Impact de la loi Hamon sur la protection des données personnelles
Parmi les diverses dispositions de la loi Hamon du 17 mars 2014 portant essentiellement sur la réforme du droit de la consommation, le législateur a également adopté plusieurs mesures visant à renforcer les pouvoirs d’investigation de la CNIL.
La loi Hamon a ainsi modifié l’article 44 de la loi Informatique et Libertés aux fins d’habiliter les agents de la CNIL à procéder à des contrôles en ligne leur permettant de vérifier à distance via le réseau internet la conformité des traitements de données personnelles mis en œuvre et de constater les éventuels manquements à la loi.
Cette nouvelle prérogative s’ajoute à la procédure de contrôle sur place d’ores et déjà prévue par la loi et qui autorise les agents de la CNIL à accéder aux locaux et installations professionnels du responsable de traitement où sont mis en œuvre ou stockés les fichiers de données personnelles. Ainsi, la CNIL est investie du pouvoir de vérifier sur place les dispositifs de traitement, de consulter ou d’obtenir sur demande écrite les documents relatifs aux fichiers et de procéder à des auditions des personnes impliquées dans leur mise en œuvre.
Dorénavant, les agents de la CNIL pourront également « à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle » (quatrième alinéa, article 44 III loi Informatique et Libertés).
Il convient de préciser que pour ces opérations de contrôle effectuées à distance, le procès-verbal ne sera pas établi de façon contradictoire mais sera notifié au responsable de traitement a posteriori afin que ce dernier puisse faire connaître ses éventuelles observations.
De façon plus accessoire mais néanmoins significative, la loi Hamon prévoit désormais que la CNIL pourra de sa propre initiative déterminer les produits et procédures susceptibles de bénéficier d’un label de conformité à la loi Informatique et Libertés (article 11, 3° (c) de la loi Informatique et Libertés). Rappelons que ces labels ont pour objet de distinguer les entreprises pour la qualité de leur service et de véhiculer auprès des utilisateurs un indicateur de confiance en leur permettant aisément d’identifier et de privilégier les prestations ou les sites web de ces entreprises qui garantissent un haut niveau de protection de leurs données personnelles. Ce label peut désormais être retiré par la CNIL lorsqu’elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites.
Enfin, outre l’extension des pouvoirs reconnus à la CNIL, la loi Hamon prévoit qu’à l’occasion de leurs enquêtes, les agents de la DGCCRF sont habilités à constater les infractions à la loi Informatique et Libertés et peuvent communiquer ces constatations à la CNIL (article L.141-1 VI modifié du code de la consommation). Le législateur entérine ainsi le partenariat existant entre ces deux autorités administratives depuis le protocole de coopération pour la protection des données personnelles des consommateurs signé en janvier 2011. Toutefois, seule la CNIL garde un pouvoir coercitif à l’égard des manquements constatés et pourra prononcer les sanctions correspondantes.
Ces différents aménagements vont dans le sens de la multiplication des contrôles effectués par la CNIL en facilitant l’exercice de ses missions de vérification dans un environnement numérique. Le renforcement de ses pouvoirs devrait permettre à l’autorité de protection des données de constater plus rapidement les manquements à la loi et les failles de sécurité sur internet. En particulier, la CNIL pourra directement vérifier la conformité des mentions d’information figurant sur les formulaires en ligne ou les modalités de recueil du consentement en matière de cookies ou de prospection commerciale électronique. Dans ce contexte, il est primordial pour les responsables de traitement gestionnaires de sites de mettre en œuvre toutes les mesures correctives nécessaires pour s’assurer de la conformité légale de leurs traitements de données.
Sabine DELOGES
Téléchargez cet article au format .pdf
Confirmation en appel du statut d’éditeur d’un site de vente aux enchères et de parking de noms de domaine