La Commission nationale de l’informatique et des libertés (CNIL)

La loi n^o 78-17 a créé une autorité administrative indépendante chargée du contrôle des traitements des données à caractère personnel : la Commission nationale de l’informatique et des libertés ou CNIL. Pour la Commission de l’informatique et des libertés, la protection des données personnelles est garantie par de nombreuses dispositions et leur non-respect peut être doublement sanctionné : administrativement et pénalement⁷⁸³. Mais, face aux sommes collectées par les grandes entreprises américaines de l’Internet, les montants des amendes prévues restent symboliques⁷⁸⁴. Ces montants sont largement réévalués par le nouveau Règlement général sur la protection des données.

La Commission de l’informatique et des libertés agrée les traitements lorsqu’une autorisation préalable est nécessaire, elle définit les cas de dispenses additionnelles autres que celles prévues

782 Loi n^o 78-17 du 6 janvier 1978, article 8 : «I. - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci».

783 Sanctions pénales prévues par : Articles 226-16 à 226-24 du Code pénal modifiés par la loi du 6 août 2004 ; Article 226-17-1 créé par l’article 39 de l’ordonnance n^o2011-1012 du 24 août 2011 ; Articles R. 10 à R. 625-13 du Code pénal insérés par le décret du 20 octobre 2005.

784 Jean ‑rayssinet, « La régulation du respect de la loi Informatique, fichiers et libertés par le droit pénal : une épée en bois », LEGICOM, 2009/1 (N° 42), pp. 23-33. URL : https://www.cairn.info/revue-legicom-2009-1-page-23.htm.

par la loi, et elle diffuse des guides vers les entreprises et les personnes physiques. L’actualité a montré que durant ces dernières années, cette obligation de déclaration n’était pas toujours respectée par les entreprises, mais aussi par des organismes publics chargés de la protection des individus et du respect des lois. Les fichiers de la police (STIC, Système de traitement des infractions constatées) et de la gendarmerie (JUD‐X, système judiciaire de documentation et d’exploitation) ont été initialement créés sans autorisation et régularisés a posteriori par la loi⁷⁸⁵. Ces deux fichiers, STIC et JUD‐X ont été remplacés par le nouveau fichier national des antécédents judiciaires⁷⁸⁶. Comme pour STIC et JUD‐X, ce traitement des antécédents judiciaires permet de saisir et conserver des informations concernant les personnes mises en cause, personnes physiques ou morales, mais aussi les victimes, les personnes faisant l’objet d’une enquête ou d’une instruction pour recherche des causes de la mort ou d’une disparition⁷⁸⁷. De plus, les avis de la Commission de l’informatique et des libertés ne sont pas opposables à l’État qui peut, par arrêté ministériel, autoriser certains traitements automatiques qui intéressent la sûreté de l’État, la défense ou la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté⁷⁸⁸, l’avis motivé de la Commission de l’informatique et des libertés étant publié avec l’arrêté autorisant le traitement. Le gouvernement autorisait ainsi, par décret publié le 28 octobre 2016⁷⁸⁹, la création du fichier T‐S, enregistrant les informations recueillies pour la délivrance des cartes d’identité ou des passeports, l’avis de la CNIL⁷⁹⁰ demandait l’organisation d’un débat parlementaire.

785 Le STIC créé par la loi n^o95-73 du 21 janvier 1995 entre en activité officielle sans ses décrets d’application. Le décret qui officialise le STIC date du 5 juillet 2011, le STIC a donc fonctionné 6 ans en toute illégalité. Quant à JUD‐X il aurait été mis en place en 1985/1 986 clandestinement, son existence n’a été officialisée que le 20 novembre 2006.

786 Décret n^o 2012-652 du 4 mai 2012 relatif au traitement d’antécédents judiciaires publié au JOR‑ du 6 mai 2012 p. 8047.

787 Alain Bauer, Christophe Soullez, « Des fichiers, pour quelles finalités ? », dans Les fichiers de police et de gendarmerie. Paris, Presses Universitaires de ‑rance, « Que sais-je ? », 2011, pp. 7-29. URL : https://www.cairn.info/les-fichiers-de-police-et-de-gendarmerie--9782130591160-page-7.htm consulté le 27 décembre 2017.

