Afin de protéger efficacement les données personnelles, les autorités de protection de données disposent en général de pouvoirs de contrôle et de sanction. Toutefois, ceux-ci sont très différents selon les pays, parfois peu efficaces, voire simplement absents. La législation européenne, notamment la proposition de règlement du 12 janvier 2012, tente d’unifier les réglementations pour que celles-ci disposent de pouvoirs plus dissuasifs.

Le principe selon lequel toute personne a droit à la protection des données à caractère personnel la concernant est établi à l’article 16 du Traité sur le Fonctionnement de l’Union Européenne (TFUE). Il est même un droit fondamental selon l’article 8 de la Charte des droits fondamentaux de l’Union Européenne, et est mentionné à l’article 8 de la Convention Européenne des Droits de l’Homme (CEDH). Une protection effective de ce droit est donc nécessaire. La directive 95/46/CE du 24 octobre 1995 a rendu obligatoire la création d’autorités de contrôle indépendantes, présentes aujourd’hui dans chaque Etat-membre (Article 28 alinéa 1). Afin que celles-ci puissent protéger ce droit de manière efficace, elles doivent être dotées de pouvoirs suffisants, notamment en ce qui concerne le contrôle des responsables de traitement et l’octroi d’éventuelles sanctions. C’est ce qu’il ressort de l’article 28 de cette directive : il dispose qu’elles doivent avoir des « pouvoirs d’investigation ». Ces pouvoirs devraient permettre aux autorités d’accéder aux données pertinentes et d’obtenir toutes les informations nécessaires. Cependant, à ce jour, les pouvoirs de contrôle et de sanction diffèrent encore largement selon les pays.

L’Allemagne étant un pays fédéral, il existe une loi de protection des données au niveau fédéral, la Bundesdatenschutzgesetz (BDSG), mais également 16 lois fédérées pour chacun des Länder (Landesdatenschutzgesetz). De même, il y a une autorité fédérale de contrôle (Bundesdatenschutzbehörde) et 16 autorités fédérées (Landesdatenschutzbehörde). La particularité est que les lois fédérées concernent le domaine public, c’est-à-dire les administrations, et la BDSG le domaine privé, donc les entreprises. Afin de savoir dans quelle mesure les autorités de contrôle fédérées peuvent contrôler et sanctionner les administrations, il faut se référer à la loi fédérée pertinente dont les dispositions diffèrent parfois beaucoup. Dans la BDSG, le § 24 est relatif au contrôle, et le § 43 aux sanctions administratives. En ce qui concerne ce pouvoir de contrôle, la loi est extrêmement souple.

Les autorités de contrôle existent également dans d’autres pays comme la France, où il s’agit de la Commission Nationale Informatique et Liberté (CNIL), instituée par la loi n°78/17 du 6 janvier 1978. Elle dispose de pouvoirs de contrôle et de sanction depuis sa création. Ses pouvoirs de contrôle sont relativement similaires à ceux de l’Allemagne. Ils ont été accrus avec la loi du 6 août 2004, transposant la directive européenne mentionnée ci-dessus. En Angleterre, l’autorité est l’Information Commissionner’s office (ICO), auparavant appelée « Data protection Commissioner ». Elle a été créée par le Data Protection Act de 1998, et ses pouvoirs ont été renforcés par un amendement de 2003, transposition de la directive de 1995. Ce n’est pourtant que depuis la « Data protection (Monetary Penalties) Order » du 6 avril 2010 que l’ICO est habilité à prononcer des sanctions. Contrairement aux deux autres pays mentionnés ci-dessus, ses possibilités de contrôler et de prononcer des sanctions sont relativement limitées, subordonnées à de nombreuses conditions. Cette possibilité est toutefois présente, alors qu’en Belgique, la Commission de Protection de la Vie Privée ne possède pas ce genre de pouvoir.

Les pouvoirs de contrôle et de sanction octroyés aux autorités de contrôle européennes sont-ils suffisants pour protéger efficacement les données des citoyens ?

Les pouvoirs de contrôle diffèrent fortement entre les pays de l’Union Européenne, certaines autorités peuvent exercer un contrôle sans aucune raison alors que d’autres ont besoin de remplir de nombreuses conditions (I). Presque toutes disposent également d’un pouvoir d’administrer des sanctions, mais le montant de celles-ci est encore trop faible pour être réellement dissuasif (II).

