L’EFFECTIVITE DE LA TRANSPARENCE DES TRAITEMENTS DE DONNEES PERSONNELLES
Dans la sphère numérique, la transparence est le fait de rendre visible l’invisible. C’est tout l’enjeu de la conformité, qui vise à empêcher que les informations communiquées au titre des articles 12, 13, 14, 15 et 22 du RGPD, c’est-à-dire du droit à l’information et à l’explicabilité des décisions individuelles automatisées, ne soient erronées, car la personne concernée est de facto en situation de vulnérabilité par rapport aux responsables du traitement345, voire des sous-traitants, à raison notamment d’une asymétrie informationnelle. Le RGPD repose donc sur des pouvoirs traditionnels de conformité par les autorités de contrôle, dont la CNIL au plan national. Ils permettent à la fois d’améliorer la transparence avant que le traitement ne soit mis en œuvre, puis de le contrôler le cas échéant a posteriori (Section I). 170. Au-delà de ces considérations, cette réglementation modifie l’approche de la protection sur les données personnelles en ayant fait basculer un régime d’autorisation et de formalités préalables346 à un régime de responsabilisation des responsables du traitement et de leurs soustraitants à des fins de simplification. En contrepartie, de nouveaux mécanismes dits de conformité ont été rendus obligatoires. Selon Margot E. Kaminski347, le RGPD instaure pour certains d’entre-eux une gouvernance collaborative à travers des mécanismes plus novateurs, le plus souvent de droit non contraignant de façon à ce qu’il existe une complémentarité entre la puissance publique, intervenant en tant que régulateur, et les responsables du traitement, leur permettant de prendre part à l’élaboration de la réglementation. Il s’agit donc de la mise en œuvre du principe de responsabilité consistant à ce que les acteurs concernés par les obligations du RGPD démontrent leurs conformités, par eux-mêmes, et qui concourt à l’effectivité de la réglementation, dont celui du principe de transparence en matière de données personnelles, même si celui demeure imparfait (Section 2)
LES POUVOIRS TRADITIONNELS DES AUTORITES DE CONTROLE
La CNIL est la première AAI désignée en tant que telle par le législateur de l’histoire du droit français348. Cela démontre que le législateur souhaitait que cette commission soit indépendante du pouvoir politique dans le cadre de sa composition et de son fonctionnement. Compte tenu des nouveaux enjeux, et de l’exacerbation des problématiques relatives au numérique, il n’est pas déraisonnable de penser qu’une telle autorité, avec des compétences élargies, et un budget à la hauteur de ses missions, soit désormais instituée avec un statut qui va au-delà de ce que les autorités administratives indépendantes permettent aujourd’hui. Mais avant d’aborder ce sujet dans la deuxième partie de ces travaux349, il est nécessaire d’analyser dans leur généralité les prérogatives dont dispose la CNIL pour parvenir à l’effectivité de la transparence des traitements algorithmiques de données à caractère personnel. Il est par ailleurs à noter que la CNIL, depuis l’immixtion du droit de l’Union dans ce domaine, est également sous la supervision du CEPD afin d’uniformiser l’application de ce nouveau droit au sein des Etats membres, mais aussi de la Commission européenne. La CNIL dispose de pouvoirs susceptibles de concourir à la transparence des traitements de données personnelles en amont de leur mise en œuvre. Toutefois, au-delà de la mission préventive de cette institution (Paragraphe 1), qui demeure par ailleurs insuffisante pour les raisons que nous évoquerons, elle jouit d’un important pouvoir coercitif permettant de contrôler les traitements une fois déployés par les responsables du traitement et de leurs sous-traitants (Paragraphe 2).
Les pouvoirs concourant ex ante à la transparence des traitements
Au-delà des mécanismes de responsabilité des acteurs que nous aborderons ultérieurement, et à laquelle la CNIL participe, les pouvoirs traditionnels de cette autorité, et susceptibles de concourir ex ante à la transparence des traitements algorithmiques de données à caractère personnel, reposent davantage sur un droit souple (A) que règlementaire, ce qui aboutit, notamment du fait de la fin du régime d’autorisation de nombreux traitements sous 348 Art. 6 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. 349 Infra., n° 717 et s. 75 l’empire de l’ancienne règlementation, à un affaiblissement de cette dernière en tant que contrepouvoir technique (B). A – Un pouvoir de proposition et de droit souple 174. La CNIL dispose d’un rôle en matière d’information auprès des personnes physiques afin de les informer au sujet de leurs droits, mais également auprès des responsables du traitement, qu’ils soient privés ou publics dans le but de les renseigner sur leurs obligations, y compris sur le respect des droits des personnes parmi lesquels la transparence des données personnelles traitées bénéficie d’une place centrale350 . L’article 8 § 1 1° de la LIL dispose en ce sens qu’« elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ». La commission peut aussi être sollicitée par de nombreux acteurs publics auprès desquels elle exerce une mission de conseil351. Elle répond également aux demandes d’avis formulés par les pouvoirs publics352, y compris des autres autorités administratives indépendantes. 175. Au-delà de l’avis obligatoire au titre des articles 31 et 32 de la LIL353, elle est consultée pour tout projet de loi ou de décret portant sur le traitement de données personnelles ou sur leur protection au sens large354. Nous regrettons sur ce point que cette consultation ne porte que sur les projets, qui certes sont importants afin que les parlementaires puissent le cas échéant bénéficier de son expertise lors des débats, alors qu’il serait en revanche plus constructif qu’elle intervienne tout au long du processus parlementaire ou règlementaire en vue de prodiguer les meilleurs conseils possibles. En effet, les projets ressemblent rarement à la version définitive qui pourtant s’imposera. Elle est également susceptible d’être force de proposition concernant l’évolution des régimes juridiques comme cela est le cas au sujet du projet de règlement européen de la Commission européenne relatif à l’IA.