Faut-il toujours être d’accord avec la CNIL ?
Derrière cette question au libellé volontairement provocateur, il y a celles, non pas tant de la liberté de conscience ou de la liberté d’expression, que des pouvoirs de la CNIL, de la valeur contraignante de ses avis et recommandations, et enfin de l’opportunité si ce n’est de l’obligation qu’il y a de fait à s’y conformer, pour les responsables de traitements et sous-traitants concernés.
Toutes ces interrogations prennent leurs racines dans la nature historiquement “réglementaire” de la discipline juridique qu’est aujourd’hui devenue, à part entière, la protection des données à caractère personnel : déjà inscrit dans la toute première version de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (dite “Loi Informatique & Libertés”), ce caractère réglementaire revient en substance à placer la bonne exécution des dispositions de ce texte sous l’égide d’une autorité administrative indépendante (AAI), la CNIL en l’occurrence, investie de pouvoirs plus ou moins étendus d’interprétation, de contrôle et de sanction.
Répliquée dans les autres États membres par l’article 28 de la directive 95/46/CE du 24 octobre 1995 (la “Directive 95/46”), cette manière de concevoir et d’organiser la réglementation des traitements de données à caractère personnel est ainsi devenue la norme au niveau de l’Union Européenne, depuis encore renforcée par l’entrée en application du nouveau Règlement Général sur la Protection des Données (“GDPR” ou “RGPD”), lequel a notamment uniformisé le pouvoir des autorités de contrôle d’imposer directement des sanctions (là où certains pays fonctionnaient encore récemment, en cas de manquement, selon un principe de transmission du dossier au ministère public ou à une formation de jugement “classique”).
De ce point de vue, la protection des données à caractère personnel peut être rapprochée d’un certain nombre d’autres branches du droit ; depuis la CNIL, qui fut en France la toute première AAI, le modèle du “régulateur” autorité de contrôle a en effet innervé quantité d’autres domaines – ainsi, par exemple, du droit financier (Autorité des Marchés Financiers), du secteur des jeux en ligne (Autorité de Régulation des Jeux en Ligne), ou encore des télécoms (Autorité de Régulation des Communications Électroniques et des Postes).
Il en résulte, à des degrés divers pour ces différentes autorités, mais de manière significative pour la CNIL, une double fonction d’information et de contrôle : investie des pouvoirs d’investigation et de sanction destinés à assurer le respect de la réglementation “en aval”, la CNIL est également productrice “en amont” d’une littérature nombreuse et protéiforme (avis, recommandations, délibérations, rapports annuels ou encore simple fiches pratiques sur son site Internet) constituant l’information de référence pour les acteurs soumis à cette réglementation. Comment, en effet, dans un souci de conformité, ne pas s’intéresser aux conseils de l’entité expressément chargée d’élucider les contours parfois obscurs de la règle de droit – ou à tout le moins, pour les plus pragmatiques, comment, dans un souci de bonne gestion du risque, ne pas s’intéresser à la doctrine de qui tient la férule entre ses mains ?
La même observation vaut peu ou prou, là encore, pour le niveau unioniste, à travers la figure du Comité Européen de la Protection des Données (CEPD), successeur de feu le Groupe de travail de l’article 29 (G29), lequel, bien que certes dénué pour lui-même de pouvoirs de sanction, exerce des fonctions consultatives essentielles dans le but d’assurer une application harmonieuse du GDPR, texte de compromis d’interprétation souvent pythienne. Du reste, parce qu’il est composé pour l’essentiel de représentants des autorités de contrôle de chaque Etat membre, la position du CEPD traduit aussi forcément, jusqu’à un certain point (c’est-à-dire sous réserve de tel ou tel avis dissident qu’elle ne rendrait pas complètement apparent), la pensée commune de ces autorités. Aussi ses fameuses “lignes directrices”, pas davantage que les écrits des autorités elles-mêmes, ne sauraient-elles être ignorées par les acteurs concernés, lorsqu’il s’agit pour ces derniers de savoir “à quelle sauce ils seront mangés”.
Cette situation est, en apparence, somme toute assez commode : les responsables de traitement en particulier, soumis au principe d’accountability (article 5.2 du GDPR), s’ils ne devaient se fier qu’au texte et à leur propre interprétation pour fixer leurs pratiques, évolueraient au quotidien dans un état d’incertitude évidemment préjudiciable ; de ce point de vue, l’effort de pédagogie déployé par la CNIL et le CEPD ne peut qu’être loué, en ce qu’il vise à résorber l’insécurité juridique qui émane du texte.
A bien y regarder, elle n’est pourtant pas sans soulever plusieurs problématiques majeures : une fois que les autorités ont parlé, y a-t-il encore quelque part de la place pour une interprétation concurrente ? Lorsque deux compréhensions d’une même disposition peuvent être envisagées face à une situation concrète, par exemple dans le cadre d’une mise en conformité, celle du régulateur ne s’imposera-t-elle pas systématiquement, du simple fait qu’il l’a par avance exprimée dans ses propres lignes directrices ? Dès lors, surtout, qu’advient-il des cas où cette interprétation “officielle” excède manifestement les exigences et les équilibres fixés dans le texte par le législateur ? Faut-il, quand même, dans ce cas, par mesure de prudence, “être d’accord avec la CNIL” ?
