Les autorités administratives indépendantes (AAI) ont d’abord été instituées par le législateur pour assurer la protection de l’individu contre les empiètements étatiques dans sa sphère de libertés. En témoigne la création de la Commission Nationale de l’Informatique et des Libertés par la loi du 6 janvier 1978. La CNIL a d’abord été conçue comme l’instrument de la protection des libertés individuelles contre le danger que constituait l’utilisation par l’Etat des moyens de traitement informatique qui apparaissaient alors. Les traitements de données à caractère personnel réalisés par les personnes publiques devaient, par principe, faire l’objet d’une autorisation de la CNIL.
Les AAI sont progressivement devenues l’instrument de la régulation d’un secteur déterminé. C’est le cas pour le secteur de l’audiovisuel par l’actuel CSA[1], celui des marchés financiers par l’AMF[2], celui des télécommunications par l’ARCEP[3]. Ce faisant, les pouvoirs des AAI ont évolué. Certaines AAI cumulent parfois le pouvoir de créer leurs propres normes, d’en contrôler l’application, et d’en sanctionner le respect[4]. Le contrôle ultérieur du juge civil ou administratif des actes ou décisions de ces AAI peut parfois sembler tardif et difficile à mettre en œuvre pour les justiciables.
De surcroît certaines AAI, comme la CNIL, l’AMF et l’Autorité de la concurrence, sont dotées d’importants pouvoirs d’investigation afin d’établir l’existence des pratiques illicites qui relèvent de leur compétence. Celles-ci se sont vues reconnaître la possibilité pour leurs agents de procéder à des visites dans les locaux des entreprises et de saisir des informations sous toutes formes[5].
Non sans y avoir été contraint à la suite de l’intervention de la Cour Européenne des Droits de l’Homme, le législateur français a établi un corps de règles encadrant ces opérations de visite et de saisie[6]. L’ébauche d’une procédure « para-pénale » se dessine. Ces opérations doivent être préalablement autorisées par une ordonnance motivée du Juge des libertés et de la détention du Tribunal de grande instance des lieux à visiter. L’ordonnance du JLD peut faire l’objet d’un appel devant le premier président de la cour d’appel. La visite, qui ne peut commencer avant 6 heures ou après 21 heures, est effectuée en présence de l’occupant des lieux ou de son représentant. Une copie intégrale de l’ordonnance du JLD autorisant la visite doit lui être remise au moment de la visite. Celle-ci doit comporter la mention de la faculté pour l’occupant des lieux de faire appel à un conseil de son choix. Les agents de l’AAI[7] sont « accompagnés » par un ou des officiers de Police judiciaire qui veillent au bon déroulement des opérations. Il est loisible pour le JLD de venir assister à ces visites, et de prendre des mesures immédiates de cessation des opérations s’il observe une violation par les agents de l’AAI des règles à respecter. Le déroulement des opérations de visite ou saisie peut faire l’objet d’un recours devant le premier président de la cour d’appel dans le ressort du juge les ayant autorisées.
Ainsi, l’autorité judiciaire contrôle de façon préalable le principe des opérations. Elle peut également être saisie en cas de litige sur le déroulement même des opérations. Il importe que le juge use pleinement de son pouvoir de contrôle.
Récemment, le Conseil d’Etat a jugé que la CNIL avait porté une atteinte excessive au respect du domicile, protégé par la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales, en n’informant pas suffisamment le responsable des lieux visités sur la possibilité de s’opposer aux opérations de saisie. Les agents habilités par la CNIL s’étaient contentés de préciser qu’ils effectuaient ces opérations en application de l’article 44 de la loi du 6 janvier 1978, sans préciser les droits dont bénéficiait le responsable des lieux en application de cet article[8].
Le déroulement de ces opérations fait l’objet d’un contentieux nourri devant les JLD, témoignant du fait qu’elles ne sont pas sans rencontrer une certaine « résistance » du corps social. N’oublions pas que les matières dans lesquelles s’opèrent ces opérations sont loin de constituer des domaines dans lesquels la protection des individus impose, comme en matière pénale, qu’il puisse être porté atteinte aux libertés individuelles. La recherche de comportements anti-concurrentiels d’acteurs du marché ne nécessite certainement pas qu’il soit porté atteinte au secret des correspondances privées ou à l’intimité de la vie privée au même titre que la lutte contre la criminalité organisée ou le terrorisme.
Parmi les critiques qui peuvent entourer ces opérations aux regards du respect des libertés individuelles, un point mérite une attention nouvelle : celui de la collecte des données personnelles des salariés des entreprises objets d’une enquête.