I – Un contrôle inégal des responsables de traitement

Plus il est facile pour les autorités de contrôler les responsables de traitement, plus les données personnelles des citoyens seront protégées. Il est nécessaire que les autorités puissent avoir accès à toutes les données dont elles ont besoin pour travailler. Pour ce faire, il doit leur être donné la possibilité de pénétrer dans les locaux des responsables de traitements – entreprises et administrations – afin de savoir si les moyens utilisés par ceux-ci sont conformes à la loi et les données personnelles suffisamment protégées. La multiplication des formes de contrôle est également un bon moyen de s’en assurer.

Tout d’abord, nous allons nous intéresser à possibilité même de contrôler, si les autorités ont besoin de motiver ce contrôle. Selon le § 24 BDSG, l’autorité peut contrôler les responsables de traitement à tout moment, sous la forme qu’elle désire, sans raison particulière. Il n’est pas nécessaire d’avoir le moindre soupçon afin d’être habilité à contrôler. Ceci permet une protection plus grande des données étant donné qu’il est inutile d’attendre un incident ou une fuite pour vérifier l’efficacité des mécanismes de protection. Ce n’est pas seulement le cas au niveau fédéral, mais également au niveau fédéré. Par exemple, le § 26 BbgDSG (loi de protection des données de Brandenburg) ainsi que § 22 NDSG (loi de protection des données de Niedersachsen) exigent tous deux que l’accès aux locaux soit garanti à tout moment.

En ce qui concerne la CNIL, la situation est légèrement différente. Si d’après l’article 44 de la loi de 1978, l’autorité n’a, comme l’Allemagne, pas besoin de raison particulière pour contrôler, celui-ci est tout d’abord limité dans le temps, de 6 heures à 21 heures. Une telle limitation n’est pas mentionnée dans la BDSG. Ensuite, le responsable de traitement a la possibilité de refuser un tel contrôle, qui ne pourra se faire dans ce cas qu’après autorisation du juge. Ce procédé ralentit l’ensemble de la procédure au détriment de la protection des données personnelles, d’autant plus qu’il n’est pas spécifié dans quels cas ce droit de refus peut être invoqué. Toutefois, celui-ci ne sera pas pris en compte en cas d’urgence. Ensuite, la décision ne doit être prise par le président de la CNIL qu’après proposition du service des contrôles.

Dans d’autres pays, notamment l’Angleterre mais également l’Autriche, il est beaucoup plus difficile de contrôler puisqu’il est nécessaire de remplir au préalable des conditions strictes. Cela rend le travail des autorités plus difficile et le contrôle moins fréquent. Si l’Autriche le soumet à un « soupçon caractérisé », il existe en Angleterre une liste de conditions à respecter : un minimum de quatre à huit plaintes doivent avoir été reçues par l’ICO, celles-ci constatant des retards de la part d’une autorité dans une période six mois. Non seulement le nombre de plaintes est relativement élevé, mais ces plaintes doivent intervenir dans une période assez courte. Ensuite, moins de 85% des requêtes soumises au responsable de traitement doivent avoir reçu une réponse dans un intervalle de temps approprié. Enfin, des preuves d’un problème possible doivent avoir été trouvées dans les médias, les sources externes, ou au niveau interne. Ces conditions sont cumulatives, et l’intervention doit être une réponse proportionnée à la violation. Le but est ici d’éviter de tomber dans l’excès. Si la liberté des acteurs est certes de ce fait garantie, celle-ci ce fait au prix de la protection des données personnelles des citoyens.

Le modèle à suivre est donc ici l’Allemagne, dont le contrôle est le plus facile à déclencher, garantissant une plus grande protection des données personnelles. Si les contrôles peuvent se dérouler de façon inopinée, les agents auront plus tendance à se conformer à la loi, redoutant le prochain.

Une fois sur place toutefois, ces pays disposent des mêmes pouvoirs : ils peuvent consulter les documents nécessaires, en faire des copies, examiner le matériel, interroger le personnel (§ 26 BbgDSG, § 30 IV de la loi fédérale autrichienne, article 44 alinéa 3 de la loi française de 1978). Ce point est d’ailleurs préconisé par la proposition de règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 27 janvier 2012 en son article 53-2 (accès aux locaux et aux données nécessaires).

L’Angleterre se distingue toutefois par la durée du contrôle effectué : celui-ci va être de trois mois, qui peuvent même être prolongés selon le comportement de l’autorité. Celle-ci sera contrainte à faire des rapports réguliers à l’ICO. Ce procédé est efficace puisque l’autorité de contrôle va vérifier si les responsables de traitement entreprennent les étapes nécessaires pour se conformer à la loi. En comparaison, le contrôle de la CNIL n’est que ponctuel, avec un simple procès-verbal de fin de mission, sans réel suivi.

