Olivier Iteanu, avocat spécialisé en droit du numérique et dans la data, estime que le Gouvernement devrait dissoudre la Commission Nationale de l’Informatique et des Libertés (Cnil). Qui pourrait alors renaitre en « agence du numérique » afin de tenir compte de toutes les nouvelles missions auxquelles le « gendarme des données personnelles » est confronté. En effet, la montée en charge des algorithmes, de l’intelligence artificielle, etc., vont requérir une « défenderesse » du bien commun.
Née de la première loi jamais votée sur l’informatique, le 6 janvier 1978, la Commission Nationale de l’Informatique et des Libertés (Cnil) est l’une des institutions du monde du droit les plus connues de la population française. On la nomme également le gendarme des données personnelles.
Le statut juridique de la CNIL est celle d’une Autorité Administrative Indépendante (AAI). Elle a été la première du genre quand, aujourd’hui, ces AAI sont près de 45 en France. Son statut en fait d’ailleurs un OVNI juridique. Elle est dite à la fois « Administrative » car elle dépend du budget de l’Etat et est contrôlée par la Cour des comptes, et « Indépendante », ce qui peut paraît contradictoire, car elle est censée contrôler l’Etat lui-même dans ses activités touchant aux données personnelles. Cette indépendance découle du mode de désignation des 18 membres qui la composent. Ceux-ci sont désignés par diverses institutions (notamment Cour de Cassation, Conseil d’Etat) y compris le Parlement et cinq personnalités qualifiées, et ils sont non révocables jusqu’au terme de leurs mandats, ce qui doit les mettre à l’abri des pressions.
On en demande beaucoup à la CNIL
Le RGPD et ses nouvelles sanctions administratives entrées en application le 25 mai 2018 prévoient qu’elle peut prononcer des amendes jusqu’à 4% du chiffre d’affaires, mondial, global et total. De ce fait, en 2020, seconde année complète d’application du RGPD, et en dépit des confinements qui se sont enchainés et ont ralenti son action, ce sont près de 138,5 millions d’amendes qui ont été prononcées par la CNIL sur l’année 2020.
Pourtant, ses moyens sont dérisoires pour la tache qui est attendue d’elle : un peu plus de 220 personnes au total pour toute la France, travaillent à la CNIL pour un budget annuel de 20 millions d’euros, les amendes prononcées tombant dans l’escarcelle de l’Etat. Cette situation est peut-être la conséquence de ce que les décideurs, notamment européens, continuent à cantonner les CNIL européennes dans leur sphère spécialisée du droit des données à caractère personnel. Or il y a bien longtemps que la CNIL est sortie de la boite étroite où l’avait mise la Loi relatives à l’informatique, aux fichiers et aux libertés de 1978.
L’une des premières à s’intéresser à la cybersurveillance des salariés
Ainsi, elle a été l’une des premières à s’intéresser à la cybersurveillance des salariés en entreprise dans un rapport de 2002 et intervient régulièrement dans la sphère du droit du travail. Le RGPD dicte dans son article 28 les stipulations devant figurer aux contrats liant responsable de traitement au sous-traitant, et elle publie régulièrement des clauses contractuelles proposées au public. Le droit de la consommation transpire aussi de toute la réglementation applicable, avec ses obligations d’information imposées ou ses droits individuels reconnus qui pourraient parfaitement être intégrées au Code de la consommation.
Par ailleurs, comme la CNIL l’indique elle-même, elle est de plus en plus souvent saisie pour des problématiques liées à la cybersécurité. Or les mesures qu’elle préconise, par exemple un usage plus significatif de la cryptologie ou une politique de mot de passe adaptée aux risques de tentatives d’intrusion, bénéficient à tout le système d’information, bien au-delà des seules données personnelles.
3 branches du droit infusées par la CNIL et la réglementation qu’elle applique
Le RGPD édicte même un régime de responsabilité particulier et propre, bouleversant le droit de la responsabilité civile de droit commun tant en matière contractuel que délictuel. En clair, ce sont de trop nombreuses branches du droit qui sont infusées par la CNIL et la réglementation qu’elle applique. Des Tribunaux de commerce aux Conseils des Prud‘hommes, en passant par les Tribunaux judiciaires au civil comme au pénal, les débats sonnent de plus en plus au son du RGPD et de la doctrine de la CNIL. Sans compter que de nombreux sujets du domaine des algorithmes, de l’intelligence artificielle, de la santé, essentiels à l’avenir de nos sociétés, vont requérir une parole qui porte, et défenderesse du bien commun.
Les pouvoirs publics devraient donc prendre acte de cette évolution et dissoudre la CNIL
Les pouvoirs publics devraient donc prendre acte de cette évolution fulgurante et, pour passer le braquet supérieur, dissoudre la CNIL. Il s’agirait ensuite, tel le phénix qui renait de ses cendres, qu’elle renaisse en « agence du numérique », autorité chargée en général et par défaut de toutes questions du domaine du numérique, hors des domaines spécialisés de la propriété intellectuelle et des contenus illicites réservés à d’autres institutions.
Alors peut-être, cette nouvelle ambition réévaluée, des moyens et des ressources à hauteur des enjeux seraient mobilisés pour cette grande agence du numérique, au bénéfice de tous.
Par Olivier Iteanu, avocat à la Cour et Chargé d’enseignement à l’Université Paris I Sorbonne en droit du numérique et de la data