Le pouvoir d’interprétation de la CNIL et du CEPD : du fondement et de son usage
Les prérogatives de la CNIL en matière d’interprétation et “d’orientation” (“guidance“) ont leur siège dans l’article 11 de la Loi Informatique & Libertés :
“La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante. Elle est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle exerce les missions suivantes :
1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ;
2° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France.
A ce titre :
[…] a bis) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. […]”
Ces nouvelles dispositions, introduites par la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles adaptant la Loi Informatique & Libertés au cadre unioniste du GDPR, remplacent formellement celles décrivant le régime antérieur des “normes simplifiées”, qui d’un mécanisme de formalité préalable ont ainsi vocation à devenir de nouveaux “référentiels”, dans le cadre du principe général d’accountability.
Le même article prévoyait cependant déjà, sous l’empire antérieur de la Directive 95/46, un pouvoir général de la CNIL d’adopter des recommandations, voire des décisions individuelles et réglementaires dans le cadre de ses missions (“Pour l’accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi“).
Ce pouvoir d’orientation de l’autorité nationale est ainsi de longue date particulièrement vaste, et cette dernière n’a pas manqué de le mettre en pratique, au travers par exemple de plusieurs délibérations importantes en matière de cookies ou de sécurité des mots de passe. Il n’est du reste absolument pas remis en question par le GDPR, dont l’article 57, après avoir listé un certain nombre de domaines de compétence des autorités de contrôle, se veut le plus ouvert possible à l’égard des missions qui peuvent leur être dévolues :
“Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire :
[…] v) s’acquitte de toute autre mission relative à la protection des données à caractère personnel.“
Tout à fait similaire est le cas du CEPD, dont l’article 70 du GDPR définit le champ d’action de la façon la plus large, notamment en matière de publication de “lignes directrices“, “recommandations” et “bonnes pratiques” :
“Le comité veille à l’application cohérente du présent règlement. À cet effet, le comité, de sa propre initiative ou, le cas échéant, à la demande de la Commission, a notamment pour missions :
[…] e) d’examiner, de sa propre initiative, à la demande de l’un de ses membres ou à la demande de la Commission, toute question portant sur l’application du présent règlement, et de publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l’application cohérente du présent règlement ; […]”
Ici se joue donc en somme une particularité essentielle de la matière réglementaire, telle que nous l’évoquions en introduction de cet article : là où le juge judiciaire ou administratif éclaircit et fait évoluer le texte de loi de façon “incrémentale” ou “pointilliste”, au fil du contentieux, au gré des affaires qui lui sont soumises, la CNIL et le CEPD disposent tous deux (en sus, pour la première, de ses propres fonctions contentieuses) de la faculté d’interpréter le GDPR de façon générale et a priori, c’est-à-dire en amont et en-dehors de toute affaire spécifique.
Cette affirmation peut certes être immédiatement tempérée : il existe après tout, en droit civil et en droit administratif notamment, des décisions dites “de principe”, où la juridiction (le plus souvent une juridiction suprême) modifie d’un seul coup, et en pratique erga omnes, la portée ou le sens de la règle de droit, quitte d’ailleurs à s’attirer l’ire des contempteurs du “gouvernement des juges”. Il n’en reste pas moins que ces événements jurisprudentiels sont rares, et en tous cas sans commune mesure avec la compétence tout à fait assumée de la CNIL et du CEPD de se saisir de pans entiers de la réglementation, pour “prévenir” de leur propre doctrine les responsables de traitements et sous-traitants soumis à cette réglementation.
Cette façon d’opérer se justifie à plusieurs égards.
Tout d’abord, le GDPR (à la différence notable, par exemple, de la directive et du projet de règlement dits “e-Privacy”, textes de droit spécial relatifs à la vie privée dans les communications électroniques) est un texte à vocation “universaliste”, ce que reflètent en particulier son agnosticisme technologique et les définitions larges de ses notions fondamentales (reprises quasi-mot pour mot de la Directive 95/46) que sont celles de “donnée à caractère personnel” et de “traitement”. Un nombre de fait incalculable de situations extrêmement différentes tombent ainsi dans son escarcelle, avec cette évidence que toutes n’appelleront pas des solutions identiques pour la mise en pratique des différents principes fondamentaux de la réglementation.
D’autre part, ainsi qu’évoqué plus haut déjà, le GDPR est également un texte de compromis, et ce compromis a enfanté en plusieurs points des dispositions vagues ou sous-déterminés, qu’il serait de mauvaise économie de laisser chacun interpréter dans le sens qui l’arrange, ou même qu’il croit de bonne foi être exact, pour ensuite lui exposer la “juste” interprétation au gré d’une sanction surprise. Le nouveau paradigme d’auto-responsabilisation des acteurs poursuivi par ce nouveau règlement ne saurait aller sans un minimum de langage commun, ni donc sans un minimum de directives et d’explications.