Le contrôle sur place n’est pas le seul, il en existe d’autres comme par exemple l’introduction par la loi du 17 mars 2014 en France des contrôles en ligne. Contrairement au précédent, le contrôle a lieu depuis les locaux de la CNIL, sans la présence du responsable de traitement. Celui-ci n’est même mis au courant de ce contrôle qu’à l’issue de ce dernier. Toutefois, ce contrôle ne porte que sur les données « librement accessibles ou rendues accessibles » en ligne (Article 44 III de la loi de 1978). Il existe également les audits obligatoires en Angleterre (article 41A du Data protection Act), récemment étendus au secteur médical, ou l’audition sur convocation française (article 66 de la loi de 78). La multiplication des formes permet une plus grande protection des données personnelles.

Afin que le contrôle, quelque soit sa forme et les raisons pour lesquelles il est effectué, soit efficace, il est nécessaire que l’autorité dispose de moyens humains et matériels adaptés et suffisants. Une interview donnée en février 2014 par Andrea Voßhoff, un commissaire fédéral à la protection des données, a démontré que ce n’était pas le cas. Son service ne comporte que 87 employés, dont beaucoup sont des temps-partiel. Par exemple, pour contrôler 3000 fournisseurs de télécommunication et 1500 fournisseurs de service postal, ils ne disposent que de huit bureaux, ils en exigent vingt de plus. La CNIL n’est quant à elle composée que de dix-sept membres (article 13 de la loi de 1978). Or, en 2014, elle a reçu 11 000 demandes de citoyens, dont près de 6000 plaintes, constituant 22% d’augmentation par rapport à 2013. Cette même année, seulement 421 contrôles ont été réalisés.

Si certains pays sont relativement souples et permettent une plus grande protection, comme l’Allemagne ou la France, d’autres ont encore un long chemin à parcourir, comme l’Angleterre, l’Autriche ou la Belgique. Les contrôles ne sont toutefois réellement efficaces que s’ils sont accompagnés de la possibilité de prononcer des peines d’amendes à hauteur du dommage subi par les citoyens.

II – Un pouvoir de sanction encore peu dissuasif

Afin d’être réellement dissuasives, le montant des amendes prononcées doit être élevé. Nous pouvons constater qu’il y a eu ces dernières années dans certains pays une élévation de ce montant, mais celle-ci n’est toutefois pas convaincante. De plus, certaines autorités de contrôle n’ont pas le pouvoir de prononcer elles-mêmes ces amendes. D’ailleurs, d’après la proposition de règlement de 2012, toutes les autorités de contrôles devraient avoir la possibilité de sanctionner les infractions administratives (article 53-4).

Le § 43 II et III BDSG disposent que dans certains cas, l’amende peut atteindre 300 000 €. Il est précisé que l’amende doit excéder l’avantage économique reçu par l’auteur de l’infraction et que si les sommes mentionnées ne suffisent pas, elles peuvent être dépassées. Cela n’est pourtant pas arrivé dans la pratique. Quant aux autorités fédérées, les amendes peuvent être prononcées soit par l’autorité elle-même (Berlin), soit par d’autres institutions (Bavière). Cependant, certaines n’ont tout simplement pas la possibilité d’ordonner des amendes administratives (Hambourg, Rheinland-Pfalz). Le maximum pour l’Angleterre est de £ 500 000 (seulement depuis 2010), celui de la France 150 000 € (300 000 € en cas de récidive). L’Autriche est relativement faible avec 25 000 €.

L’amende prononcée par la France contre Google en 2014 s’est justement élevée à 150 000 €, somme particulièrement basse en comparaison avec les 50 milliards de chiffre d’affaire de l’entreprise. L’amende de l’Espagne s’est élevée à 900 000 € en 2013. Toutefois ces deux chiffres ne sont rien par rapport aux Etats-Unis qui ont prononcé une amende de 22,5 millions de dollar contre cette même entreprise, somme cette fois réellement dissuasive. Ceci illustre la diversité des législations européennes, et par conséquent leur efficacité variable.

Dans la pratique, le nombre d’amendes ainsi que leur montant sont relativement faibles : à Bremen, en 2013, un total de 3.900 € d’amendes a été prononcé, qui ne sont pas encore totalement payées à ce jour. En France, en 2014, il y a eu 168 000 € d’amende dont les 150 000 € pour Google, et seulement 40 000 € en 2013.

