Et si la Cnil pouvait procéder à des contrôles du respect de la réglementation relative à la protection des données personnelles sans se déplacer et sans vous convoquer ? C’est chose faite avec l’entrée en vigueur de la loi relative à la consommation (dite loi « Hamon »).

En quoi le nouveau pouvoir de la Cnil consiste t-il ?

Dans sa version antérieure à la loi « Hamon », la Cnil disposait de deux instruments pour vérifier la bonne application de la loi « Informatique et Libertés » à savoir :

  • le contrôle sur place qui lui permettait d’accéder, de 6 heures à 21 heures, aux locaux à usage professionnel dans lesquels un traitement de données personnelles était mis en œuvre et,
  • l’audition sur convocation qui lui permettait d’entendre les personnes afin de recueillir des informations.

Ce cadre juridique a été élargi par l’article 105 de la loi relative à la consommation. L’article 44-III alinéas 4 et 5 de la loi « Informatique et Libertés » modifié dispose désormais que :

«  En dehors des contrôles sur place et sur convocation,

[les membres de la Cnil et les agents habilités] peuvent procéder à toute constatation utile ; ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

Il est dressé procès-verbal des vérifications et visites menées en application du présent article. Ce procès-verbal est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place ou sur convocation. »

Le contrôle en ligne s’ajoute donc à l’arsenal de la Cnil. Ce contrôle permet à la Commission de procéder à des vérifications à partir d’un ordinateur connecté à Internet et de dresser un procès-verbal des manquements constatés. Le 18 mars dernier,  la Commission précisait qu’elle pourrait notamment vérifier la bonne information des personnes dont les données sont collectées (mentions obligatoires et politique cookies par exemple), veiller aux modalités de recueil du consentement des personnes (modalités d’opt-in dans le cadre de la prospection commerciale par exemple) mais aussi constater les failles de sécurité. A noter que ce pouvoir est étendu car la Cnil aura non seulement accès aux données rendues délibérément accessibles par un opérateur mais aussi aux données rendues accessibles par le fait d’un tiers (même si ce tiers s’est frauduleusement introduit dans le système d’information), par une imprudence ou une négligence.

La violation des données personnelles subie par l’opérateur télécom historique en janvier dernier est un exemple qui aurait pu donner lieu à des investigations en ligne de la Cnil.

On peut s’interroger sur la formulation de l’article 44-III alinéas 4 et 5 dans sa nouvelle rédaction, qui semble paradoxale. En effet, le législateur a pris le soin de préciser, dans cette disposition, que le procès-verbal dressé à l’issue des vérifications et visites effectuées sur place ou sur convocation serait contradictoire. Or, cet article 44-III alinéas 4 et 5 ne concerne que les vérifications et visites effectuées en dehors des contrôles sur place et sur convocation.

Outre ce nouveau pouvoir d’investigation, la loi relative à la consommation permet également à la Commission d’être informée des manquements à la réglementation constatés par les agents de la DGCCRF dans le cadre de leurs missions.

Quelle coopération entre la DGCCRF et la Cnil ?

Il s’agit d’une consécration légale de la convention de partenariat signée entre la Cnil et la DGCCRF le 6 janvier 2011. Cette coopération s’est récemment illustrée dans l’affaire de « l’IP tracking » (voir ici pour une analyse de cette affaire).

La loi relative à la consommation modifie l’article L.141-1-VI du Code de la consommation comme suit :

« VI.-Dans l’exercice de leurs missions, les agents mentionnés au II de l’article L. 450-1 du code de commerce sont habilités à constater les infractions et manquements aux chapitres II, IV et V de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et peuvent communiquer ces constatations à la Commission nationale de l’informatique et des libertés. »

Dans le cadre de leurs missions (contrôle des pratiques anticoncurrentielles et des pratiques restrictives de concurrence notamment), les agents habilités sont dorénavant autorisés à constater les manquements aux dispositions relatives :

  • à la licéité des traitements de données à caractère personnel (principes de collecte loyale et licite, de finalités déterminées, explicites et légitimes etc.),
  • à la réalisation des formalités préalables à la mise en oeuvre des traitements,
  • au respect des droits des personnes (droit d’information, droit d’opposition, droit d’accès et de rectification etc.).

Suite aux constations de la DGCCRF, la Cnil semble rester seule compétente pour prononcer des sanctions contre les responsables de traitement en infraction. En effet, la capacité de la DGCCRF de prononcer des sanctions pour les infractions constatées dans le cadre de ses missions n’a pas été étendue aux infractions à la loi « Informatique et Libertés ».

Quels impacts pour les responsables de traitement ?

Ces dispositions auront pour conséquence principale d’accroître la capacité de contrôle de la Cnil. Corrélativement, les sanctions prononcées par la Cnil devraient se multiplier. Pour rappel, la Cnil peut prononcer des sanctions financières jusqu’à 150 000€ (300 000€ en cas de nouveau manquement). Des sanctions pénales sont également encourues en cas de manquement, à savoir cinq ans d’emprisonnement et 300 000€ d’amende (1 500 000€ pour une personne morale). Soyez donc vigilants !