Intervention de Alex Türk

s'est d'abord félicité de cette audition postérieure à la publication du rapport annuel de la CNIL, estimant que cette instance rencontrait parfois des difficultés à faire comprendre sa mission en tant qu'autorité administrative indépendante. Il est convenu que la CNIL occupait une position particulière, la loi lui permettant à la fois d'édicter des normes, de sanctionner les manquements aux dispositions législatives concernant les traitements de données personnelles, ou encore d'exercer une activité de conseil, missions habituellement dévolues au législateur, aux juridictions, ou à des sociétés de conseil.

Il a déclaré que le rôle de la CNIL, lorsqu'elle examinait pour avis un projet de loi ou de décret, consistait à se projeter dans l'avenir et à déterminer les conséquences des dispositifs envisagés sur la vie des citoyens, compte tenu du développement continu des technologies. Il a estimé que ce regard prospectif distinguait les positions de la CNIL de celles du Conseil d'Etat, amené à se prononcer par rapport à l'état du droit. Ajoutant que le droit à la protection des personnes à l'égard des traitements de données à caractère personnel était l'un des droits fondamentaux les plus récemment reconnus par la loi, il a expliqué que la CNIL rencontrait souvent des difficultés à assurer son appropriation par les citoyens.

Déclarant que le rôle de la CNIL consistait par conséquent à inciter les citoyens à être vigilants, il a précisé que des études demandées par cette commission montraient que la part des Français conscients de leurs droits en la matière et connaissant l'existence d'une autorité chargée de les défendre, était passée de 20 % en 2004 à 28 % en 2005.

Il a relaté que le président de l'autorité néerlandaise de protection des données personnelles avait lui-même constaté que son nom apparaissait dans quatre à cinq cents fichiers, précisant que si dans certains cas il était conscient d'y figurer, il avait découvert qu'il apparaissait dans beaucoup, parfois en violation des dispositions législatives nationales.

a ensuite rappelé que le collège de la CNIL comptait 17 membres, dont 2 députés et 2 sénateurs, 2 membres du Conseil économique et social, 2 conseillers d'Etat, 2 magistrats de la Cour de cassation, 2 magistrats de la Cour des comptes, et 5 personnalités qualifiées, dont 3 désignées par le pouvoir exécutif et 2 désignées respectivement par le président de l'Assemblée nationale et celui du Sénat.

Il a estimé que ce mode de désignation du président de la CNIL - élu par ses pairs - lui assurait une plus forte légitimité et pourrait inspirer l'organisation d'autres autorités administratives indépendantes. Il a considéré que les activités de la CNIL s'articulaient selon quatre missions fondamentales : l'examen des projets de loi et de décret, l'édiction de normes simplifiées, l'enregistrement de la déclaration des traitements de données personnelles les plus courants et l'autorisation des traitements les plus sensibles. Il a précisé que dans l'exercice de ses missions, la commission visait à assurer des principes fondamentaux tels que la finalité des traitements, la proportionnalité des moyens mis en oeuvre par rapport à cette finalité, la limitation de la durée de conservation des données recueillies, qu'il a qualifiée de « droit à l'oubli », la sécurité des fichiers et le droit d'accès des citoyens dans un objectif de rectification ou d'opposition.

Déclarant que le législateur avait attribué en 2004 de nouvelles missions à la CNIL, il a souligné que celle-ci était par ailleurs confrontée au développement accéléré et continu de technologies tendant, en matière de recueil et de traitement de données personnelles, à l'universalité, à l'irréversibilité et à l'ambivalence, comme la biométrie. Il a insisté sur l'apparition d'une vague de technologies nouvelles entraînant un afflux de dossiers relatifs à la mise en place, par des entreprises ou des collectivités territoriales, de systèmes biométriques, de vidéosurveillance ou de géolocalisation, permettant de suivre les déplacements des personnes à distance et en temps réel.

Il s'est par ailleurs inquiété des perspectives de développement de technologies aux effets encore difficiles à mesurer, telles que les nanotechnologies, dont les éléments invisibles à l'oeil nu pourraient à terme être en quelque sorte « semés » et activés a posteriori.

Estimant indispensable d'exercer d'ores et déjà une vigilance accrue à l'égard de ces technologies, il a insisté sur la nécessité pour la CNIL de réfléchir au devenir de notre civilisation quand ces procédés seront utilisés, afin, le cas échéant, de mettre en garde le législateur.

a indiqué que pour mener à bien sa mission, la CNIL suivait une stratégie comportant quatre points : la pédagogie, la mise en place des correspondants « informatique et liberté », le contrôle et la sanction. S'agissant du travail pédagogique, il a expliqué que la commission diffusait de nombreux documents et organisait des rencontres dans chaque région avec l'ensemble des partenaires publics, privés et associatifs, le huitième déplacement devant avoir lieu dans la région Rhône-Alpes. Il a fortement incité les parlementaires à participer à ces rencontres, afin de contribuer à la sensibilisation de tous les acteurs à la défense de leurs droits en matière de protection à l'égard des traitements de données à caractère personnel.

