support : les docs sont généralement des procédures liées à l’utilisation d’un fichier ;

- faire des extractions de programmes informatiques : c’est l’essentiel. Extraction doit être faite dans un langage informatique utilisable pour les besoins du contrôle. L’entreprise peut être obligée de mobiliser des informaticiens pour réaliser l’extraction, et ne peut pas s’y opposer, sinon, c’est un délit d’entrave (infraction pénale punit d’un an de prison et de 15000€ d’amende : décision du Tal correctionnel de Paris du 29 janvier 2009).

2 cas ds lequel on peut s’opposer à une mission de contrôle de la CNIL :

Refus d’entrer dans les lieux : cas où la délégation arrive et l’entreprise refuse de les laisser entrer : jusque très récemment, CNIL disait que c’était un délit d’entrave. Ds la loi : lq un responsable de traitement s’oppose à la tenue du contrôle, la CNIL peut aller voir le TGI pour engager une procédure d’ordonnance sur requête, pour obtenir une décision du Juge qui permettra à la CNIL de venir refaire son contrôle de force, accompagnée si besoin des forces publiques. Il y a eu un contentieux récent devant le conseil d’état sur une procédure de sanction : la société contestait. Lorsque les contrôleurs sont venus faire le contrôle, les contrôleurs n’ont pas prévenu qu’il pouvait s’opposer au contrôle. Dans son arrêt du 6 nov 2009, le Conseil d’Etat a annulé la décision de la CNIL, au motif qu’il y a un droit à s’opposer à un contrôle, et dans l’hypothèse de cette opposition, la CNIL doit aller chez le Juge.

Juge du Conseil d’Etat a fait cette analyse : s’est appuyé sur les dispositions de la convention européenne des droits de l’homme, et notamment sur son article 8 (= droit à la vie privée) : une autorité administrative ne peut pas obliger une chef d’ent à faire une visite dans ses locaux. La seule possibilité est qu’il y ait une autorisation du Juge. Ceil d’E applique à la CNIL les règles qui s’appliquent à une perquisition judiciaire.

La loi ne prévoit pas l’autorisation du Juge en amont pour aller faire un contrôle : il faut qu’il y ait un refus du responsable de traitement. Mais en ce moment, projet de texte en cours de discussion qui devrait permettre de renforcer les prérogatives de la CNIL et de l’autoriser à dder l’autorisation du Juge en amont.

Mission de contrôle s’exerce sans prévenir ; seule contrainte, doit s’effectuer sur une plage horaire définit (6h à 21h).

Prévue par les textes : l’opposabilité du secret pro. au contrôleur de la CNIL. Secret pro = K ou une loi spécifique a prévu que le secret va protéger telle ou telle information. Ex. : secret médical existe pq des textes le précise.

Secret des affaires : notion floue limitée en JP. On peut opposer à la CNIL le secret pro (à condition de disposer du texte qui le prévoit), mais pas le secret des affaires. Secret bancaire protège les infos sur les clients. Secret pro sont absolus et d’autres sont relatifs. Secret bancaire est relatif car protège la bq et pas le client. Secret relatif peut être levé : qd client signe un doc autorisant la communication des docs.

Loi lurcef qui donne le droit aux comptes : qd un banquier

...