Enfin, l’évolution des techniques et des pratiques est si dynamique qu’il apparaît en vérité crucial de disposer de référents réactifs, capables de jalonner le chemin de nouveaux points de repère au gré des innovations. Des activités telles que la publicité ciblée, la reconnaissance faciale ou encore les traitements de données par algorithmes auto-apprenants, en ce qu’elles soulèvent des enjeux lourds et nouveaux en matière de vie privée, appellent ainsi une réflexion prospective et un échange “en temps réel” avec les différentes parties prenantes. De ce point de vue, il est clair que le législateur national comme unioniste, même à mobiliser tous les mécanismes accélérateurs de procédure offerts par son ordre juridique, n’est tout simplement pas en mesure de suivre cette évolution par l’adoption systématique de nouveaux textes, fussent-ils réglementaires.
À tous ces égards, le “droit souple” des autorités de contrôle présente des avantages indéniables, qu’on pourra finalement résumer sous l’idée générale de sa très grande adaptabilité.
La critique, si critique il doit y avoir, ne vise donc pas le principe ou l’existence de ce droit souple. Les difficultés naissent plutôt de ce que la doctrine de la CNIL et du CEPD, telle qu’exprimée par ce droit souple, semble parfois excéder de beaucoup les exigences des textes qu’elle prétend clarifier, quitte à aller contre la lettre de ces textes.
Ainsi, pour n’en citer que quelques exemples les plus flagrants :
-
- Les articles 13 et 14 du GDPR établissent une différence très claire entre les catégories d’information devant être fournies à la personne concernée “dans tous les cas”, et celles devant être fournies lorsqu’elles “sont nécessaires pour garantir un traitement équitable et transparent” ; le texte introduit de cette manière une certaine flexibilité quant au contenu de l’information à fournir dans chaque cas. Dans ses lignes directrices relatives au principe de transparence (WP260rev.01), depuis lors faites siennes par le CEPD, le G29 indique pourtant non moins clairement, contre l’évidence portée par la structure du texte : “La position du G29 est qu’il n’y a aucune différence de régime entre l’information à fournir au titre des alinéas 1 et 2 des articles 13 et 14 respectivement. Toute l’information couverte par ces alinéas est d’importance égale, et doit être fournie aux personnes concernées” (“For clarity, WP29’s position is that there is no difference between the status of the information to be provided under sub-article 1 and 2 of Articles 13 and 14 respectively. All of the information across these sub-articles is of equal importance and must be provided to the data subject“).
- Dans les mêmes lignes directrices, le G29 indique également que cette information doit être fournie aux personnes concernées, lorsque les données n’ont pas été collectées auprès de ces dernières (cas de collecte “indirecte”), sous un délai n’excédant jamais, en aucun cas, la durée d’un mois. Cette lecture semble contraire, là encore, à la structure du texte interprété : l’article 14.3 présente en effet une énumération de trois alternatives (comme l’indique la conjonction de coordination “ou“), signifiant en toute logique que le délai d’un mois imparti au a) ne devrait pas s’appliquer dans les cas spécifiquement visés aux b) et c), à savoir les cas où “les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée” ou lorsqu’il “est envisagé de communiquer les informations à un autre destinataire“. Dans ces circonstances, le texte indique ainsi plutôt que le responsable du traitement pourrait repousser le moment de l’information, respectivement, jusqu’à la première communication avec la personne concernée, ou jusqu’au premier envoi des données à caractère personnel à un nouveau destinataire.
- La CNIL, dans sa délibération n°2013-378 du 5 décembre 2013 (la “recommandation cookies”), assimile explicitement aux cookies “d’autres technologies [tenues pour équivalentes] (notamment, en l’état des connaissances actuelles, les local shared objects appelés parfois les cookies “flash”, les pixels invisibles ou web bugs , les identifications par calcul d’empreinte du terminal ou encore des identificateurs cachés)“, pour soumettre ces technologies au même régime d’information et de consentement préalable (sauf exceptions limitées) décrit par l’article 32.II de la Loi Informatique & Libertés. Or, comme nous l’indiquions dans une précédente Shower Thought, toutes ces technologies ne rentrent pas à proprement parler dans la définition, prévue à cet article 32.II, “[d’]action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement” ; dès lors, l’application du régime des cookies à ces technologies doit apparaître douteuse, ou à tout le moins n’a rien de si évident, à s’en tenir au texte.
Précisons que le but ici n’est pas de discuter du bienfondé de chacune de ces positions quant à leur fond. Certaines viennent en effet pallier telle ou telle carence du législateur, dans le but louable de renforcer le contrôle des personnes concernées sur l’utilisation de leurs données. Il n’en reste pas moins qu’elles augmentent ce faisant, parfois de manière considérable, la charge des obligations des responsables de traitements et des sous-traitants, ce qui ne saurait jamais être anodin.
Aussi – et c’est ce qui nous préoccupe dans ces quelques lignes -, les avis, recommandations et lignes directrices des autorités de contrôle, officiellement destinés à “faciliter la mise en conformité des traitements” (Loi Informatique & Libertés) ou encore de “favoriser l’application cohérente” des textes (GDPR), se font-ils, en réalité, créateurs de droit.