788 Loi n^o 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n^o 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, publiée au JOR‑ n^o182 du 7 août 2004 p. 14063, articles 26, 27, 28.

789 Décret n^o 2016-1 460 du 28 octobre 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité, publié au JOR‑ n^o 0254 du 30 octobre 2016.

790 CNIL, Délibération n^o 2016-292 du 29 septembre 2016 portant avis sur un projet de décret autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité

(saisine n^o 1979541), disponible en ligne à

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JOR‑T‐XT000033318979, consulté le 4 mars 2017.

Titre 1 La société numérique, un cadre hétérogène de protection des libertés

163

a)Le statut de la Commission de l’informatique et des libertés

La Commission de l’informatique et des libertés est créée par l’article 11 de la loi n° 78-17 :

«La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante». Les missions de la Commission de l’informatique et des libertés y sont définies⁷⁹¹ : elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations ; elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la loi ; à la demande d’organisations professionnelles ou d’institutions regroupant principalement des responsables de traitements, elle donne un avis sur la conformité aux dispositions de la présente loi des projets de règles professionnelles et des produits et procédures tendant à la protection des personnes à l’égard du traitement de données à caractère personnel, ou à l’anonymisation de ces données, qui lui sont soumis et elle porte une appréciation sur les garanties offertes par des règles professionnelles qu’elle a précédemment reconnues conformes aux dispositions de la présente loi, au regard du respect des droits fondamentaux des personnes ; elle se tient informée de l’évolution des technologies de l’information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés mentionnés à l’article 1^er (droits de l’homme, vie privée, libertés individuelles ou publiques).

Depuis le 1er septembre 2012, la fonction de Président de la CNIL est devenue incompatible avec toute activité professionnelle, tout mandat électif national, tout autre emploi public et toute détention, directe ou indirecte, d’intérêts dans une entreprise du secteur des communications électroniques ou de l’informatique⁷⁹². Les ministres, autorités publiques, dirigeants d’entreprises, publiques ou privées, ne peuvent s’opposer à son action. Les décisions de la Commission de l’informatique et des libertés peuvent faire l’objet de recours devant la juridiction administrative. Toute personne peut s’adresser à la Commission de l’informatique et des libertés pour se faire aider à faire respecter ses droits (droit d’information, droit d’accès, droit de rectification ou de radiation, droit d’opposition et droit d’accès indirect) en cas de difficulté ou d’opposition.

791 Loi n° 78-17, art. 11.

792 Loi n° 78-17, art. 13.

b)Les avis de la Commission de l’informatique et des libertés

Comme le Conseil d’État, la Commission de l’informatique et des libertés peut être consultée pour avis⁷⁹³. Certains traitements mis en œuvre par des organismes publics doivent, nécessairement, recueillir l’avis de la CNIL⁷⁹⁴. Cette procédure concerne les traitements mis en œuvre par des organismes publics ou des organismes privés gérant un service public et qui concernent : la sûreté, la défense ou la sécurité publique ; la prévention, la recherche, la constatation ou la poursuite d’infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ; l’utilisation du NIR (n^o de sécurité sociale) ou la consultation du RNIPP (lorsque les organismes ne sont pas déjà habilités) ; l’utilisation de données biométriques (empreintes digitales, contour de la main, iris de l’œil, etc.) ; le recensement de la population ; les téléservices de l’administration électronique.

Par un avis du 11 décembre 2007⁷⁹⁵, la Commission de l’informatique et des libertés s’est prononcée sur le projet de décret permettant la délivrance des nouveaux passeports biométriques. Ce décret prévoit également la constitution d’une base de données contenant empreintes digitales et photographie numérisée des demandeurs de passeport. La Commission a estimé que le ministère n’avait pas apporté d’éléments convaincants de nature à justifier la constitution d’un tel fichier centralisé, et que la conservation dans un fichier central des photographies et des empreintes digitales (données biométriques) était disproportionnée au regard des finalités du fichier.

