3

Le contrôle en ligne : une collaboration qui reste à construire

< Rapport d'information de la commission des affaires européennes >

En complément des actions d’enquête et de contrôle sur pièce et sur place, tels que définis à l’article 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL procède également à des contrôles en ligne, tels que définis à l’article 44 de la même loi. Cette procédure, dont dispose la CNIL a été introduite par la loi n° 2014-344 du 17 mars 2014 relative à la consommation, en son article 105. Les agents de la commission peuvent ainsi procéder à toute constatation utile et « notamment, à partir d'un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d'un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations. »

Ce contrôle, qui doit être décidé par la Présidente de la CNIL via un ordre de mission, aboutit à un procès-verbal factuel décrivant la méthodologie employée ainsi qu’un procès-verbal de constatations en ligne, envoyé au responsable de traitement, avec ses annexes. À la suite d’un tel contrôle, la CNIL peut, le cas échéant, poursuivre les investigations via les instruments classiques que sont les contrôles sur pièce, sur place ou les auditions.

Ces contrôles en ligne portent avant tout sur la pertinence des données collectées (38), la bonne mention des informations à destination du public (39) ou encore la sécurité des données collectées et traitées (40). En particulier, les contrôles visent à vérifier la conformité des sites internet à la recommandation adoptée par la CNIL en 2013 (41), concernant des critères tels que le nombre et la nature des cookies déposés sur le poste de l’internaute, les modalités d'information à destination du public en matière de cookies ou encore les modalités de recueil du consentement de l'internaute.

Cette question acquiert une actualité particulière au moment où le texte européen relatif à la protection de la vie privée dans les réseaux de communication est en cours de négociations (42). Ce dernier, dont la date de publication semble devoir être repoussée au-delà de la date initialement prévue – soit la même date que la date d’application du RGPD, le 25 mai 2018 – doit notamment mettre en œuvre les dispositions propres au recueillement du consentement de l’internaute, tel que défini à l’article 7 du RGPD.

Votre rapporteure s’interroge sur les modalités de coopération des autorités de contrôle nationale quant à ce contrôle en ligne. À ce titre, le projet de loi pourrait utilement prévoir les conséquences d’un contrôle en ligne sur des données recueillies de manière transfrontalière.

< Rapport d'information de la commission des affaires européennes >