Il n’y a certes pas lieu de s’en étonner outre-mesure – on sait depuis un moment déjà que la jurisprudence, la pratique des AAI, la soft law voire la doctrine peuvent rentrer, chacune à sa manière, dans la catégorie à géométrie variable des “sources du droit”, ne serait-ce que dans la mesure où elles influencent en pratique les comportements des parties prenantes à l’élaboration et à l’exécution de la norme. Mais puisqu’elles prêtent ainsi à conséquence, il faut quand même bien s’interroger sur la véritable valeur juridique de ces prises de position, sur leur place dans la fameuse “hiérarchie des normes”, et enfin sur les mécanismes de contrôle susceptibles de s’y appliquer.
Du statu quo à l’effet de masse : le risque d’une interprétation maximaliste
À première vue, ces différents textes interprétatifs de la CNIL et du CEPD paraissent très clairement dépourvus de force obligatoire au sens juridique, c’est-à-dire qu’ils ne lient ni l’autorité qui les édictent, ni les personnes auxquelles ils s’adressent.
Ce constat tend à s’imposer au regard de la forme des différents actes concernés : en droit national comme en droit de l’Union, les “avis“, “recommandations” ou “lignes directrices” se distinguent en effet traditionnellement des actes “réglementaires” au sens large, actes par nature contraignants.
Ainsi, dans l’ordre juridique unioniste, l’article 288 du Traité sur le Fonctionnement de l’Union Européenne (TFUE) expose-t-il :
“Pour exercer les compétences de l’Union, les institutions adoptent des règlements, des directives, des décisions, des recommandations et des avis.
Le règlement a une portée générale. Il est obligatoire dans tous ses éléments et il est directement applicable dans tout État membre.
La directive lie tout État membre destinataire quant au résultat à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens.
La décision est obligatoire dans tous ses éléments. Lorsqu’elle désigne des destinataires, elle n’est obligatoire que pour ceux-ci.
Les recommandations et les avis ne lient pas.“
Quant au niveau national, les “avis” ou “recommandations” de la CNIL sont classiquement distingués des décisions ou délibérations rendues dans l’exercice de ses missions contentieuses, de son pouvoir d’autorisation (encore applicable à certains traitements dans le domaine de la santé) ou encore de son pouvoir réglementaire (dont relève notamment l’adoption de “règlements types en vue d’assurer la sécurité des systèmes de traitement” au titre de l’article 11.I-2° b) de la Loi Informatique & Libertés).
La Commission le souligne d’ailleurs elle-même dans son avis du 30 novembre 2017 sur le projet de loi relative à la protection des données personnelles (depuis adoptée le 20 juin 2018) :
“Elle regrette également que l’objet de ces règlements-types soit limité à la seule dimension de la sécurité des systèmes. En effet, d’autres dimensions de la protection des données (finalité, minimisation des données, respect des droits, etc.) devraient pouvoir faire l’objet d’un encadrement par des règles de fond, et non seulement par des règles de sécurité, dans le respect des marges de manœuvre permises par le Règlement, notamment par son article 9.4. Faute de disposer de la possibilité d’adopter des règles contraignantes – alors qu’elle dispose d’ores et déjà d’un pouvoir réglementaire, via par exemple ses autorisations uniques – la Commission ne pourra tout au plus qu’émettre des recommandations. Or, s’agissant de données aussi sensibles, des instruments de « droit dur » s’avéreraient plus protecteurs des droits des personnes et plus sûrs pour les opérateurs, en affichant clairement les frontières entre le permis et l’interdit.“
Cette conclusion d’une absence de valeur contraignante s’impose de même, avec une évidence d’autant plus grande, pour les nombreux autres modes de communication “non juridiques” employés par la CNIL et le CEPD : communiqués de presse, “documents de travail” (selon la terminologie ancienne du G29), ou encore simples publications sur leurs sites Internet respectifs (qui n’en sont pas moins autant de sources d’information suivies avec attention par les acteurs concernés – et par leurs conseils juridiques). Du point de vue d’un observateur strictement positiviste, ces communications publiques à visée purement informationnelle, dont aucun texte de niveau supérieur ne vient formellement constater la force obligatoire, n’existent même tout simplement pas dans l’ordre juridique – c’est-à-dire qu’elles n’y ont aucune place.
On aurait tort cependant de s’arrêter à cette lecture formaliste, pour en déduire qu’il est loisible à chacun de s’éloigner sans risque des interprétations des autorités de contrôle.
En effet, et cela n’aura échappé à personne, cette démarche pédagogique “en amont”, venant de l’autorité chargée du contrôle et de la sanction des manquements, vaut aussi mise en garde pour l’avenir : même sans qu’il y soit toujours fait explicitement référence dans les décisions de sanction, c’est à cette aune bien sûr que le responsable sera jugé. Aussi ce dernier, s’il se veut prudent, aura tout intérêt à s’aligner par avance sur la position affichée de l’autorité : la contester supposerait d’entrer dans une logique de contentieux à titre individuel, en s’exposant d’abord soi-même à la sanction, avant que de devoir saisir d’un recours en annulation le Conseil d’État, ce qui ne va pas sans coûts financiers ni réputationnels (si notamment la sanction est rendue publique).