Les circonstances dans lesquelles il est possible d’administrer une peine d’amende sont également un facteur à considérer. Encore une fois, l’Angleterre soumet l’amende à de nombreuses conditions : la violation doit impérativement être sérieuse et de nature à causer un dommage ou détresse substantiels. Ensuite, elle doit soit être délibérée, soit la personne savait ou aurait du savoir qu’il y avait un risque de violation. En France, des avertissements seront parfois préférés aux amendes, ainsi qu’en Allemagne où de nombreuses procédures disciplinaires peuvent être prononcées.

Si le montant des amendes était fixé selon un pourcentage du chiffre d’affaire au lieu d’un plafond fixe, elles seraient plus lourdes et donc plus dissuasives. Cela a été dans une certaine mesure introduit en France puisque l’amende peut atteindre 5 % du chiffre d’affaire. Toutefois, non seulement cela n’est valable qu’en cas de récidive, mais il a été placé un plafond de 300 000 €. La proposition de règlement de 2012 prévoit des peines bien plus dissuasives. Tout d’abord, il préconise la possibilité pour chaque autorité de contrôle la possibilité d’administrer ces peines d’amende. Il existe plusieurs types d’amendes selon l’infraction commise, la plus élevée est certes de 1 000 000 €, somme déjà relativement efficace, mais pas seulement : dans le cas d’une entreprise, pas de plafond, mais un pourcentage du chiffre d’affaire annuel mondial fixé à 2%. L’amende pourrait donc être de plusieurs millions, voire milliards selon l’importance de l’entreprise, renforcement permettant de mieux protéger les données personnelles.

La législation actuelle au niveau des pouvoirs de contrôle et de sanction des autorités de contrôle est donc encore relativement inégale et insuffisante. Un rapprochement des différentes législations serait appréciable. Il existe déjà le groupe G29, créé par l’article 29 de la directive de 1995. Il peut permettre à terme que les pouvoirs des autorités soient plus uniformes. Ce groupe permet aux autorités de travailler ensemble, notamment pour le Sweep Day. Ce mécanisme est intervenu afin d’assurer une convergence de droits, incitant les pays à confronter leurs législations. Tous les ans, pendant quelques jours, toutes les autorités vont travailler sur le même sujet pour comparer ensuite leurs résultats. Il s’agit cette année de la sécurité de certains sites et applications en ce qui concerne la protection des données personnelles. Dans la proposition de règlement, le groupe change de nom pour devenir le « comité européen de protection des données » (article 64). Il sera composé du directeur d'une autorité de contrôle de chaque État membre et du contrôleur européen de la protection des données. Il pourra notamment « promouvoir la coopération et l’échange multilatéral effectif d’informations et de pratiques entre les autorités de contrôle » (article 64 e).

Bibliographie

Ouvrage

_ Droit de l'internet : droit français et européen, LDM Edition 2012, Montchrétien, Céline CASTETS-RENARD

Textes officiels

_ Convention Européenne de sauvegarde des Droits de l’Homme et des libertés fondamentales, 4 novembre 1950

_ Traité sur le Fonctionnement de l’Union Européenne du 13 décembre 2007

_ Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données 

_ Charte des droits fondamentaux de l’Union Européenne 2012/C 326/02 du 7 décembre 2010

_ Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) - 2012/0011 (COD), 27 janvier 2012

France

_ Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

_ Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

_ Loi n° 2014-344 du 17 mars 2014 relative à la consommation

Angleterre

_ Data protection Act 1998, n°312

_ Privacy and Electronic Communications (EC Directive) Regulations, 2003, n°2426

_ The Data Protection (Assessment Notices) (Designation of National Health Service Bodies) Order 2014, n°3282

Allemagne

_ Loi fédérale sur la protection des données (Bundesdatenschutzgesetz), 14 janvier 2003 (BGBl. I S. 66)

_ Loi de protection des données de Brandenburg (Gesetz zum Schutz personenbezogener Daten im Land Brandenburg, Brandenburgdatenschutzgesetz), 15. Mai 2008, (GVBl. I S. 114)

_ Loi de protection des données de Niedersachsen (Gesetz zum Schutz personenbezogener Daten im Land Niedersachsen, Niedersachsendatenschutzgesetz), 13 juin 2001, Nds. GVBl. S. 22

Autriche

_ Loi fédérale de protection des données personnelles - Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 - DSG 2000)
StF: BGBl. I Nr. 165/1999 (NR: GP XX RV 1613 AB 2028 S. 179. BR: 5992 AB 6034 S. 657.)
(CELEX-Nr.: 395L0046)