La CNIL : nouveaux pouvoirs, nouveaux contrôles, nouvelles sanctions - Antoine Gitton ...

La page est créée Jean-Claude Collin
 
CONTINUER À LIRE
Matinale juridique – 29 Mai 2018

     La CNIL : nouveaux pouvoirs, nouveaux
         contrôles, nouvelles sanctions
           Comment faire face à un contrôle de la CNIL ?
                             Intervenants : Me Gitton et Me Claisse

 Ce document est le support de l’intervention orale (il ne prétend pas à l’exhaustivité, son objet
étant essentiellement de faciliter la prise de notes et de mettre en évidence les points essentiels
                                        d’un droit en devenir)
SOMMAIRE

INTRODUCTION: INCERTITUDES ET PRINCIPES
I.    LE POUVOIR DE CONTRÔLE DE LA CNIL
II.   LE POUVOIR DE SANCTION DE LA CNIL
III. CONDITIONS GÉNÉRALES DE LA SANCTION
IV. LA PROCÉDURE DEVANT LA FORMATION RESTREINTE
V.    NATURE DE LA SANCTION ET GARANTIES PROCÉDURALES
VI. PROSPECTIVE : ENTRE ACCOMPAGNEMENT ET DISSUASION
Introduction : Un dispositif législatif encore incertain
                                                                Une nouveau droit fondamental: la protection des
    Quatre textes et un recours devant le Conseil
                                                                personnes physiques à l’égard du traitement des
                   Constitutionnel
                                                                        données à caractère personnel
•   Loi n° 78-17 du 6 janvier 1978 relative à l’informatique,   Un facteur de risque qui a muté. Des informations nominatives
    aux fichiers et aux libertés                                             aux données à caractère personnel
                                                                                     Vie privée et privacy
•   Décret n° 2005-1309 du 20 octobre 2005 pris pour
    l’application de la loi n°78-17 du 6 janvier 1978           L’émergence des autorités administratives indépendantes. La
•   Règlement (UE) 2016/679 du Parlement européen et du         nécessité de conférer à la CNIL des pouvoirs à la hauteur des
    conseil du 27 avril 2016 relatif à la protection des
                                                                                           enjeux.
    personnes physiques à l’égard du traitement des données
    à caractère personnel et à la libre circulation de ces
                                                                               Les raisons de la discorde :
    données et abrogeant la directive 95/46/CE                           Responsabilité des collectivités territoriales
•   Projet de loi adopté par l’Assemblée Nationale le 14                        Algorithmes d’orientation
    mai 2018 relatif à la protection des données personnelles               Open data des décisions de justice
•   La saisine n°2018-765 du 16 mai 2018 par 60 sénateurs                      Consentement des mineurs
    du Conseil Constitutionnel
Introduction : Les grands principes qui régissent les
données et leurs traitements