Or, voici précisément la dynamique par laquelle ce droit souple des autorités, dénué de valeur contraignante en droit, acquiert une force obligatoire de fait : dès lors que l’ensemble ou à tout le moins l’immense majorité des acteurs concernés s’alignent au terme de ce même raisonnement, l’interprétation soutenue par l’autorité, fût-elle éloignée voire contraire à la lettre du texte, tend à devenir un standard global, dont se distancier représente un risque non négligeable, y compris en termes d’image (dans le cas par exemple d’une entreprise qui ferait le choix de ne pas fournir toutes les informations voulues par le CEPD).
Cette dynamique n’est une fois de plus pas nécessairement regrettable en soi, si ce n’est lorsqu’elle conduit en pratique, compte tenu de la grille de lecture exigeante des autorités de contrôle, à favoriser chez tous les acteurs le choix d’une posture “maximaliste”, là où le texte signé par le législateur offrait en réalité une plus grande flexibilité. Pour le conseil comme pour le décideur, les lignes directrices des autorités risquent à ce compte, par souci de minimisation des risques, de devenir un point de référence paradoxalement supérieur au texte du GDPR lui-même, parce qu’à la fois plus explicites et plus “menaçantes” dans leurs prescriptions.
Cette force obligatoire informelle soulève ainsi à tout le moins une problématique sérieuse en termes de hiérarchie des normes : le droit souple (a fortiori national) peut-il librement détricoter ou retricoter l’ouvrage du législateur (a fortiori unioniste), au point de le primer en pratique ? Fort heureusement, non – ou, du moins, pas si librement : la jurisprudence et la pratique des autorités elles-mêmes se sont toutes deux adaptées pour répondre à ces difficultés causées par l’essor généralisé du droit souple (qui, rappelons-le, n’a rien en effet d’un phénomène propre au domaine de la protection des données à caractère personnel).
Voies de recours et consultations publiques : le droit souple se construit ensemble
C’est de fait le constat de ces difficultés qui a amené, en France, le Conseil d’État à imaginer de nouvelles formes de contrôles, quitte à abattre les cloisons traditionnelles du contentieux administratif.
Dans une série de décisions rendues le 21 mars 2016 (Société NC Numericable, n°390023 et Société Fairvesta International GMBH et autres, n°368082, 368083, 368084), la juridiction suprême a en effet admis la recevabilité de recours formés contre des actes de droit souple d’autorités administratifs indépendantes (respectivement une prise de position de l’Autorité de la concurrence et des communiqués de presse de l’Autorité des marchés financiers), à travers un attendu de principe limpide :
“Considérant que les avis, recommandations, mises en garde et prises de position adoptés par les autorités de régulation dans l’exercice des missions dont elles sont investies, peuvent être déférés au juge de l’excès de pouvoir lorsqu’ils revêtent le caractère de dispositions générales et impératives ou lorsqu’ils énoncent des prescriptions individuelles dont ces autorités pourraient ultérieurement censurer la méconnaissance ; que ces actes peuvent également faire l’objet d’un tel recours, introduit par un requérant justifiant d’un intérêt direct et certain à leur annulation, lorsqu’ils sont de nature à produire des effets notables, notamment de nature économique, ou ont pour objet d’influer de manière significative sur les comportements des personnes auxquelles ils s’adressent ; que, dans ce dernier cas, il appartient au juge, saisi de moyens en ce sens, d’examiner les vices susceptibles d’affecter la légalité de ces actes en tenant compte de leur nature et de leurs caractéristiques, ainsi que du pouvoir d’appréciation dont dispose l’autorité de régulation ; qu’il lui appartient également, si des conclusions lui sont présentées à cette fin, de faire usage des pouvoirs d’injonction qu’il tient du titre Ier du livre IX du code de justice administrative.”
Ces décisions consacrent ainsi la possibilité d’un contrôle juridictionnel le plus large possible des actes de droit souple des AAI, indépendamment de leur forme nominale, dans deux hypothèses distinctes :
- Lorsque l’acte, sous couvert de droit souple, contient en réalité des “dispositions générales et impératives” ou des “prescriptions individuelles” dont l’autorité dont l’acte émane a également le pouvoir de sanctionner par la suite la méconnaissance (solution en réalité déjà consacrée par deux décisions Société Casino Guichard-Perrachon et Société ITM Entreprises du 11 décembre 2012, n° 357193 et 346378) ;
- Lorsque l’acte est “de nature à produire des effets notables, notamment de nature économique“, ou “a pour objet d’influer de manière significative” sur le comportement des acteurs visés.
