En 300 pages, la CNIL propose un résumé de sa doctrine

Temps de lecture: 6 min |17 décembre 2023 à 09:04

Etienne Wery

Avocat-associé @ Ulys

La CNIL vient de publier « Les Tables Informatique et Libertés » : elle y rassemble, sous forme de résumés, l’essentiel de la jurisprudence et des décisions pertinentes. Outre une mission prosélyte, l’autorité veut aussi participer de la sorte à une application uniforme du règlement en son sein. L’initiative doit être saluée, mais en soulignant sa limite : il ne saurait être question, par ce biais, de créer du droit.

La CNIL part d’un constat : la quantité d’informations disponibles et les règles en matière de publication des décisions et avis, engendrent un double inconvénient :

d’une part, que la doctrine soit insuffisamment connue en interne ;
d’autre part, qu’il manque une courroie de transmission de cette doctrine vers les professionnels de la protection des données à caractère personnel que sont les délégués à la protection des données, les avocats, les cabinets de conseil, et tous les juristes ou ingénieurs qui doivent s’assurer du respect de ces règles.

« À ce double inconvénient répondent les deux objectifs poursuivis par ces tables, qui s’inspirent des documents du même types publiés par d’autres autorités administratives, comme l’Autorité des marchés financiers.

Le premier objectif est de contribuer à la bonne appropriation de la doctrine à l’intérieur de la CNIL. Cela est essentiel pour continuer d’assurer le respect de l’égalité de traitement, exigence fondamentale du service public, dans une institution dont les effectifs ont fortement crû ces dernières années. Les tables fournissent, en outre, des rédactions-types, issues de décisions de justice, de décisions de la formation restreinte ou de la présidente, qui peuvent ensuite être reprises dans les autres décisions et assurer une unité de rédaction. (…)

Le second objectif est tourné vers l’extérieur : faire connaître les points de droit sur lesquels la CNIL, avant la jurisprudence ou en la précisant, a dû prendre position. »

Les grands chapitres abordés portent successivement sur :

Les dispositions générales,
Les règles principales,
Les autres règles incombant aux responsables du traitement et aux sous-traitants,
Les droits des personnes,
Les transferts,
Les règles spéciales et les applications du RGPD selon les secteurs d’activité,
Les actes administratifs encadrant les traitements publics,
Les règles applicables aux décisions de la CNIL,
La coopération européenne.

Salutaire, mais …

La lecture de ce document est passionnante pour quiconque s’intéresse à la protection des données à caractère personnel. Le travail qui a été effectué est colossal. Il faut donc, d’abord et avant tout, saluer et remercier l’autorité pour ce travail.

Pour autant, il faut impérativement rappeler les limites de l’exercice.

Le point de départ est connu : les textes ne sont pas toujours clairs. Ce manque de clarté est parfois le résultat du compromis nécessaire au niveau européen pour aboutir à un règlement, parfois il est simplement dû à l’ancienneté du texte et/ou l’évolution de la technologie.

Or, les autorités administratives sont comme la nature : elles ont horreur du vide.

Dès lors, chaque fois qu’elles le peuvent, elles tentent de combler ces imprécisions à travers leur avis, recommandations, publications, décisions, etc.

C’est là que se situe le point d’inflexion : si les autorités nationales doivent, car c’est leur mission, appliquer le règlement, il est exclu qu’elles créent du droit.

En pratique, il faut bien dire que la frontière entre l’application d’un règlement et la création d’une règle de droit est extrêmement mince et poreuse. Quand, sur un sujet, une autorité publie un avis très assertif ou une recommandation dans laquelle toutes les portes ont été fermées à double tour, est-elle dans l’application du règlement ou a-t-elle franchi la ligne rouge pour créer du droit ?

L’on en arrive à une situation où, face à une question, le réflexe devient : « s’il y a une recommandation de l’autorité, je me cale dessus ». Ce réflexe, compréhensible car il est mû par une envie de sécurité, amène parfois à prendre une décision qui ne repose sur aucune règle de droit (ou à tout le moins sur une règle de droit qui n’est pas aussi claire et contient une marge d’appréciation).

Les cookies sont à cet égard un exemple parlant, comme la CNIL l’a appris à ses dépens. Elle a été rappelée à l’ordre par le Conseil d‘Etat pour avoir suppléé l’absence de cadre juridique par des énonciations générales qui ont été annulées par la haute juridiction : « En déduisant pareille interdiction générale et absolue de la seule exigence d’un consentement libre, posé par le règlement du 27 avril 2016, la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple, édicté sur le fondement du 2° du I de l’article 8 de la loi du 6 janvier 1978 cité au point 3. Il s’ensuit que la délibération attaquée est, dans cette mesure, entachée d’illégalité. » (Conseil d’État FR, 19 juin 2020, N° 434684).

Les cookies sont également un magnifique exemple de l’absence d’harmonisation : sur les cookies wall ou la forme du consentement par exemple, les autorités sont en désaccord. Même le RGPD – pourtant un Règlement – les voit s’affronter sur des sujets complexes. L’existence même de ces désaccords entre autorités montre qu’il s’agit d’opinions et d’avis, mais nullement d’une règle de droit. Il est donc pertubant de voir une autorité nationale affirmer avec une assertivité forte que son point de vue est le bon, et l’appliquer ensuite dans des dossiers individuels qui auto-alimentent sa propre doctrine.

Si l’on voulait se montrer perfide, l’on pourrait adresser la même critique à l’encontre de la Cour de justice de l’Union européenne, dont on se demande parfois si elle n’est pas devenue une cour suprême à l’américaine … mais au moins s’agit-il d’une cour de justice et non d’une autorité administrative.

A cet égard, relevons que ce n’est pas le moindre des paradoxes des Tables Informatique et Liberté que de traiter sur un pied d’égalité des décisions judiciaires et des décisions émanant de l’autorité administrative.

Pour le dire brièvement, si l’on additionne toutes les initiatives, communications et décisions des autorités, et qu’on injecte tout cela dans le contexte européen qui les voit émettre des avis communs pour en augmenter l’impact, n’est-on pas entré dans une situation où, sans le dire, les autorités administratives deviennent créatrices de droit ? C’est en tout cas la crainte de votre serviteur.