• Une donnée à caractère personnel ?
• Un traitement automatisé de données à caractère personnel ?
• Les données doivent être traitées de manière licite, loyale et transparente
  au regard de la personne concernée (critère de la transparence ajouté par le
  RGPD)
• Les données doivent être collectées pour des finalités déterminées,
  explicites et légitimes, et ne pas être traitées ultérieurement de manière
  incompatible avec ces finalités (limitation à des finalités)
•    Les données doivent être adéquates, pertinentes et limitées à ce qui est
    nécessaire au regard des finalités pour lesquelles elles sont traitées
    (minimisation des données)
•   Principe d’exactitude : Les données doivent être exactes, et, si
    nécessaire, tenues à jour, toutes les mesures raisonnables doivent être
    prises pour que les données à caractère personnel qui sont inexactes, eu
    égard aux finalités pour lesquelles elles sont traitées, soient effacées ou
    rectifiées sans tarder.
•   Limitation de la conservation : Les données doivent être conservées
    sous une forme permettant l’identification des personnes concernées
    pendant une durée n’excédant pas celle nécessaire au regard des finalités
    pour lesquelles elles sont traitées.
•   Intégrité-confidentialité : Les données doivent être traitées de façon à
    garantir une sécurité appropriée des données à caractère personnel, y
    compris la protection contre le traitement non autorisé ou illicite et contre la
    perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de
    mesures techniques ou organisationnelles.
Le traitement doit être licite et ainsi :
• Soit la personne doit y avoir donné son consentement exprès pour des finalités
  spécifiques ;
• Soit le traitement est nécessaire à l’exécution d’un contrat auquel la personne
  est partie ;
• Soit nécessaire au respect d’une obligation légale ;
• Soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée
  ou d’une personne physique ;
• Soit nécessaire à l’exécution d’une mission d’intérêt public ;
• Soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du
  traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés
  ou droits fondamentaux de la personne concernée.
• Par principe, le traitement des données à caractère personnel qui révèle l'origine
  raciale ou ethnique, les opinions politiques, les convictions religieuses ou
  philosophiques ou l'appartenance syndicale, ainsi que le traitement des données
  génétiques, des données biométriques aux fins d'identifier une personne physique
  de manière unique, des données concernant la santé ou des données concernant
  la vie sexuelle ou l'orientation sexuelle d'une personne physique, sont interdits,
  sauf autorisation spécifique et légitime de la personne concernée.
La personne concernée bénéficie de droits :
• Transparence des informations et des communications et modalités d’exercice
  des droits de la personne concernée, à la charge du responsable du traitement ;
• Droit d’information et d’accès aux données à caractère personnel ;
• Droit de rectification ;
• Droit à l’effacement (droit à l’oubli) ;
• Droit à la limitation du traitement ;
• Droit à la portabilité des données ;
• Droit d’opposition.
I- Le pouvoir de contrôle de la CNIL
Article 44 de la loi du 6 janvier 1978 – Article 5 du projet de loi – Article 61 à 65 du décret.
Les membres de la CNIL et ses agents habilités

Le contrôle sur place des locaux à usage professionnel privé :
•   Information préalable du procureur de la République. Délai de 24h.
•   Droit d’opposition à la visite du responsable des locaux, sauf urgence, gravité ou risque de
    destruction ou dissimulation de documents. Autorisation, contrôle et autorité du juge des
    libertés et de la détention. Présence de l’occupant des lieux qui peut se faire assister d’un
    conseil de son choix ou présence de deux témoins.
•   Droit de communication et de copie des agents de la CNIL.
•   Droit d’accès aux traitements et aux données des agents de la CNIL.
•   Les agents peuvent être assistés par des experts à la demande du président de la CNIL.
•   Projet de loi : le secret ne peut leur être opposé, sauf secret avocat à client et protection
    des sources du journaliste. Données de santé communiquées à un médecin.
•   CNIL incompétente pour contrôler les opérations de traitement effectuées, dans l’exercice
    de leurs fonctions juridictionnelles, par les juridictions.
Le contrôle sur convocation et le contrôle en ligne Article 66 du décret :

• Projet de loi - Les agents peuvent adopter une identité d’emprunt
• Les agents peuvent, notamment à partir d’un service de communication en
  ligne, consulter les données librement accessibles ou rendues accessibles, le
  cas échéant en accédant et en se maintenant dans des STAD. Comparer L.323-
  1 Code pénal.
• Procès-verbal des vérifications et visites menées. Contradictoire lorsque les
  vérifications et visites sont effectuées sur place ou sur convocation.
II- Le pouvoir de sanction de la CNIL
Articles 17 et 45 de la loi - Articles 70 à 82 du décret – Autorité de poursuite et autorité de sanction

Les prérogatives du Président de la CNIL – Avertissement – Mise en demeure –
Saisine de la Formation restreinte

Article 45-I nouveau (projet de loi). Avertissement par le président de la CNIL que
les opérations de traitement sont susceptible de violer le RGPD ou la loi.
Actuellement prérogatives de la Formation Restreinte.

