13 juin 2018

Sur le vif

A propos de la Loi sur la protection des données personnelles, le Conseil constitutionnel estime que les demandes du Régulateur de "mise en conformité" ne sont pas des sanctions

par Marie-Anne Frison-Roche

La France comme Etat-membre de l'Union européenne devait transposer le Règlement de l'Union européenne sur la protection des personnes sur l'usage fait des données qui les concernent et sur la circulation de celles-ci, désormais célèbre sur le seul sigle "RGPD".

Le gouvernement français avait décidé de profiter de cette transposition pour d'une part ne pas effacer la Loi de 1978, puisque l'esprit de celle-ci n'est en rien remis en cause par le Règlement communautaire lequel reprend au contraire ce qui anima cette loi fondatrice à savoir le besoin de protection des personnes sans pour autant bloquer le progrès technique et le déploiement économique, et d'autre part accroître le dispositif communautaire dans ce double sens de protection de la personne et de libre circulation et disposition des données comme matériau pour construire de nouveaux produits, de nouvelles entreprises, de nouveaux marchés. Le monde digital a pour pavés les données et il n'est pas question de l'enterrer.

Le Conseil constitutionnel dans la décision de contrôle de la loi adoptée, décision a priori adoptée avant la promulgation de la loi, décision du 12 juin 2018, Loi sur la protection des données, a donc l'occasion de rappeler des règles générales, notamment quant à l'ampleur du contrôle constitutionnel sur des lois de transposition, mais encore de revenir sur le pouvoir du Régulateur, au niveau français la CNIL.

Le Parlement a profité de l'exercice de transposition pour accroître les pouvoirs de celle-ci, ce qui est contesté devant le Conseil constitutionnel. Les reproches étaient parfois de simples vétilles. Ainsi le texte a un peu accru le pouvoir d'être consulté et les requérants trouvaient l'extension imprécise, mais cela fût rejeté. 

Plus sérieusement au regard du principe de l'impartialité objective, les requérants se souciaient du fait que les personnes du service des sanctions demeurent sous l'autorité du président de la CNIL, mais le Conseil a estimé que le dispositif était constitutionnel, puisque "seuls parmi les agents de la Commission nationale de l'informatique et des libertés peuvent être présents au cours des délibérés de sa formation restreinte ceux chargés de la tenue de la séance. La circonstance que ces agents sont placés sous l'autorité du président de cette commission ne méconnaît pas le principe d'impartialité". Peut-être que l'argument de l'efficacité et de la simplicité l'ont-ils emporté.

Plus sérieusement encore, c'est presque sans motivation que le moyen concernant l'absence de disposition excluant les "pouvoirs publics constitutionnels" du système de  contrôle de la CNIL, ce qui aurait pu contrevenir à la séparation des pouvoirs, a été rejeté.  Non pas que la solution ne puisse être fondée mais la réponse comme quoi "es opérations de contrôle de la Commission nationale de l'informatique et des libertés ne sauraient mettre en cause le fonctionnement régulier des pouvoirs publics constitutionnels" est un peu courte. Au contraire un développement sur l'articulation entre les pouvoirs de ces AAI, hiérarchiquement mal situés, et les "pouvoirs publics constitutionnels", par nature situés et au plus haut, aurait été bienvenu. 

Plus sérieusement encore vient la question des sanctions. Tout est affaire de qualification. Et c'est là qu'on retrouve toute l'efficacité du Droit de la Compliance.

La loi nouvelle modifie la loi de 1978 et offre notamment au président en cas de "manquement aux obligations découlant du Règlement du 27 avril 2016 et de la loi du 6 janvier 1978" de prononcer avertissements et mises en demeure pouvant être publiés, de saisir la formation restreinte de la Commission notamment pour le prononcé d'une amende pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffres d'affaires. 

Les requérants invoquent la violation du principe d'impartialité car c'est la même personne, le Président, qui d'une façon successive et disproportionnée, peut frapper publiquement.

La réponse du Conseil consiste à refuser la qualification de "peine" pour aller sur la qualification de "mise en conformité".  La décision est rédigée en ces termes : "lorsqu'un manquement constaté est susceptible de faire l'objet d'une mise en conformité, le premier alinéa du paragraphe II de l'article 45 permet au président de la commission de mettre en demeure le responsable du traitement ou son sous-traitant de prendre les mesures nécessaires à cette fin. Elle vise ainsi à permettre à son destinataire de se mettre en conformité avec le règlement du 27 avril 2016 ou la loi du 6 janvier 1978. Sa méconnaissance n'emporte aucune conséquence. Si cette mise en demeure peut être rendue publique, à la demande du président et sur décision du bureau de la commission, cette publicité ne lui confère pas, en l'espèce, la nature d'une sanction ayant le caractère d'une punition. Par conséquent, le grief tiré de la méconnaissance du principe d'impartialité doit être écarté comme inopérant. ".

Cet exercice de disqualification continue puisque le Conseil constitutionnel constitue de la même façon que "l'avertissement" adressé par un opérateur ne peut être examinée au regard du principe du cumul des sanctions, parce que ... un avertissement n'est pas une sanction. 

C'est une façon familière de faire : pour mieux frapper, il faut mais il suffit de ne pas reconnaître la nature du coup. Mais aller jusqu'à écrire que "la méconnaissance n'emporte aucune conséquence", alors même que par ailleurs le Conseil d'Etat a fini par admettre que l'effet produit par la parole d'un régulateur constitue un acte de droit souple contre lequel l'entreprise peut effectivement saisir un juge, cela n'est pas admissible. 

 

______

 

 

 

 

 

 

les commentaires sont désactivés pour cette fiche