Déposé le 24 juin 2013 par : M. Brottes.
Le III de l'article 44 de la loi n° 78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifié :
1° Après le troisième alinéa, il est inséré un alinéa ainsi rédigé :
« En dehors des contrôles sur place et sur convocation, ils peuvent procéder à toute constatation utile ; ils peuvent notamment, à partir d'un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d'un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. » ;
2° Au dernier alinéa, le mot : « contradictoirement » est supprimé ;
3°Le même alinéa est complété par une phrase ainsi rédigée :
« Ce procès-verbal est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place ou sur convocation. ».
La CNIL dispose, en application de la loi du 6 janvier 1978, du pouvoir de contrôler la mise en œuvre des traitements de données personnelles. Cette mission constitue une part en très forte croissance de son activité, puisqu'elle aura mené en 2012 pas moins de 458 contrôles, soit près de 20 % de plus qu'en 2010.
Cette réalité s'inscrit dans le cadre d'une très forte croissance des manquements à la loi « Informatique et libertés » constatées sur internet, avec par exemple des cas de plus en plus fréquents de divulgation de données personnelles par des sites web, rendues librement accessibles à chaque internaute sans aucune protection particulière, ou des informations données aux internautes parfois non conformes aux dispositions de la loi modifiée du 6 janvier 1978.
Or, les dispositions actuelles de la loi « Informatique et libertés » limitent l'exercice des investigations de la CNIL aux seuls contrôles sur place, sur pièce ou sur convocation, et ne permettent pas à ses agents d'exercer de façon rationnelle et efficace de constatations sur internet, puisqu'elles ne disposent d'aucune force probante.
Ainsi, lorsque les agents de la CNIL constatent sur internet, comme n'importe quel internaute, des manquements à la loi « Informatique et libertés », il leur revient de mener des contrôles supplémentaires sur place auprès des responsables des sites, ou de requérir un constat d'huissier, afin que ces constatations soient dotées d'une force probante. Cela s'avère particulièrement coûteux pour l'institution, chronophages pour ses agents, et peu adapté à la nouvelle réalité numérique de la société.
A titre d'exemple, la CNIL a été informée il y a peu d'une faille de sécurité affectant un laboratoire d'analyse médicale et conduisant à ce que les données de santé de ses clients soient accessibles sur internet. Pour intervenir et mettre fin à cette divulgation, la CNIL a dû envoyer une équipe de contrôleurs dans les locaux du laboratoire en cause, dans l'Est de la France, pour constater la faille (comme elle l'avait déjà fait sur le site internet du laboratoire) et demander à ce laboratoire de prendre les mesures adéquates. Avec la modification de la loi telle que proposée, la CNIL pourra, le jour même où elle est informée, légalement constater la faille depuis ses propres ordinateurs et mettre en demeure le responsable du site de corriger le problème dans les plus brefs délais.
Ainsi, pour résoudre efficacement et rapidement ce type de situations, cet amendement prévoit non pas d'attribuer à la CNIL une compétence nouvelle, mais uniquement de doter ses constatations effectuées sur internet d'une force probante, sans jamais lui permettre d'accéder à des données protégées d'une quelconque façon (mot de passe…) : les constatations en ligne de la CNIL seront limitées aux seules données librement accessibles sur internet, à savoir accessibles à tout internaute depuis n'importe quel ordinateur.
La CNIL disposera ainsi des pouvoirs strictement identiques à ceux d'aujourd'hui, mais aura dorénavant la possibilité de réaliser depuis ses locaux certaines constatations en ligne, sans avoir à mener un contrôle sur place, auprès des responsables des sites internet, ou à avoir recours un constat d'huissier pour donner force probante à leurs constatations.
Cette nouvelle disposition, qui ne modifiera ainsi nullement les pouvoirs de la CNIL, lui permettra ainsi d'apporter une réponse rapide à certaines situations sur internet : en l'état actuel, la CNIL ne peut réagir rapidement à tout manquement à la loi « Informatique et libertés » sur internet puisqu'elle doit pour cela mener des contrôles sur place auprès des responsables des sites internet, ou avoir recours à un constat d'huissier, ce qui peut prendre parfois plusieurs jours. Avec cette disposition, les agents de la CNIL pourront se servir des constatations réalisées sur internet, comme pourrait le faire n'importe quel internaute, pour obtenir immédiatement des responsables qu'il soit mis fin aux manquements, ce qui participera à une protection renforcée des consommateurs, par exemple dans le cas de sites internet commerciaux.
Il convient enfin de préciser que le principe du contradictoire restera totalement respecté par cette disposition nouvelle, puisque le procès-verbal établi par la CNIL suite à ces constatations en ligne sera toujours notifié pour observations au responsable de traitement, comme tout procès-verbal établi après contrôle sur place. Cela relève cependant du domaine règlementaire, et nécessitera la modification d'une disposition du décret n° 2005‑1309 du 20 octobre 2005 portant application de la loi du 6 janvier 1978 modifiée.
Aucun commentaire n'a encore été formulé sur cet amendement.