La Cnil, les sanctions et le Conseil constitutionnel dans son rôle de gendarme des gendarmes
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Virginie Delannoy, 4/10/2013
La publication (JO du 6 septembre 2013) du règlement intérieur de la Commission nationale de l’informatique et des libertés (« CNIL »), adopté par sa délibération n° 2013-175 du 4 juillet 2013 – qui intervient peu après la décision n° 2013-331 QPC du Conseil constitutionnel (5 juillet 2013) portant sur la conformité à la Constitution du pouvoir de sanction de l’Autorité de régulation des communications électroniques et des postes (« ARCEP ») – est l’occasion de faire un point sur l’organisation du pouvoir de sanction dévolu à cette autorité administrative indépendante (« AAI ») par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (la « Loi IFL »), complétée par le décret n° 2005-1309 du 20 octobre 2005.
Le règlement intérieur est établi sur le fondement du dernier alinéa de l’article 13-II de la Loi IFL, à la majorité absolue des membres composant la CNIL (article 3-2° du décret n° 2005-1309 ). Il abroge le règlement antérieur (délibération n° 2006-147 du 23 mai 2006, modifiée à deux reprises en 2011 pour développer la procédure de labellisation).
Les dispositions relatives à la procédure de sanction y sont peu nombreuses dans la mesure où la Loi IFL en fixe les caractéristiques essentielles, conformément à la décision du Conseil constitutionnel du 17 janvier 1989, Loi modifiant la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication (déc. n° 88-248 DC : il appartient au législateur dotant une autorité administrative indépendante d’un pouvoir de sanction pour l’accomplissement de sa mission « d’assortir l’exercice de [ce pouvoir] de mesures destinées à sauvegarder les droits et libertés constitutionnellement garantis » , tel notamment le principe du respect des droits de la défense).
La décision du Conseil constitutionnel relative à la procédure de sanctions de l’ARCEP fournit l’étalon le plus récent des exigences constitutionnelles pour les AAI en matière d’indépendance et d’impartialité de la procédure, qui sont « indissociables de l’exercice des fonctions juridictionnelles ». Si dans sa décision QPC n° 2011-200 du 2 décembre 2011, Banque populaire Côte d’Azur, le Conseil constitutionnel indiquait qu’il était loisible aux AAI « de s’administrer selon des règles d’indépendance fonctionnelle ou de séparation organique », il reste que quelque soit le mode d’organisation choisi, l’encadrement du processus d’instruction et de sanction par des « garanties législatives suffisantes » s’impose. Pour l’ARCEP, dont la procédure était organisée pour assurer l’indépendance fonctionnelle (et non pas la séparation organique) entre les pouvoirs de poursuite et d’instruction, confiés au directeur général et la fonction de jugement confiée, elle, au collège, le Conseil constitutionnel a cependant estimé que l’indépendance du directeur général par rapport au collège n’était pas garantie dès lors que le directeur général était « nommé par le président de l’Autorité, (…) placé sous son autorité et assist[ait] aux délibérations de l’Autorité ».
Toute autre est la situation de la CNIL au sein de laquelle une séparation organique a été organisée entre, d’une part, le président de la CNIL, chargé des poursuites et un organisme particulier investi du prononcé des sanctions à l’encontre des responsables de traitements qui ne respectent pas les obligations mises à leur charge par la Loi IFL. Il s’agit de la « formation restreinte », composée de six des dix-sept membres de la commission, à l’exclusion expresse des trois membres du bureau que sont le président de la commission et les deux vice-présidents.