Article 45-II nouveau (projet de loi). Si le manquement constaté est susceptible de
faire l’objet d’une mise en conformité, alors le président de la CNIL peut faire une
mise en demeure. Article 7 du projet de loi. La mise en demeure peut être rendue
publique
Article 45 III du projet de loi – La Formation Restreinte sur saisine du Président de la CNIL

La mise en demeure ou l’avertissement ne sont pas des préalables obligatoires.
La Formation restreinte – 6 commissaires – Procédure contradictoire
Peut prononcer :
• Un rappel à l’ordre
• Une injonction de mise en conformité ou de satisfaire aux demandes présentées par
  la personne concernée en vue d’exercer ses droits, qui peut être assortie d’une
  astreinte dont le montant ne peut excéder 100.000 € par jour de retard
• La limitation temporaire ou définitive du traitement, son interdiction ou le retraite
  d’une autorisation accordée en application du RGPD ou de la loi
• Le retrait d’une certification ou l’injonction, à l’organisme certificateur concerné, de
  refuser une certification ou de retirer la certification accordée
• La suspension des flux de données adressées à un destinataire situé dans un payés
  tiers ou à une organisation internationale
• La suspension partielle ou totale de la décision d’approbation des règles d’entreprise
  contraignantes
• A l’exception des cas où le traitement est mis en œuvre par l’État, une amende
  administrative ne pouvant excéder 10 millions d’euros, ou s’agissant d’une
  entreprise, 2% du chiffre d’affaires annuel mondial de l’exercice précédent, le
  montant le plus élevé étant retenu.
• Dans les hypothèses mentionnées au 5 et 6 de l’article 83 du RGPD les
  plafonds sont doublés.
• Principes de base du traitement, droits des personnes concernées, transfert de
  données à un pays tiers, droit des États membres en vertu de l’article 9 du
  RGPD, non respect d’une injonction de la CNIL
III- Conditions générales de la sanction
Art 83 RGPD

Une sanction effective, proportionnée et dissuasive. Il est dûment tenu compte des
éléments suivants :
• La nature, la gravité et la durée de la violation, compte tenu de la nature, de la
  portée ou de la finalité du traitement, ainsi que le nombre de personnes
  concernées et leur niveau de dommage ;
• Le fait que la violation a été commise délibérément ou par négligence ;
• Toute mesure prise par le responsable du traitement ou le sous-traitant pour
  atténuer le dommage subi par les personnes concernées ;
• Le degré de responsabilité du responsable ou du sous traitant, compte tenu des
  mesures techniques et organisationnelles mises en œuvre ;
• Toute violation pertinente commise précédemment par le responsable du
  traitement ou le sous-traitant ;
• Le degré de coopération établi avec l’autorité de contrôle en vue de remédier ou
  d’atténuer les effets négatifs ;
• Les catégories de traitement de données à caractère personnel concernées par
  la violation ;
• La manière dont l’autorité de contrôle a eu connaissance de la violation,
  notamment si, et dans quelle mesure, le responsable du traitement ou le sous
  traitant a notifié la violation ;
• Lorsque des mesures ont été précédemment ordonnées, le respect de ces
  mesures ;
• L’application de codes de conduite approuvés en application de l’article 40 ou
  de mécanismes de certification approuvés en application de l’article 42 ;
• Toute autre circonstance aggravante ou atténuante applicable aux
  circonstances de l’espèce, telles que les avantages financiers obtenus ou les
  pertes évitées, directement ou non ;
La procédure d’urgence
Article 46 nouveau

Article 45-II actuel
• Saisine de la Formation restreinte par le président de la CNIL ;
• Interruption ou limitation provisoires pour une durée maximale de 3 mois ;
• Suspension provisoire de la certification du responsable du traitement ou
     de l’agrément délivré à un organisme de certification ou chargé du respect
     d’un code de conduite ;
• Suspension provisoire de l’autorisation pour les traitements dans les
     domaines de la recherche en matière de santé ;
• Injonction sous astreinte ;
• Rappel à l’ordre.

