Article 4 (Pouvoirs de contrôle de la Commission)

< Délibération CNIL >

L’article 4 du projet de loi a pour objet de modifier l’article 44 de la loi du 6 janvier 1978 qui porte sur les pouvoirs de la Commission en matière de contrôle. Cet article, essentiel pour le bon fonctionnement des nouveaux mécanismes de contrôle conjoint et pour la bonne application du Règlement, appelle les remarques suivantes.

- Le 1° et le 2° de l’article 4 permettent aux agents habilités de la Commission de contrôler la mise en œuvre de traitement dans des locaux qui n’ont ni le caractère de local professionnel, ni celui de domicile privé, tels que des parties communes d’immeubles. Cette disposition apporte à la compétence de contrôle de la Commission un complément bienvenu pour la pleine et entière application du Règlement.

- Le 3° du même article précise les conditions de recueil, par les agents habilités de la Commission, des éléments nécessaires à l’exercice de leur mission de contrôle (documents, données, renseignements divers, etc.), en modifiant l’actuelle rédaction du III de l’article 44 de la loi du 6 janvier 1978. Le projet de loi prévoit d’importantes clarifications sur les droits et parties prenantes au contrôle, en particulier sur l’opposabilité des secrets protégés par la loi, ainsi que le permet l’article 90 du Règlement.

La rédaction retenue par le projet appelle cependant de la Commission trois séries d’observations, qui portent sur la rédaction projetée de l’alinéa 1er de l’article 44-III de la loi.

- En premier lieu, il est prévu que les membres et agents de la Commission _peuvent recueillir, sur place ou sur convocation , tout renseignement et toute justification utiles. _ Or, une telle rédaction pourrait être interprétée comme laissant aux organismes contrôlés la possibilité de s’opposer au recueil de document par la Commission lorsque les missions de contrôle ne sont pas opérées sur place ou sur convocation, c’est-à-dire sur pièce ou en ligne. Les mots sur place et sur convocation devraient dès lors être introduits par un notamment pour englober l’ensemble des modalités de contrôle.

- En deuxième lieu, le même alinéa prévoit que les membres et agents de la Commission _peuvent accéder, dans des conditions préservant la confidentialité à l'égard des tiers , aux programmes informatiques et aux données […] _. Cette disposition met en exergue la nécessité pour la Commission de prendre toutes les précautions utiles lorsqu’elle réalise des contrôles, à savoir de veiller en particulier à la sécurité des données collectées. A cet égard, la Commission souligne que de telles mesures sont d’ores et déjà mises en œuvre par les agents habilités à procéder à des vérifications qui sont en outre astreints au secret professionnel pour les faits, actes et renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues par le code pénal.

- En troisième lieu, il est prévu que le secret ne peut être opposé aux membres et agents de la Commission, sauf concernant les informations couvertes, par le secret de l’enquête et de l’instruction, par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, sous réserve des dispositions de l’alinéa suivant, par le secret médical. Cette modification apporte une clarification bienvenue des conditions d’opposabilité à la Commission des différents secrets protégés par la loi.

Néanmoins, la mention du secret de l’enquête et de l’instruction ne saurait être interprétée comme s’opposant au contrôle, par la Commission, des traitements utilisés par les autorités judiciaires ou services de police judiciaire, dès lors que sa mission de contrôle n’interfère pas avec ces secrets. A défaut, cette mention devrait être supprimée pour éviter toute difficulté opérationnelle pour la Commission dans le champ de la Directive et pour prévenir toute invocation de ce secret à des fins dilatoires en dehors des cas pour lesquels il est prévu par le code de procédure pénale.

A titre plus général, la Commission rappelle que le Règlement comme la Directive ne lui donnent pas compétence pour contrôler les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle (articles 55 du Règlement et 45 de la Directive). Ces dispositions visent à préserver les juridictions de toute interférence liée à la protection des données dans leur activité, leurs procédures et leurs prérogatives en matière de collecte de données nécessaires à ces procédures. En revanche, elles ne sauraient faire obstacle à la mise en œuvre de la compétence de la Commission sur les traitements extérieurs aux dossiers de procédure et utilisés dans le cadre de ces missions (Cassiopée, Fnaeg, etc.), ni, au demeurant, aux vérifications qu’implique la mise en œuvre du droit d’accès indirect prévu à l’article 41 de la loi.

< Délibération CNIL >