Les sanctions prononcées par la formation restreinte de la CNIL depuis l’entrée en application du RGPD mettent en évidence une contestation systématique de la régularité de la procédure suivie.
En droit, rien d’étonnant. Etant administrative, la sanction est susceptible d’un recours en excès de pouvoir. Et en la matière, même si les arguments sont voués à l’échec, il est classique d’attaquer la régularité formelle. Sait-on jamais.
L’influence de la matière pénale n’est pas loin non plus. A l’instar d’un prévenu, il s’agit pour les responsables de traitement de « faire tomber » les poursuites.
A ma connaissance, cette stratégie contentieuse n’a jamais prospéré. Pire, elle contribue à réduire la « surface d’attaque » contre les sanctions.
Classiquement, la CNIL se voit reprocher d’entrer immédiatement en voie de condamnation, sans adresser une mise en demeure préalable au responsable de traitement. Ce changement d’attitude de la Commission a été permis par le RGPD et les réformes législatives consécutives. Le Conseil d’Etat l’a intégralement validé (CE, 17 avril 2019, n° 422575).
Le législateur a également validé le recours à une identité d’emprunt, dans le cadre de contrôle en ligne. En effet, le principe de loyauté de la preuve – qui interdit notamment de se prévaloir d’une preuve obtenue de façon frauduleuse – interdit en principe de recourir à un pseudonyme pour réaliser un constat, ce qui en la matière aurait privé le constat en ligne de la discrétion nécessaire aux opérations.
Dans une décision du 28 mai 2019 (n° SAN-2019-005), la CNIL a rejeté une défense peu banale. Le responsable de traitement faisait état d’un manquement au principe de loyauté de la preuve. Quelle fraude était reprochée à la Commission ? pas moins que le délit d’accès et de maintien à un système de traitement automatisé de données (STAD), passible de 2 ans d’emprisonnement et 60 000 euros d’amende (Art. 323-1 du Code pénal). Dans le cadre du contrôle en ligne, les agents de la CNIL avaient en effet automatisé le téléchargement de certaines données rendues accessibles par un défaut de sécurité du site.
L’argument n’avait aucune chance de prospérer. L’article 44 de la loi – devenu l’article 19 depuis lors – autorise en effet aux agents de la Commission la consultation et la retranscription des « données librement accessibles ou rendues accessibles (…) le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ». Cette autorisation de la loi pourrait étonner, mais elle est parfaitement logique. Interdire l’accès et/ou le maintien dans un STAD lors d’un contrôle en ligne, priverait de son sens le contrôle en ligne. Un peu comme d’interdire à un gendarme de commettre un excès de vitesse dans le cadre d’une poursuite.
Les débats ne se sont apparemment pas arrêtés là. Le responsable de traitement a vraisemblablement reproché à la CNIL d’avoir téléchargé les données, là où la loi autorise leur « consultation ». Mais là encore, l’argument n’a pu prospérer, le législateur ayant également autorisé de « retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle ».
La lecture de la décision conduit à s’interroger quant à la régularité de la procédure si les agents n’avaient pas veillé à ce que « l’exécution du script [ne surcharge pas] le serveur hébergeant le site web », le rendant indisponible. Le cas échéant, il est peu probable que le délit d’entrave à un STAD (Art. 323-2 du Code Pénal) – qui n’est pas autorisé par l’article 19 de la loi – aurait permis d’obtenir la nullité de la procédure. Dans le meilleur des cas, cela permettrait peut-être une action en responsabilité contre la Commission, mais l’infraction ne semblerait pas rendre la preuve déloyale.
Hormis le cas où la CNIL inciterait à commettre un manquement, cas d’école prohibé par la loi, la possibilité pour le défendeur de contester la régularité des contrôles en ligne se résorbe donc petit-à-petit. Reste alors à remettre en cause l’appréciation des faits, mais cela s’avère délicat en matière de sécurité.
Nul doute que cette tendance s’inscrit directement dans l’objectif annoncé en ce début d’année par la Commission d’aboutir au respect du RGPD, fusse par la sanction.