2. La CNIL : exemple d'une autorité
indépendante européenne
La CNIL (Commission Nationale de l'Informatique et des
Libertés) est l'autorité administrative indépendante (AAI)
française chargée de veiller sur la protection des données
personnelles, et à ce que l'information au service du citoyen ne porte
atteinte ni à l'identité humaine, ni aux droits de l'homme, ni
à la vie privée, ni aux libertés individuelles ou
publiques.
La notion d'AAI, ainsi que nous l'explique David
Forest, ne répond à aucune définition juridique
précise : "Il s'agit d'une administration dont les membres sont
soustraits à toute
58 Site officiel de la Maison Blanche, "We Can't Wait:
Obama Administration Unveils Blueprint for a "Privacy Bill of Rights" to
Protect Consumers Online. Internet Advertising Networks Announces Commitment to
"Do-Not-Track" Technology to Allow Consumers to Control Online
Tracking"
59 "Accountability: Consumers have a right to have
personal data handled by companies with appropriate measures in place to assure
they adhere to the Consumer Privacy Bill of Rights"
60 "toute personne a le droit d'accéder aux
données collectées la concernant et d'en obtenir la
rectification"
25
hiérarchie, et qui, dans l'exercice de leurs
attributions, ne reçoivent d'instruction d'aucune
autorité"61. Malgré cette qualité
d'indépendance, la CNIL est placée par la Constitution sous
l'autorité du gouvernement, et son budget relève de celui de
l'Etat. Ainsi, elle peut faire l'objet d'un contrôle par la Cour des
comptes, et certains de ses actes peuvent faire l'objet d'un contrôle par
le Conseil d'Etat. Il est à noter qu'en la matière, la CJUE a
jugé que la soumission des autorités de contrôle et de
surveillance en matière de données personnelles à l'Etat
est contraire à l'exigence d'indépendance qui leur est
faite62. Par conséquent, le statut même de la CNIL
constitue une transposition erronée de la directive
95/46/CE.
Elle dispose de plusieurs pouvoirs : à
l'égard du gouvernement, elle peut proposer des mesures
législatives ou réglementaires, et est consultée lorsqu'un
projet de loi relatif à la protection des données est transmis au
parlement. Vis-à-vis des personnes, la CNIL a un devoir d'information
sur les droits dont elles disposent, et est en mesure de recevoir leurs
plaintes à l'encontre d'abus, de pratiques irrégulières ou
d'atteintes aux droits. À l'attention des organismes,
sociétés ou institutions, elle participe à des actions de
formation et de sensibilisation, et conseille les responsables de
données personnelles sur les obligations qui leur incombent. Elle
dispose en outre d'un pouvoir de contrôle et de sanction, afin de veiller
au respect de la loi Informatique et Libertés de 1978. Elle peut ainsi
accéder aux locaux de l'entreprise (le responsable des lieux ou son
représentant a néanmoins le droit de s'opposer à cette
visite), aux programmes informatiques qu'elle utilise, ou à ses
données. Elle peut également exiger la communication de documents
jugés utiles. En matière de sanctions, la CNIL dispose d'un large
choix de mesures allant du simple avertissement aux sanctions administratives
et financières.
| 