On pourra s’étonner, au passage, de ce que la première hypothèse paraît par définition systématiquement contenue dans la seconde : l’édiction de dispositions générales et impératives ou de prescriptions impératives, dans l’optique d’en contrôler et sanctionner ultérieurement la bonne mise en oeuvre, a en effet par définition pour objet d’influer de manière significative sur le comportement des intéressés, et partant sera vraisemblablement génératrice d’effets notables sur la situation de ces intéressés. Cela ne signifie pas pour autant que cette première série de conditions, fixée en 2012, soit désormais toujours inutile pour le plaideur, qui n’aurait qu’à démontrer les effets de l’acte plutôt que son caractère impératif : en élargissant le périmètre de son contrôle, la juridiction suprême de l’ordre administratif indique en effet néanmoins qu’elle entend contrôler de façon plus stricte l’intérêt à agir lorsque l’action est fondée sur ces nouvelles conditions liées à l’appréciation “de fait” de l’impact de cet acte ; cet intérêt doit être “direct et certain“, ce qui semble impliquer que seul un acteur personnellement lésé par l’acte litigieux pourra se prévaloir du droit d’action.
En toute hypothèse, au regard de cette jurisprudence récente, il fait peu de doute qu’un bon nombre des recommandations, avis, ou prises de positions de la CNIL, quelle que soit leur forme, puissent faire l’objet d’un recours en annulation devant la juridiction administrative. Si tous ces actes ne présentent pas en effet des “dispositions générales et impératives” appliquées par la suite dans le cadre des sanctions rendues par l’autorité, à tout le moins visent-ils souvent à influer de manière significative sur les comportements des responsables de traitements et sous-traitants, en précisant les bonnes et mauvaises pratiques à titre “préventif”, et/ou produisent-ils des “effets notables” sur la situation de ces acteurs, par exemple en les amenant à renoncer ou revoir en profondeur un projet d’activité économique impliquant un traitement de données à caractère personnel.
Du point de vue procédural, le Conseil d’Etat a pu rappeler que ce recours devait intervenir, comme de principe, dans les deux mois de la publication de l’acte concerné (y compris, faute de disposition légale ou réglementaire prévoyant un mode de publication spécifique pour cet acte, par simple mise en ligne sur le site Internet de l’autorité) ; passé l’expiration de ce délai, l’intéressé peut néanmoins toujours demander à l’autorité elle-même d’abroger l’acte en question, et former son recours contre la décision de refus d’abrogation qui s’ensuit, le cas échéant (CE, 13 juillet 2016, société GDF Suez, n°388150).
S’agissant des lignes directrices du CEPD, en revanche, les possibilités de recours offertes par l’ordre juridique unioniste s’avère plus limitées. Rappelons en effet que le CEPD, tel qu’institué par l’article 68 du GDPR, est “un organe de l’Union” ; or, l’article 263 du TFUE prévoit que la Cour de Luxembourg (en la formation du Tribunal) ne peut contrôler, “des actes des organes ou organismes de l’Union“, la légalité que de ceux “destinés à produire des effets juridiques à l’égard des tiers“.
Là où le droit national, tel qu’issu de la jurisprudence du Conseil d’Etat, fait dépendre la recevabilité des recours formés contre les actes de droit souple, entre autres conditions, d’une appréciation de fait des “effets notables” ou de l’influence “sur le comportement des personnes” visées par l’acte en question, le droit de l’Union s’en tient lui à une analyse des “effets juridiques“. En matière de texte “interprétatif”, la Cour s’attache ainsi, pour admettre ou non le recours, à déterminer si le texte en question se borne à expliciter ou résumer le droit existant, ou introduit de nouveaux droits et obligations au bénéfice ou à la charge des intéressés (Tribunal, République fédérale d’Allemagne c. Commission européenne, 20 mai 2010, T-258/06, pts. 27 et 28) :
“Pour apprécier si la communication vise à produire des effets juridiques nouveaux par rapport à ceux que comporte l’application des principes fondamentaux du traité CE, il convient donc d’examiner son contenu (voir, en ce sens, arrêts de la Cour du 9 octobre 1990, France/Commission, C‑366/88, Rec. p. I‑3571, point 11 ; du 13 novembre 1991, France/Commission, C‑303/90, Rec. p. I‑5315, point 10, et du 20 mars 1997, France/Commission, point 25 supra, point 9).
Il convient donc d’apprécier si la communication se contente d’expliciter les dispositions relatives à la libre circulation des marchandises, à la liberté d’établissement, à la libre prestation de services, les principes de non‑discrimination et d’égalité de traitement ainsi que de proportionnalité et les règles de transparence et de reconnaissance mutuelle applicables aux marchés qui ne sont pas ou qui ne sont que partiellement couverts par les directives marchés publics, ou si elle établit des obligations spécifiques ou nouvelles par rapport à ces dispositions, principes et règles (voir, en ce sens, arrêts de la Cour du 16 juin 1993, France/Commission, C‑325/91, Rec. p. I‑3283, point 14, et du 20 mars 1997, France/Commission, point 25 supra, point 13).”
D’une jurisprudence constante, la Cour exclut cependant de ne s’en tenir qu’à une lecture formelle ; le choix de désigner l’acte comme une simple “recommandation”, un “avis” ou encore une “communication”, sans être totalement dénué d’incidence sur l’analyse, n’est pas un élément dirimant pour cette dernière, qui repose au contraire sur une appréciation matérielle du contenu de l’acte, de la compétence et de l’intention de son auteur (Tribunal, Commission c. Centre de traduction des organes de l’Union européenne, T-456/07, pts. 52 à 59) :
“En vertu d’une jurisprudence constante, seules les mesures produisant des effets juridiques obligatoires de nature à affecter les intérêts des tiers en modifiant de façon caractérisée leur situation juridique constituent des actes susceptibles de faire l’objet d’un recours en annulation (voir, en ce sens, arrêt du Tribunal du 17 avril 2008, Cestas/Commission, T‑260/04, Rec. p. II‑701, point 67, et la jurisprudence citée).