•    Si le traitement intéresse la sûreté de l’État ou la défense information du
     Premier Ministre qui doit répondre dans les 15 jours.
Coordination au sein de l’UE

Article 46- III nouveau : Comité européen de la protection des données

Article 63 du RGPD : Mécanisme de contrôle de la cohérence

Article 65 RGPD : Règlement des litiges par le Comité
IV- La procédure devant la formation restreinte
Article 47 nouveau de la loi - Article 73 à 82 du Décret

• Les sanctions sont prononcées sur la base d’un rapport établi par l’un des
  membres de la CNIL qui n’appartient pas à la formation restreinte. Proposition
  de sanctions.
• Rapport notifié au responsable ou au sous-traitant qui peut déposer des
  observations et se faire représenter ou assister.
• Le rapporteur peut déposer des observations orales. Délai d’un mois pour y
  répondre (article 75 du décret).
• Droit de prendre copie et de se faire assister ou représenter.
• Notification de la date de la séance de la formation restreinte un mois au moins
  avant son échéance.
• Les observations écrites du responsable doivent parvenir 3 jours au plus tard
  avant la séance.
• Avis du Commissaire du gouvernement ;
• La formation restreinte peut entendre toute personne ;
• Peut demander un complément d’enquête au rapporteur ;
• Le responsable et/ou son conseil sont entendus en dernier ;
• La décision doit être motivée en droit et en fait. Elle mentionne les délais et
  voies de recours ;
• Notification au responsable du traitement. Communication au commissaire du
  gouvernement.
• La formation restreinte peut rendre publique ses sanctions.
• La formation peut obliger le responsable ou le sous-traitant à informer les
  personnes concernées.
• Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue
  définitive avant que le juge pénal ait statué définitivement sur les mêmes faits
  ou des faits connexes, celui-ci peut ordonner que l’amende administrative
  s’impute sur l’amende pénale qu’il prononce.
• L’astreinte est liquidée par la formation restreinte qui en fixe le montant définitif
• La mise en demeure article 73 du décret – Mise en conformité dans un délai
  de 10 jours à trois mois - Un préalable devenu caduque avec la loi nouvelle
V- Nature de la sanction et garanties procédurales
• État du droit en matière de pouvoir répressif des autorités administratives
  indépendantes
• Décision 88-248 DC, 17 janvier 1989
• Principe de légalité des délits et des peines
• Principe de nécessité des peines
• Principe de non-rétroactivité de la loi pénale d’incrimination plus sévère
• Droits de la défense

« Ces exigences concernent non seulement les peines prononcées par les
juridictions répressives mais aussi toute sanction ayant le caractère d’une punition
même si législateur a laissé le soin de la prononcer à une autorité de nature non
judiciaire »

Le pouvoir de sanction administrative, dérogatoire au principe de séparation
des pouvoirs, est strictement contingenté par la mission de l’autorité
administrative en question.
En aucun cas une autorité administrative indépendante n’entre en concurrence avec le
Ministère Public ou le juge judiciaire pour la poursuite des infractions et leur répression.
L’autorité administrative exerçant un pouvoir de sanction n’exerce pas plus une activité de
police administrative. Elle ne vise pas à prévenir une infraction mais à PUNIR un contrevenant
à la réglementation qui lui est confiée afin d’assurer l’effectivité de ses missions de régulation.

Dès lors qu’elle remplit l’un des trois critères alternatifs posés par la CEDH, tenant à la
quailification de la mesure en droit interne, à la nature de l’infraction et à la sévérité de la
sanction encourue, une mesure doit respecter les principes posés par l’article 6§1 de la
convention CEDH (CEDH, 8 juin 1976, Engel et autres c/ Pays Bas, n°51700/71).

Dans sa décision DIDIER (CE, assemblée, 3 décembre 1999, n°207434, Rec), le Conseil
d’État a jugé, alors même que l’autorité décisionnaire – alors le conseil des marchés financiers
siégeant en formation disciplinaire) - « n’était pas une juridiction au regard du droit interne », le
moyen tiré de l’article 6§1 était opérant à l’appui d’un recours formé contre une décision de
sanction « eu égard à la nature, à la composition et aux attributions de cet organisme ».
VI- Prospective : Entre accompagnement et dissuasion

Prévenir pour guérir :

Registre des données, Délégué à la protection des données, Codes de
conduite et certification (article 40 et 42 du RGPD)

Bruno Lassere, ex président de l’Autorité de la concurrence, succède à Jean-
Marc Sauvé à la tête du Conseil d’ État
www.claisse-associes.com
Vous pouvez aussi lire