La Cnil devrait bientôt disposer d’un nouveau pouvoir : réaliser des contrôles en ligne sous une identité d’emprunt, c’est ce que prévoit le projet de loi relatif à la protection des données personnelles (1).
Ce pouvoir vient enrichir les pouvoirs de la Cnil déjà en sa possession.
Les contrôles de la Cnil
Afin de s’assurer de la conformité de la mise en œuvre d’un traitement de données à caractère personnel avec la loi Informatique et libertés (2), et, à compter du 25 mai 2018, du Règlement général sur la protection des données à caractère personnel (RGPD), la Cnil dispose de différents moyens de contrôler les responsables du traitement.
Ainsi, la Cnil peut effectuer quatre types de contrôle :
- les contrôles sur place : ceux-ci se déroulent dans les locaux du responsable du traitement ;
- les contrôles sur convocation : ils s’effectuent dans les locaux de la Cnil, après convocation du responsable du traitement ;
- les contrôles sur pièces : qui consistent à demander la communication de tout renseignement ou document utile ;
- les contrôles en ligne : qui permettent à un agent de la Cnil de contrôler les données disponibles sur un service de communication au public en ligne et de retranscrire ces données.
A la suite de ces contrôles, un procès-verbal est dressé et communiqué au responsable du traitement contrôlé.
Le RGPD prévoit que des opérations conjointes pourront être effectuées par plusieurs autorités européennes de protection des données.
Les contrôles en ligne
La loi n° 2014-344 du 17 mars 2014 relative à la consommation, dite « loi Hamon », créée la possibilité pour les agents de la Cnil de procéder à des contrôles en ligne. Les données contrôlées à cette occasion sont les données disponibles au public, mises à disposition par le responsable du traitement. Il s’agit de données accessibles à toute personne en se rendant sur un site internet.
Les contrôles en ligne permettent à la Cnil de s’assurer du respect des règles relatives à la protection des données personnelles par un hébergeur de données personnelles en ligne et à l’absence de faille de sécurité sur le site internet concerné.
En effet, en raison du nombre important de données à caractère personnel collectées à cette occasion et de la facilité qu’ont les responsables de traitement à obtenir ces données par ce biais, il était nécessaire d’adapter les pouvoirs de la Cnil.
Les internautes ne prenant pas toujours garde aux données personnelles qui leurs sont demandées de fournir en ligne et répondant favorablement aux demandes de collecte d’information qui ne sont pas toujours nécessaires à la finalité du traitement.
Néanmoins, les responsables du traitement avaient connaissance de ce contrôle et pouvaient identifier les agents de la Cnil. Ce ne sera bientôt plus le cas.
Des contrôles en ligne effectués sous un nom d’emprunt
Le projet de loi relatif à la protection des données personnelles modifie l’article 44 de la loi Informatique et libertés et permet aux agents de la Cnil d’effectuer des contrôles en ligne sous une identité d’emprunt, sans que celle-ci n’ait une incidence sur la régularité de la procédure.
Pour le contrôle de services de communication au public en ligne, les membres et agents mentionnés au premier alinéa du I peuvent réaliser toute opération nécessaire à leur mission sous une identité́ d’emprunt. L’utilisation d’une identité́ d’emprunt est sans incidence sur la régularité́ des constatations effectuées conformément à l’alinéa précédent. Un décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés précise les conditions dans lesquelles ils procèdent dans ces cas à leurs constatations. »
En pratique, ils pourront donc utiliser une adresse électronique autre que celle de la Cnil ainsi qu’un pseudonyme pour effectuer des contrôles sur internet.
Un décret viendra préciser les conditions dans lesquelles se dérouleront ces contrôles.
Ce système n’est pas nouveau. Il est déjà mis en place par l’Autorité des marchés financiers (AMF) pour permettre aux agents chargés des enquêtes d’effectuer leur contrôle sous une identité d’emprunt (3) ainsi que pour les contrôles effectués par l’Autorité de la concurrence et la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) (4).
A la suite de ce contrôle, sera dressé un procès-verbal expliquant les éléments contrôlés, les modalités et le résultat. Le responsable du traitement est donc informé a posteriori de l’enquête.
Virginie Bensoussan Brulé
Debora Cohen
Lexing Contentieux numérique
(1) Projet de loi relatif à la protection des données personnelles (Texte adopté en 1ère lecture par l’Assemblée nationale le 13-02-2018).
(2) Loi 78-17 du 6-1-1978, art. 11.
(3) Code monétaire et financier, art. L.621-10-1.
(4) Code de commerce, art. L.450-3-2, II.