L’impartialité de la procédure et l’indépendance des membres qui la mettent en œuvre est garantie à plusieurs stades :
(i) les membres de la formations restreinte sont, eux-mêmes, membres de la commission, désignés dans les conditions de l’article 13 de la Loi IFL qui tendent à en assurer l’indépendance et n’ont aucun lien hiérarchique avec les autres membres de la commission ;
(ii) l’initiative des poursuites appartient au président de la CNIL qui, de la même façon, n’est sous la subordination d’aucun membre de la commission ;
(iii) l’instruction est diligentée par un rapporteur, désigné par le président de la CNIL parmi les membres de la commission en dehors la formation restreinte ;
(iv) le rapporteur ne participe pas au délibéré de la formation restreinte (art. 46 de la Loi IFL et 77 du décret n° 2005-1309) ;
(v) les membres de la formation restreinte ne peuvent participer aux missions dévolues à la CNIL par les articles 11-2°, c, e, et f et 44 de la Loi IFL (réception et instruction des réclamations, pétitions et plaintes ; information du procureur de la République sur le fondement de l’article 40 du code de procédure pénale ; vérifications et enquêtes portant sur tous traitements).
L’ensemble de ces garanties a conduit le Conseil d’Etat, par un arrêt du 26 mars 2012 Société Pages Jaunes Groupe (n° 353193) à rejeter la question prioritaire de constitutionnalité portant sur la procédure de sanction organisée par la Loi IFL au motif que ses dispositions « assurent la séparation des fonctions d’enquête de celles de sanctions au sein de la CNIL » et interdisent « aux membres de la CNIL ayant eu éventuellement à connaître de manquements susceptibles de faire l’objet de pouvoirs généraux d’enquête et de contrôle prévus aux articles 11 et 44 de la loi du 6 janvier 1978 de siéger au sein de la formation restreinte ».
Le règlement intérieur de la CNIL complète ce dispositif sans en altérer l’équilibre. Il précise, notamment, l’obligation pour les membres de la CNIL de déclarer toute situation de conflit d’intérêts et d’incompatibilité. Il organise les conditions de la mise en demeure et ses suites, la contradiction de la procédure devant la formation restreinte et l’intervention volontaire. Cette dernière n’est mentionnée ni dans la Loi IFL ni dans son décret d’application et n’avait pas été organisée par le règlement intérieur précédent.
L’appareil législatif et réglementaire, ainsi complété, encadrant le pouvoir de sanction du gendarme des données personnelles – déjà saisi de plus de six mille plaintes depuis sa création – offre les garanties d’indépendance et d’impartialité nécessaires à l’accomplissement de ses missions.
Alors que l’on ne peut exclure que le cheminement vers l’open data (réutilisation généralisée des données publiques pour des projets innovants) s’accompagne d’un développement des activités de la CNIL sur de nouveaux secteurs, il importe que ses procédures ne souffrent d’aucune suspicion.
Le règlement intérieur est établi sur le fondement du dernier alinéa de l’article 13-II de la Loi IFL, à la majorité absolue des membres composant la CNIL (article 3-2° du décret n° 2005-1309 ). Il abroge le règlement antérieur (délibération n° 2006-147 du 23 mai 2006, modifiée à deux reprises en 2011 pour développer la procédure de labellisation).
Les dispositions relatives à la procédure de sanction y sont peu nombreuses dans la mesure où la Loi IFL en fixe les caractéristiques essentielles, conformément à la décision du Conseil constitutionnel du 17 janvier 1989, Loi modifiant la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication (déc. n° 88-248 DC : il appartient au législateur dotant une autorité administrative indépendante d’un pouvoir de sanction pour l’accomplissement de sa mission « d’assortir l’exercice de [ce pouvoir] de mesures destinées à sauvegarder les droits et libertés constitutionnellement garantis » , tel notamment le principe du respect des droits de la défense).
La décision du Conseil constitutionnel relative à la procédure de sanctions de l’ARCEP fournit l’étalon le plus récent des exigences constitutionnelles pour les AAI en matière d’indépendance et d’impartialité de la procédure, qui sont « indissociables de l’exercice des fonctions juridictionnelles ». Si dans sa décision QPC n° 2011-200 du 2 décembre 2011, Banque populaire Côte d’Azur, le Conseil constitutionnel indiquait qu’il était loisible aux AAI « de s’administrer selon des règles d’indépendance fonctionnelle ou de séparation organique », il reste que quelque soit le mode d’organisation choisi, l’encadrement du processus d’instruction et de sanction par des « garanties législatives suffisantes » s’impose. Pour l’ARCEP, dont la procédure était organisée pour assurer l’indépendance fonctionnelle (et non pas la séparation organique) entre les pouvoirs de poursuite et d’instruction, confiés au directeur général et la fonction de jugement confiée, elle, au collège, le Conseil constitutionnel a cependant estimé que l’indépendance du directeur général par rapport au collège n’était pas garantie dès lors que le directeur général était « nommé par le président de l’Autorité, (…) placé sous son autorité et assist[ait] aux délibérations de l’Autorité ».
