Article 5 (Coopération)

< Délibération CNIL >

Les nouveaux articles 49-1, 49-2, 49 ter et quater, introduits dans la loi du 6 janvier 1978 par L’article 5 du projet de loi, ont pour objet de préciser les modalités de coopération entre la CNIL et les autorités de protection des données des autres Etats membres de l’Union. Ils appellent de la Commission les observations suivantes.

- Le projet doit tout d’abord être complété en ce qui concerne la saisine du Comité européen à la protection des données.

La mise en œuvre des actions de coopération, dont les principes sont établis aux article 60, article 61 et article 62 du Règlement, peut en effet conduire les autorités de contrôle à adopter des décisions pouvant relever, en France, soit du pouvoir du Président de la Commission (décision de contrôle, clôture de plainte, mise en demeure), soit de la formation restreinte (décision de sanction). Dans ce cadre, les différents organes de la Commission devraient être en mesure, en cas de désaccord entre autorités nationales, de saisir le Comité européen, ainsi que le prévoit l’article 65 du Règlement.

La Commission relève que le projet de loi prévoit expressément que lorsque la CNIL est autorité chef de file, la formation restreinte peut, le cas échéant, saisir le CEPD après avoir soumis son projet de décision aux autorités concernées et s’être prononcée sur leurs objections pertinentes et motivées (second alinéa du projet d’article 49 ter). En revanche, une telle faculté n’a pas été prévue au titre des pouvoirs du Président de la Commission. Le projet devrait dès lors être amendé en ce sens.

- La Commission souligne ensuite l’opportunité de compléter le projet s’agissant du respect du contradictoire dans le cadre de la procédure devant la formation restreinte lorsque la CNIL est autorité chef de file au sens du Règlement.

Le projet d’article 49 ter décrit la procédure suivie devant la formation restreinte lorsque la Commission est chef de file (la communication du rapport et de toute information utile aux autorités de contrôle concernées, la possibilité pour celles-ci d’assister à la séance, la prise en compte des objections pertinentes et motivées des autorités concernées etc.). Qu’il y ait ou non saisine du CEPD, la décision finale de la formation restreinte peut varier du projet de décision initial, s’il a été tenu compte d’objections formulées par les autres autorités concernées. Ainsi, les manquements retenus ou la mesure prononcée pourraient ne pas correspondre au périmètre du rapport de sanction sur lequel le responsable ou le sous-traitant s’est défendu.

En conséquence, la Commission estime utile d’insérer dans le projet de loi une disposition précisant que les conditions dans lesquelles le caractère contradictoire de la procédure est garanti à l’égard de l’organisme concerné seront définies par voie réglementaire.

- La Commission attire enfin l’attention sur la nécessité de modifier les dispositions relatives aux pouvoirs d'enquête détenus par les membres et agents des autres autorités de contrôle nationales.

Le projet de loi crée un article 49-1-II qui porte sur les opérations de contrôle conjointes mises en œuvre en application du Règlement, qui peuvent notamment prendre la forme d’enquêtes effectuées dans les locaux des responsables de traitement. La rédaction de cet article emporte à certains égards des conséquences sur les contrôles opérés par la Commission en coopération avec une autre autorité de protection des données.

Le dernier alinéa du projet d’article 49-1-II dispose que Les pouvoirs d'enquête exercés par les membres et agents des autres autorités de contrôle se limitent à une présence aux côtés des membres et agents de la Commission nationale de l'informatique et des libertés participant à l'opération de contrôle. […] . Or, une telle rédaction cantonne les membres et agents d’autres autorités à un rôle de simple observateur, ce qui induit, en pratique, qu’ils ne sauraient poser des questions à l’organisme contrôlé, retirant ainsi l’effet utile du contrôle conjoint entre autorités. La Commission relève que la réalisation d’opérations conjointes constitue la forme la plus aboutie de coopération et implique un haut niveau d’implication des autorités participantes et estime dès lors qu’en ne créant pas les conditions opérationnelles nécessaires à la réalisation de l’objectif d’une coopération efficace entre autorités, le projet de loi s’écarte de l’esprit de l'article 62-3 du Règlement.

Ainsi, la Commission propose, d’une part, de conserver dans le texte le principe d’une participation des agents des autres autorités de contrôle aux investigations menées par la CNIL à l’occasion d’opérations conjointes et, d’autre part, de renvoyer au Président de la Commission le soin de fixer, dans la décision d’habilitation à procéder à des vérifications, le périmètre de leurs pouvoirs d’enquêtes, qui ne sauraient en tout état de cause excéder ceux dont dispose un agent de la CNIL. Par ailleurs, les agents des autres autorités de contrôle ne sauraient agir que sous le contrôle de la Commission. Elle rappelle à cet égard que d’autres législations nationales (notamment en Suède et en Espagne) doivent prévoir la possibilité pour des agents d’autres autorités de contrôle de participer à des missions de contrôle en leur conférant des pouvoirs d’investigation équivalents à ceux de leurs propres agents.

< Délibération CNIL >