Dans le cadre de ses opérations de saisie, l’Autorité de la concurrence, par exemple, a pour pratique de saisir l’intégralité des boîtes aux lettres électroniques des salariés. Chacun sait qu’aujourd’hui, les boites aux lettres électroniques des salariés, principalement utilisées dans le cadre de leur travail, contiennent également de la correspondance privée. La licéité de ce comportement a d’ailleurs été admise par la CNIL et la Cour de cassation[9]. Certains des mails privés saisis par l’Autorité de la concurrence sont sans aucun rapport avec l’enquête de concurrence en cours. Ils sont même parfois particulièrement intimes ou sensibles, contenant par exemple des informations sur des comptes bancaires, sur la vie sexuelle ou les opinions politiques des individus. Ces e-mails constituent des données personnelles.
Il est donc nécessaire de s’interroger sur l’application de la loi du 6 janvier 1978 à ces opérations et les conséquences à en tirer[10].
1 La protection des données à caractère personnel lors des opérations de saisie opérées par les Autorités administratives indépendantes
1.1 L’applicabilité de la loi du 6 janvier 1978 aux opérations de saisie des messageries électroniques des salariés
Il résulte de son article 2 alinéa 1er que la loi du 6 janvier 1978 s’applique, d’une part, aux traitements automatisés de données à caractère personnel et, d’autre part, aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers.
Un courrier électronique, en sus de constituer une correspondance privée, contient un certain nombre de données à caractère personnel, au sens de l’article 2 alinéa 2 de la loi du 6 janvier 1978 et notamment : le nom de l’émetteur, le nom du ou des destinataires, le contenu du message, éventuellement, des informations sur d’autres personnes physiques contenues dans le message. Ces données sont bien des « informations » relatives « à une personne physique identifiée ou qui peut être identifiée », conformément à l’article 2 alinéa 2 précité.
La question se pose de savoir si la collecte des informations personnelles opérées lors des opérations de saisie entre dans le champ d’application de la loi du 6 janvier 1978.
Lorsqu’ils procèdent à des opérations de saisies, les agents des AAI, telles que ceux de l’Autorité de la concurrence, reproduisent sur des supports numériques de type DVD-ROM les courriers électroniques présents sur les postes des salariés de la personne morale objet de l’enquête Ces reproductions sont réalisées dans le but de consultation ultérieure par les agents et les membres de l’Autorité.
Il ne fait pas de doutes que la reproduction sur un support informatique de courriers électroniques puis le chargement dans la mémoire d’un ordinateur et l’affichage sur un écran desdits courriers électroniques constitue un traitement automatisé de données à caractère personnel au sens de l’article 2 alinéa 3 de la loi du 6 janvier 1978. Cet article définit le « traitement » comme « toute opération ou tout ensemble d’opérations portant sur » des données à caractère personnel « quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».
La notion de « traitement » est éclairée par les travaux parlementaires relatifs à la réforme de la loi de 1978. Le Sénateur Alex Türk, dans son rapport de mars 2003[11], écrit à propos de la notion de la notion de « traitement » que « cette définition extensive permet d’inclure des traitements qui ne sont pas délibérément structurés comme des fichiers mais qui, du fait même des applications technologiques collectant des données, peuvent être exploités comme tels ». Il précise également que « la directive s’applique à toutes les formes de traitements automatisés, qu’ils se rapportent ou non à l’exploitation de fichiers ou de bases de données, la Commission européenne ayant jugé dépassée la notion de « fichier ». La seule référence à la notion de traitement doit permettre d’appliquer les règles de la protection à toute technologie et à toute organisation particulière de données. Les opérations de collecte constituent en elles-mêmes un traitement, et la mise en œuvre d’une seule des opérations énoncées par l’article 2,b) de la directive suffit à caractériser le traitement de données ».
Ainsi, la saisie par des moyens informatiques par les agents de l’Autorité de la Concurrence ou de l’AMF répond en tout point à la notion de traitement de données à caractère personnel telle que définit par la loi du 6 janvier 1978.
1.2 L’applicabilité de la loi du 6 janvier 1978 aux AII
L’objectif premier de la loi du 6 janvier 1978 est de protéger le citoyen à l’encontre de l’usage abusif et attentatoire aux libertés individuelles qu’il peut être fait des moyens informatiques par les autorités publiques. M. le Sénateur Alex Türk relevait ainsi, dans son rapport fait au nom de la Commission des lois du Sénat le 19 mars 2003, que « les traitements automatisés d’informations nominatives opérés pour le compte de l’Etat, des établissements publics, des collectivités territoriales et des personnes morales de droit privé gérant un service public sont présumés dangereux ».