De plus, il y a lieu de s’attacher à la substance de la mesure dont l’annulation est demandée pour déterminer si elle est susceptible de faire l’objet d’un recours en annulation, la forme dans laquelle cette mesure a été prise étant en principe indifférente à cet égard (voir arrêt Cestas/Commission, point 52 supra, point 68, et la jurisprudence citée).
Seul l’acte par lequel son auteur détermine sa position de façon non équivoque et définitive, dans une forme permettant d’en identifier la nature, constitue une décision susceptible de faire l’objet d’un recours en annulation, à la condition toutefois que cette décision ne constitue pas la confirmation d’un acte antérieur (voir, en ce sens, arrêt de la Cour du 26 mai 1982, Allemagne et Bundesanstalt für Arbeit/Commission, 44/81, Rec. p. 1855, point 12). Au cas où l’acte attaqué est purement confirmatif, le recours n’est recevable qu’à la condition que l’acte confirmé ait été attaqué dans les délais (voir arrêt du Tribunal du 10 juillet 1997, AssiDomän Kraft Products e.a./Commission, T‑227/95, Rec. p. II‑1185, point 29, et la jurisprudence citée). Ainsi, lorsqu’un requérant laisse expirer le délai pour agir contre une décision qui a arrêté de manière non équivoque une mesure comportant des effets juridiques affectant ses intérêts et s’imposant obligatoirement à lui, il ne saurait faire renaître ce délai en demandant à l’auteur de l’acte en cause de revenir sur sa décision et en formant un recours contre la décision de refus confirmant la décision antérieurement prise (voir arrêt du Tribunal du 15 mars 1995, Cobrecaf e.a./Commission, T‑514/93, Rec. p. II‑621, point 44, et la jurisprudence citée).
En revanche, une manifestation d’opinion écrite ou une simple déclaration d’intention ne saurait constituer une décision de nature à faire l’objet d’un recours en annulation, dès lors qu’elle n’est pas susceptible de produire des effets juridiques ou qu’elle ne vise pas à produire de tels effets (voir, en ce sens, arrêts de la Cour du 27 mars 1980, Sucrimex et Westzucker/Commission, 133/79, Rec. p. 1299, points 15 à 19, et du 27 septembre 1988, Royaume-Uni/Commission, 114/86, Rec. p. 5289, points 12 à 15).
Il a été jugé, par ailleurs, s’agissant des recours en annulation introduits par les particuliers, que toute lettre envoyée en réponse à une demande formulée par son destinataire ne constitue pas nécessairement une décision ouvrant à ce destinataire la voie du recours en annulation (voir, en ce sens, ordonnance de la Cour du 27 janvier 1993, Miethke/Parlement, C‑25/92, Rec. p. I‑473, point 10).
C’est à la lumière de ces principes qu’il convient de déterminer si l’acte attaqué est susceptible de faire l’objet d’un recours en annulation, ce que le CdT conteste au motif que cet acte n’est pas une décision et ne produit aucun effet juridique obligatoire.
En premier lieu, il découle de la jurisprudence (voir point 53 ci-dessus) que seule importe la substance de l’acte attaqué et non, en principe, la forme de celui-ci. En effet, la forme dans laquelle un acte est adopté ne peut changer la nature de celui-ci (voir arrêt du Tribunal du 24 mars 1994, Air France/Commission, T‑3/93, Rec. p. II‑121, point 57, et la jurisprudence citée) et ne présente, par conséquent aucun caractère déterminant. Néanmoins, il ne saurait être exclu pour autant que le Tribunal prenne en considération la forme dans laquelle sont adoptés les actes dont l’annulation lui est demandée, dans la mesure où celle-ci peut contribuer à permettre d’en identifier la nature (voir, en ce sens, arrêt Allemagne et Bundesanstalt für Arbeit/Commission, point 54 supra, point 12).
Il convient donc de vérifier d’abord si l’acte attaqué, par sa substance, premièrement, est susceptible de produire des effets juridiques en raison de la compétence de son auteur (voir, en ce sens, ordonnance Miethke/Parlement, point 56 supra, points 15 et 16) et, deuxièmement, entraîne effectivement de tels effets.“
Pour cette analyse, la Cour porte ainsi par exemple une attention toute particulière à la formulation de l’acte, et notamment à la présence de tournures impératives (Tribunal, 4 mars 2015, Royaume-Uni de Grande-Bretagne et d’Irlande du Nord c. Banque centrale européenne, T-496/11, pts 35 et 36) :
“Deuxièmement, du point de vue des parties intéressées, est également pertinente la rédaction de l’acte, aux fins de vérifier s’il est formulé en termes impératifs (voir, en ce sens, arrêt France/Commission, point 31 supra, EU:C:1997:164, point 18) ou, au contraire, utilise un langage tendant à démontrer son caractère simplement indicatif (voir, en ce sens, arrêt Italie/Commission, point 31 supra, EU:C:2005:727, points 21 et 22).