La Commission de l’informatique et des libertés a formulé des remarques lors de l’examen d’un projet de loi alors qu’elle n’était saisie d’aucune demande d’avis. À l’occasion du débat parlementaire sur la proposition de loi relative à la protection de l’identité, la CNIL a estimé nécessaire de faire connaître son analyse en la matière⁷⁹⁶. Du fait de ses responsabilités en tant que régulateur de la vie privée et de l’importance des enjeux en matière de lutte contre la fraude, elle a souhaité s’exprimer sur ce sujet majeur. Lors de sa séance plénière du 25 octobre 2011,

793 Dans le projet de loi de modification de la loi n° 78-17 pour compléter le règlement général sur la protection des données, la demande d’avis est obligatoire dès qu’un texte concerne les données à caractère personnel, cet avis peut aussi être demandé par le Président de l’Assemblée nationale ou du Sénat. Les avis de la CNIL sont publics et doivent être publiés.

794 Articles 26 et 27 de la loi du 6 janvier 1978 modifiée.

795 Commission nationale de l’informatique et des libertés, Délibération n° 2007-368 du 11 décembre 2007 portant avis sur un projet de décret en Conseil d'État modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques, publié au JOR‑ n° 109 du 10 mai 2008.

796 Commission nationale de l’informatique et des libertés, Note d’observations de la Commission nationale de l’informatique et des libertés concernant la proposition de loi relative à la protection de l’identité, examinée en séance plénière le 25 octobre 2011.

Titre 1 La société numérique, un cadre hétérogène de protection des libertés

165

elle a examiné une note d’observations en faisant des propositions concrètes et pragmatiques afin de contribuer au débat et d’alimenter les réflexions en cours. Cette note s’appuie essentiellement sur les positions qu’elle a déjà adoptées s’agissant des passeports biométriques en 2007, des cartes d’identité électroniques et biométriques en 2008 et plus généralement en matière d’administration électronique et de téléservices. La Commission estime entre autres, tout comme dans le cadre de son avis sur le projet de loi présenté en 2008 par le ministère de l’Intérieur, que la proportionnalité de la conservation sous forme centralisée de données biométriques, au regard de l’objectif légitime de lutte contre la fraude documentaire, n’est pas à ce jour démontrée. Si une telle base centralisée de données biométriques était néanmoins envisagée, des garanties supplémentaires de nature à assurer la protection des données personnelles des citoyens français devraient être introduites⁷⁹⁷. ‐n 2016, le gouvernement, par décret⁷⁹⁸, autorisera la création du fichier T‐S qui regroupera les données fournies pour l’obtention d’un passeport et de la carte nationale d’identité, malgré l’avis peu favorable de la Commission de l’informatique et des libertés⁷⁹⁹. ‐n janvier 2017, le ministre de l’Intérieur a rendu public un rapport d’audit de sécurité élaboré conjointement par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC), rapport qui démontre que

« le système peut techniquement être détourné à des fins d’identification biométrique des personnes concernées » et que son inviolabilité ne peut être garantie⁸⁰⁰, rejoignant ainsi les critiques formulées lors de la discussion parlementaire relative au projet de fichier des « gens honnêtes » et les remarques formulées par la CNIL.

797L’Assemblée nationale a voté la création du fichier « des honnêtes gens » le 6 mars 2012 (Loi n^o 2012-410 du 27 mars 2012 relative à la protection de l’identité), cette disposition a été censurée par le Conseil constitutionnel (décision du Conseil constitutionnel n^o 2012-652 DC du 22 mars 2012).

798 Décret n^o 2016-1 460 du 28 octobre 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité, publié au JOR‑ n^o 0254 du 30 octobre 2016.

799 Commission nationale de l’informatique et des libertés, Délibération n° 2016-292 du 29 septembre 2016 portant avis sur un projet de décret autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité (saisine n° 1979541), publiée au JOR‑ n°0254 du 30 octobre 2016.

800 Audit du système « Titres Electroniques Sécurisés », Ministère de l’Intérieur en ligne à l’URL :

http://mobile.interieur.gouv.fr/content/download/100011/786238/file/rapport-commun-public-tes-13-01-20172.pdf, consulté le 19 novembre 2017.

Le pouvoir de la CNIL face aux volontés sécuritaires des gouvernements est pratiquement inopérant⁸⁰¹ et cette faiblesse apparente nuit à sa notoriété dans le public⁸⁰². Mais la CNIL a le pouvoir de défendre les nouveaux droits des personnes physiques en relation avec la protection de leurs données à caractère personnel.