Il en est résulté, dans la version d’origine de la loi du 6 janvier 1978, un régime d’autorisation des traitements de données personnelles mis en œuvre par l’Etat par acte réglementaire pris après avis favorable ou décret sur avis favorable du conseil d’Etat.
Dans sa version issue de la loi n°2004-801 du 6 août 2004, cette protection de l’individu contre les traitements mis en œuvre par la puissance publique est instituée notamment à l’article 25. Celui-ci prévoit une autorisation préalable de la CNIL pour mettre en œuvre les traitements portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, ainsi que les traitements automatisés susceptibles (du fait de leur nature, de leur portée ou de leurs finalités) d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire. Dans le même esprit, l’article 26 dispose que sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l’État qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.
Aux fondements de ces textes, la CNIL est intervenue à de nombreuses reprises pour autoriser ou rendre son avis sur des traitements mis en œuvre par l’Etat dans le cadre de la prévention ou de la recherche des infractions pénales[12]. Ce qui est vrai pour les traitements mis en œuvre par l’Etat doit l’être également pour les AAI et il n’y a aucune raison de les extraire du champ d’application de la loi du 6 janvier 1978.
2 Les conséquences de la soumission à la loi du 6 janvier 1978 des opérations de saisie opérées par les AAI
2.1 Le traitement loyal et proportionné des données personnelles des salariés
Les opérations de saisie auxquelles se livrent les AAI en ayant le pouvoir aboutissent fréquemment à la collecte massive et indifférenciée de plusieurs centaines voire milliers de courriers électroniques. A raison du caractère exhaustif de ces opérations, qui portent sur l’intégralité de la boîte mails d’un ou plusieurs salariés de l’entreprise sujet de l’enquête, elles conduisent nécessairement à la collecte de courriers électroniques qui n’ont aucun rapport avec l’enquête diligentée. Si parmi ces e-mails en figurent d’autres à caractère professionnel, sur des sujets qui n’intéressent pas les enquêteurs, il en est également un bon nombre de purement personnels.
L’article 6-3° de la loi du 6 janvier 1978 pose comme principe qu’un traitement ne peut porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Lorsque l’Autorité de la concurrence, à l’occasion d’une opération de visite, procède à la collecte indifférenciée de courriers électroniques, sans écarter des opérations ni même tenter d’écarter des opérations de collecte les courriers électroniques personnels, il ne semble pas que cette collecte puisse être considéré comme adéquate, pertinente et non excessive au regard de sa finalité, à savoir la recherche d’infractions aux titres II et III du livre IV du Code de commerce.
On pourra faire un parallèle entre ces opérations diligentées par les AAI et les opérations auxquelles sont parfois contraintes de collaborer les entreprises françaises dans le cadre de la procédure américaine dite de « e-Discovery ». Il s’agit d’une phase du procès civil au cours de laquelle chaque partie a l’obligation de divulguer à l’autre tous les éléments de preuve pertinents dont elle dispose, même s’ils sont contraires à ses intérêts. Dans sa recommandation du 23 juillet 2009[13] la CNIL a rappelé l’absolue nécessité de garantir la qualité et la proportionnalité des données quand bien même le traitement serait mis en œuvre dans le cadre de procédures d’enquêtes, d’instructions ou d’investigations légalement admises. La CNIL relève ainsi : « une vérification sérieuse concernant la proportionnalité et la qualité des données collectées et communiquées est fondamentale et doit être effectuée de manière objective afin de garantir que seuls les éléments légalement autorisés sont communiqués […] ». Elle a également insisté sur le fait que « dans de nombreux cas, la communication d’information ne nécessite pas la communication de données personnelles. A cet effet, l’équipe en charge de la recherche et de la communication d’informations devra alors mettre en œuvre des procédures d’anonymisation et de pseudonymisation […] des informations pour éviter la communication de données personnelles inutiles ou accessoires au procès ». Et de préciser enfin que « si des données personnelles sont nécessaires, les catégories de données pouvant être communiquées doivent se limiter à : – identité, fonctions, coordonnées de la personne concernée, – éléments strictement relatifs au contentieux en cours ».
Corolaire du principe de loyauté, l’obligation d’information qui pèse sur le responsable du traitement est posée par l’article 32 de la loi du 6 janvier 1978. Celui-ci impose à tout responsable du traitement, quelle que soit sa qualité, de droit privé ou de droit public, de fournir à la personne auprès de laquelle sont recueillies des données à caractère personnel certaines informations et notamment : l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ; la finalité poursuivie par le traitement auquel les données sont destinées ; des destinataires ou catégories de destinataires des données ; de son droit d’opposition et de rectification.