En l’espèce, il convient, tout d’abord, de relever que les dispositions liminaires du cadre de surveillance le présentent comme ayant pour objet de «décrire le rôle de l’Eurosystème dans le domaine de la surveillance». Contrairement à ce que soutient la BCE, la mise en exergue d’un tel objet descriptif ne permet pas d’exclure que son contenu soit perçu par les parties intéressées comme revêtant un caractère impératif. Il en résulte plutôt que le cadre de surveillance, loin d’apparaître comme une simple proposition explicitement indicative, se présente comme descriptif du rôle de l’Eurosystème, ce qui pourrait conduire les parties à conclure qu’il retranscrit les compétences effectivement dévolues par les traités à la BCE et aux banques centrales nationales des États membres de la zone euro.”
Dans ces conditions, la qualification des lignes directrices du CEPD comme actes “destinés à produire des effets juridiques à l’égard des tiers” n’est pas systématiquement évidente. Le cadre d’analyse complexe posé par la CJUE suggère une appréciation au cas par cas, pour déterminer notamment si ces lignes directrices vont au-delà d’un simple rappel du cadre juridique existant. Dans la décision précitée (République fédérale d’Allemagne c. Commission européenne, 20 mai 2010, T-258/06), le Tribunal consacre ainsi par exemple un temps important à analyser l’état du droit positif à date en matière de passation des marchés publics, afin de vérifier si la communication présentée comme “interprétative” introduit en réalité de nouvelles obligations à cet égard.
Dans les cas évoqués plus haut à tout le moins, dont en particulier celui relatif aux catégories d’information à fournir aux personnes concernées, ce critère est manifestement rempli : le G29 (et après lui le CEPD) élargit en effet délibérément la portée de l’obligation des responsables de traitements. Pour ces derniers, il semblerait donc possible de former un recours à l’encontre de ces lignes directrices en amont de tout contentieux, sur le fondement de l’article 263 alinéa 4 du TFUE, afin d’en faire contrôler la légalité au visa notamment du GDPR lui-même, et le cas échéant d’en obtenir l’annulation.
Le contentieux de la légalité des actes de droit souple constitue donc, au niveau national comme au niveau de l’Union, un premier tempérament susceptible de “remettre de l’ordre” dans la hiérarchie des normes. Il présente cependant, quoiqu’à un degré moindre, le même inconvénient que le contentieux des sanctions des autorités de contrôle : la procédure devant la CJUE occasionne des coûts importants, non seulement du point de vue financier mais aussi en termes d’image potentiellement, qu’il n’apparaîtra pas forcément justifié à un acteur privé d’assumer individuellement pour le bénéfice de tous – n’étant pas lui-même lésé plus particulièrement qu’un autre. Le recours risque ainsi bien de ne jamais advenir, faute précisément de requérant.
Est-ce à dire qu’il n’y aurait aucun moyen vraiment viable, pour les intéressés, de contester la position des autorités de contrôle ? Par chance, c’est à la conscience démocratique de ces dernières, justement, que nous devons l’existence d’un second tempérament (par l’évocation duquel nous conclurons ces lignes), à savoir l’utilisation de plus en plus systématique du mécanisme de la consultation publique, en vue de recueillir les opinions des entreprises, administrations, associations, conseils juridiques, universitaires, et de manière générale de toute personne ou entité concernée par la réglementation, préalablement à l’adoption d’un nouvel acte de droit souple.
Ce mécanisme, cher à l’Union Européenne en général, se traduit ainsi notamment par les appels à contribution consécutifs à l’adoption de premières versions temporaires des lignes directrices du CEPD, avant l’adoption des versions définitives ; en France, la CNIL a également lancé, à l’approche puis à la suite de l’entrée en application du GDPR, de nombreuses consultations sur différents aspects de ce nouveau règlement – en quoi elle se distingue d’autres AAI moins sensibles à la dimension collaborative de l’élaboration du droit souple.
Cette manière d’internaliser la critique, si elle n’est certes en rien une garantie de ce que les contre-propositions émises par la “société civile” feront vraiment évoluer de façon substantielle, in fine, la position de départ des autorités, rétablit à tout le moins une forme de lien politique avec la règle de droit, essentielle pour la crédibilité de cette dernière, dans le temps ultérieur de son application ; il en va en effet du fameux “déficit démocratique” dont semblent toujours plus ou moins suspectes les autorités administratives, a fortiori celles investies de pouvoirs de sanction.
Faut-il, donc, être toujours d’accord avec la CNIL ? Non, sans doute – mais vous pouvez essayer de faire en sorte que la CNIL soit un peu plus d’accord avec vous.
Un grand merci de l’auteur de ces quelques lignes est adressé au Professeur Stéphane de la Rosa, responsable du Master de Droit public des affaires à l’Université Paris Est Créteil, pour ses recommandations de lecture concernant la notion d’acte susceptible de recours en droit de l’Union.