b) Par la généralisation des « Correspondants informatique et libertés »
Comme l'ont indiqué à vos rapporteurs les représentants de l'Association Française des Correspondants aux Données Personnelles, qui regroupe environ 10 % des correspondants informatique et libertés, le bilan de leur action apparaît pleinement satisfaisant. Ils ont ainsi permis, selon eux, « la diffusion de la culture informatique et libertés au sein des entreprises et des administrations publiques ». La CNIL partage cette analyse.
De même, les représentants de la chambre de commerce américaine à Paris ont salué le rôle joué, dans l'administration fédérale, des Chief Privacy Officers (CPO), équivalents des correspondants aux pouvoirs plus étendus (voir supra ), et se sont réjouis du caractère obligatoire des correspondants en Allemagne, présentés comme des « facilitateurs » pour la bonne marche de l'entreprise.
Vos rapporteurs, regrettant en particulier la faible implantation des correspondants dans les collectivités territoriales 81 ( * ) , proposent donc de généraliser les « Correspondants informatique et libertés » en France dans les structures, publiques et privées, d'une certaine taille , par exemple de plus de cinquante salariés. Cette dernière condition paraît doublement essentielle : d'une part, elle permet de ne pas créer une contrainte supplémentaire pour les petites structures ; d'autre part, elle offre davantage de possibilités pour trouver, au sein de l'entreprise ou de l'administration, une personne dont l'expérience et la compétence garantiront l'indépendance indispensable au bon accomplissement de ses missions 82 ( * ) .
Vos rapporteurs insistent sur la nécessité pour la CNIL d'assurer une solide formation régulière à ces correspondants.
Recommandation n° 7 : Rendre obligatoires les correspondants informatique et libertés pour les structures publiques et privées de plus de cinquante salariés. |
c) Par la publicité systématique des audiences et des décisions de la formation restreinte
Si, conformément aux règles du procès équitable issues de la jurisprudence du Conseil d'Etat et de la Convention européenne des droits de l'homme, la procédure suivie devant la formation restreinte est contradictoire et le rapporteur ne participe pas au délibéré qui est secret , il reste que le caractère juridictionnel de cette formation, reconnu par le Conseil d'Etat, par une ordonnance de référé le 19 février 2008, impose de rendre publiques , d'une part, les audiences (elles ne le sont aujourd'hui qu'à la demande des parties), d'autre part, les décisions qu'elle rend (mises en demeure, avertissements et sanctions financières), alors que cette publicité est aujourd'hui une simple faculté à la discrétion de la CNIL (article 46 de la loi « informatique et libertés ») .
Vos rapporteurs estiment en particulier que la publicité systématique des décisions de la formation restreinte de la CNIL constituerait une mesure efficace et dissuasive tant pour les personnes publiques que pour les entreprises privées.
Recommandation n° 8 : Rendre publiques les audiences et les décisions de la formation restreinte de la CNIL. |
* 81 Comme l'a souligné M. Alex Türk, président de la CNIL, lors de son audition par la commission des lois le 5 novembre 2008.
* 82 L'indépendance des correspondants informatique et liberté est une exigence posée par la loi de 1978 (article 22).