2.2. La sécurité des données collectée
L’article 34 de la loi du 6 janvier 1978 met à la charge du responsable de traitement une obligation positive de « prendre toutes les précautions utiles pour préserver la sécurité des données ». Lors de la déclaration d’un traitement auprès de la CNIL, il est ainsi demandé au responsable de traitement de pouvoir justifier des mesures de sécurité qu’il met en place compte tenu de la sensibilité du traitement.
Il est légitime de s’interroger sur les précautions que les AAI peuvent mettre en place pour garantir la sécurité et la confidentialité des données personnelles saisies (par exemple un cryptage des disques optiques, une traçabilité des accès aux données).
Sur cette question, on remarquera que, en son temps, la Commission des opérations de bourse (COB) avait pris soin de soumettre à l’avis de la CNIL sa décision de mettre en œuvre son « fichier des enquêtes », traitement ayant pour finalité la conservation et la gestion des informations utiles à la constatation des infractions que la COB avait pour mission de rechercher. Dans sa délibération du 22 février 2001[14], la CNIL avait rendu un avis favorable à la mise en œuvre de ce traitement, tout en prenant soin de souligner que :
– les destinataires des données collectées étaient limitativement énumérés et qu’il ne pouvait s’agir que des « enquêteurs du service de l’inspection de la COB titulaires d’une habilitation, et ce dans le cadre strict de leurs activités professionnelles » ;
– les informations ne pouvaient être consultées directement par ces personnes, mais uniquement par l’intermédiaire d’une personne unique, dévolue à cette tâche ;
– le fichier était implanté sur un poste unique qui ne serait pas en réseau et ne serait connecté à aucun autre fichier et son accès était protégé par un mot de passe ;
– le président de la COB s’était engagé à « informer les intéressés de leurs droits par une référence dans la brochure intitulée « vos droits à l’occasion d’une enquête de la Commission des opérations de bourse » ».
Ce n’est donc qu’après avoir constaté que le traitement était entouré de certaines garanties essentielles en matière de sécurité des données que la COB a pu mettre en œuvre le traitement.
*
* *
Le principe est donc établi : la loi informatique et libertés vient s’appliquer de manière complémentaire aux règles procédurales qui sont établies par ailleurs et il doit nécessairement en aller de même lorsque la procédure d’investigation en question est menée par une Autorité administrative indépendante à laquelle il revient alors de veiller au respect des garanties essentielles posées par la loi informatique et libertés.
[1] Conseil Supérieur de l’Audiovisuel, crée par la loi n°89-25 du 17 janvier 1989
[2] Autorité des Marchés Financiers, créée par la loi n°2003-706 du 1er août 2003
[3] Autorité de Régulation des Communications Electroniques et des Postes, créée par la loi n°2005-516 du 20 mai 2005, anciennement l’Autorité de Régulation des Télécommunications
[4] Ainsi de la CNIL. Voir articles 11, 24, 25, 44, 45 à 49 et 54 de la loi du 6 janvier 1978
[5] Pour l’Autorité de la concurrence : art. L.450-4 C. Com, pour l’AMF : art L.6221-12 CMF
[6] V. L621-12 du Code monétaire et financier pour l’AMF et L.450-4 du code de commerce pour l’Autorité de la concurrence
[7] Les agents de l’AAI sont assermentés et consignent les informations relatives aux opérations (déroulement et scellés) dans des procès verbaux.
[8] CE, 6 nov. 2009, n° 304300, Publié au recueil Lebon ; RLDI, n°205, 01/12/2009, « Procédure de contrôle sur place par la CNIL, le rappel du Conseil d’Etat.
[9] Rapport annuel de la CNIL du 18 décembre 2003, « La cybersurveillance sur les lieux de travail » ; Cass. Soc. 21 octobre 2009, n° 07-43877
[10] Mais si l’accent est mis sur les AAI dans le cadre de cet article, les réflexions qui suivent n’ont pas seulement vocation à s’appliquer aux opérations de saisie réalisées par les agents des services d’instruction de l’Autorité de la concurrence, agissant dans le cadre de l’article L450-1-I du Code de commerce, mais également aux opérations menées par les agents de la DGCCRF agissant dans le cadre de l’article L450-1-II du même code.
[11] Rapport en date de du 19 mars 2003 fait au nom de la commission des lois.
[12] Par exemple : Arrêté du 16 janvier 2008 portant création d’un traitement automatisé de données à caractère personnel dénommé « numérisation des procédures pénales »
http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/196/ ; Arrêté du 18 mai 2009 portant création d’un traitement automatisé de contrôle des données signalétiques des véhicules
http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/202/
[13] Délibération n°2009-474
[14] Délibération n°2001-009.