Toute autre est la situation de la CNIL au sein de laquelle une séparation organique a été organisée entre, d’une part, le président de la CNIL, chargé des poursuites et un organisme particulier investi du prononcé des sanctions à l’encontre des responsables de traitements qui ne respectent pas les obligations mises à leur charge par la Loi IFL. Il s’agit de la « formation restreinte », composée de six des dix-sept membres de la commission, à l’exclusion expresse des trois membres du bureau que sont le président de la commission et les deux vice-présidents.
L’impartialité de la procédure et l’indépendance des membres qui la mettent en œuvre est garantie à plusieurs stades :
(i) les membres de la formations restreinte sont, eux-mêmes, membres de la commission, désignés dans les conditions de l’article 13 de la Loi IFL qui tendent à en assurer l’indépendance et n’ont aucun lien hiérarchique avec les autres membres de la commission ;
(ii) l’initiative des poursuites appartient au président de la CNIL qui, de la même façon, n’est sous la subordination d’aucun membre de la commission ;
(iii) l’instruction est diligentée par un rapporteur, désigné par le président de la CNIL parmi les membres de la commission en dehors la formation restreinte ;
(iv) le rapporteur ne participe pas au délibéré de la formation restreinte (art. 46 de la Loi IFL et 77 du décret n° 2005-1309) ;
(v) les membres de la formation restreinte ne peuvent participer aux missions dévolues à la CNIL par les articles 11-2°, c, e, et f et 44 de la Loi IFL (réception et instruction des réclamations, pétitions et plaintes ; information du procureur de la République sur le fondement de l’article 40 du code de procédure pénale ; vérifications et enquêtes portant sur tous traitements).
L’ensemble de ces garanties a conduit le Conseil d’Etat, par un arrêt du 26 mars 2012 Société Pages Jaunes Groupe (n° 353193) à rejeter la question prioritaire de constitutionnalité portant sur la procédure de sanction organisée par la Loi IFL au motif que ses dispositions « assurent la séparation des fonctions d’enquête de celles de sanctions au sein de la CNIL » et interdisent « aux membres de la CNIL ayant eu éventuellement à connaître de manquements susceptibles de faire l’objet de pouvoirs généraux d’enquête et de contrôle prévus aux articles 11 et 44 de la loi du 6 janvier 1978 de siéger au sein de la formation restreinte ».
Le règlement intérieur de la CNIL complète ce dispositif sans en altérer l’équilibre. Il précise, notamment, l’obligation pour les membres de la CNIL de déclarer toute situation de conflit d’intérêts et d’incompatibilité. Il organise les conditions de la mise en demeure et ses suites, la contradiction de la procédure devant la formation restreinte et l’intervention volontaire. Cette dernière n’est mentionnée ni dans la Loi IFL ni dans son décret d’application et n’avait pas été organisée par le règlement intérieur précédent.
L’appareil législatif et réglementaire, ainsi complété, encadrant le pouvoir de sanction du gendarme des données personnelles – déjà saisi de plus de six mille plaintes depuis sa création – offre les garanties d’indépendance et d’impartialité nécessaires à l’accomplissement de ses missions.
Alors que l’on ne peut exclure que le cheminement vers l’open data (réutilisation généralisée des données publiques pour des projets innovants) s’accompagne d’un développement des activités de la CNIL sur de nouveaux secteurs, il importe que ses procédures ne souffrent d’aucune suspicion.