Il a ensuite indiqué qu'une centaine de correspondants « Informatique et liberté » étaient déjà en place et que plusieurs grandes villes telles que Paris et Marseille, ainsi que de nombreuses entreprises, songeaient à y recourir. Estimant que ces correspondants effectuaient un travail essentiel de diffusion d'une culture de l'informatique et des libertés dans leur environnement et jouaient un rôle d'intermédiaire entre la CNIL et les structures concernées, il a annoncé qu'une convention devrait être passée avec l'association des maires de France, afin d'en doter les communautés de communes.

Evoquant ensuite les travaux de contrôle de l'autorité, M. Alex Türk, président de la CNIL, a déclaré qu'elle avait procédé à près de 100 vérifications en 2005, contre seulement 2 par mois en moyenne au cours de ses vingt-cinq premières années d'activité. Rappelant que la loi du 6 août 2004 relative à la protection des personnes à l'égard des traitements de données à caractère personnel avait libéralisé la procédure de déclaration des traitements en amont, sous la condition que la CNIL exerce un contrôle en aval des traitements mis en oeuvre, il a précisé que les contrôles effectués pouvaient s'étendre d'une journée à plus d'une semaine et mobilisaient des moyens considérables (ingénieurs, juristes).

Il a enfin souligné que la loi du 6 août 2004 avait renforcé les pouvoirs de sanction de la CNIL, lui permettant non seulement, comme dans le régime antérieur, d'adresser des mises en demeure et des avertissements et de transmettre au parquet les dossiers susceptibles de comporter des infractions pénales, mais aussi d'ordonner le verrouillage ou la destruction d'un traitement informatique non conforme et de prononcer des sanctions pécuniaires.

Il a jugé que la CNIL, conduisant un important travail pédagogique et de prévention en amont, devait par conséquent exercer sans faiblesse son pouvoir de sanction. Il a précisé qu'elle avait prononcé en 2005 autant de mises en demeure et d'avertissements que pendant ses vingt-cinq premières années d'existence, ces décisions étant généralement suivies d'effet et appliquées par tous les opérateurs du secteur concerné, comme la commission l'avait observé pour le secteur bancaire.

Il a rappelé que la loi avait accompagné le renforcement des pouvoirs de sanction de la CNIL d'un dispositif visant à assurer le respect des droits de la défense, par la mise en place d'une formation restreinte composée de six membres du collège et chargée de prononcer les sanctions pécuniaires après avoir recueilli, le cas échéant, les observations du responsable du traitement. Indiquant que les personnes mises en cause pouvaient être représentées ou assistées par leur avocat lors de leur audition par la formation restreinte, il a expliqué que la présence de hauts magistrats parmi les membres de la CNIL avait été fort utile pour la mise en place de cette structure, qui avait été accompagnée par la création d'un service du contentieux.

a insisté sur la nécessité d'attribuer à la CNIL des moyens lui permettant d'exercer correctement les nouvelles missions confiées par le législateur et d'anticiper le développement des nouvelles technologies. Indiquant que les services de la CNIL comptaient actuellement 85 personnes, il a souligné que les autorités mises en place dans les autres pays européens bénéficiaient de moyens supérieurs, les effectifs de son homologue allemande s'élevant à 400 personnes, ceux des autorités anglaise, polonaise et roumaine étant respectivement de 250, 110 et 90 personnes.

Il a jugé que si la CNIL pouvait être considérée comme une autorité à la pointe de son domaine d'intervention il y a vingt-cinq ans, sa situation en termes de moyens était aujourd'hui catastrophique et faisait encourir le risque d'un manque de réactivité dans l'exercice de ses missions. Il a relevé que le contrôle de la mise à jour de certains traitements, tels que les fichiers STIC et JUDEX systématiquement consultés avant tout recrutement dans le domaine de la sécurité devenait primordial afin d'éviter les refus d'embauche et les licenciements décidés sur le fondement de signalement parfois erronés ou obsolètes. Soulignant qu'un nombre croissant de citoyens demandaient à faire usage de leur droit d'accès indirect à l'égard de ce type de fichier pour en demander, le cas échéant, la rectification, il a déploré que la faiblesse des effectifs de la CNIL entraîne un ralentissement de la mise en oeuvre de ce droit, préjudiciable aux personnes concernées.

Précisant que M. Jean-Pierre Raffarin, alors premier ministre, s'était engagé en 2004 à augmenter les crédits de personnels de la CNIL de 50 % en quatre ans, afin de porter ses effectifs à 125 personnes, il a déclaré que dix nouveaux recrutements étaient en cours. Il a insisté sur la nécessité de veiller au respect de cet engagement au fil des années, pour assurer une remise à niveau des moyens de la CNIL par rapport à ses homologues européens.