1. La CNIL : nouveaux pouvoirs, nouveaux contrôles, nouvelles sanctions Comment faire face à un contrôle de la CNIL ? Intervenants : Me Gitton
  2. Ce document est le support à une intervention orale (il ne prétend pas à l’exhaustivité, son objet étant essentiellement de faciliter la prise de notes et de mettre en évidence les points essentiels d’un droit en devenir)
  3. 2. INTRODUCTION: INCERTITUDES ET PRINCIPES I. LE POUVOIR DE CONTRÔLE DE LA CNIL II. LE POUVOIR DE SANCTION DE LA CNIL III. CONDITIONS GÉNÉRALES DE LA SANCTION IV. LA PROCÉDURE DEVANT LA FORMATION RESTREINTE V. NATURE DE LA SANCTION ET GARANTIES PROCÉDURALES VI. PROSPECTIVE : ENTRE ACCOMPAGNEMENT ET DISSUASION SOMMAIRE AGA
  4. 3. Introduction : Un dispositif législatif encore incertain. Quatre textes et un recours devant le Conseil Constitutionnel. Un nouveau droit fondamental: la protection des personnes physiques à l’égard du traitement des données à caractère personnel • Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés • Décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n°78-17 du 6 janvier 1978 • Règlement (UE) 2016/679 du Parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE • Projet de loi adopté par l’Assemblée Nationale le 14 mai 2018 relatif à la protection des données personnelles • La saisine n°2018-765 du 16 mai 2018 par 60 sénateurs du Conseil Constitutionnel Un facteur de risque qui a muté. Des informations nominatives aux données à caractère personnel Vie privée et privacy L’émergence des autorités administratives indépendantes. La nécessité de conférer à la CNIL des pouvoirs à la hauteur des enjeux. Les raisons de la discorde : Responsabilité des collectivités territoriales Algorithmes d’orientation Open data des décisions de justice Consentement des mineurs Antoine Gitton Avocats
  5. 4. • Une donnée à caractère personnel ? • Un traitement automatisé de données à caractère personnel ? • Les données doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (critère de la transparence ajouté par le RGPD) • Les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités (limitation à des finalités) • Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) Introduction : Les grands principes qui régissent les données et leurs traitements Antoine Gitton Avocats
  6. 5. • Principe d’exactitude : Les données doivent être exactes, et, si nécessaire, tenues à jour, toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder. • Limitation de la conservation : Les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. • Intégrité-confidentialité : Les données doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles. Antoine Gitton Avocats
  7. 6. Le traitement doit être licite et ainsi : • Soit la personne doit y avoir donné son consentement exprès pour des finalités spécifiques ; • Soit le traitement est nécessaire à l’exécution d’un contrat auquel la personne est partie ; • Soit nécessaire au respect d’une obligation légale ; • Soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une personne physique ; • Soit nécessaire à l’exécution d’une mission d’intérêt public ; • Soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés ou droits fondamentaux de la personne concernée. Antoine Gitton Avocats
  8. 7. • Par principe, le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, sont interdits, sauf autorisation spécifique et légitime de la personne concernée. Antoine Gitton Avocats
  9. 8. La personne concernée bénéficie de droits : • Transparence des informations et des communications et modalités d’exercice des droits de la personne concernée, à la charge du responsable du traitement ; • Droit d’information et d’accès aux données à caractère personnel ; • Droit de rectification ; • Droit à l’effacement (droit à l’oubli) ; • Droit à la limitation du traitement ; • Droit à la portabilité des données ; • Droit d’opposition. Antoine Gitton Avocats
  10. 9. Article 44 de la loi du 6 janvier 1978 – Article 5 du projet de loi – Article 61 à 65 du décret. Les membres de la CNIL et ses agents habilités Le contrôle sur place des locaux à usage professionnel privé : • Information préalable du procureur de la République. Délai de 24h. • Droit d’opposition à la visite du responsable des locaux, sauf urgence, gravité ou risque de destruction ou dissimulation de documents. Autorisation, contrôle et autorité du juge des libertés et de la détention. Présence de l’occupant des lieux qui peut se faire assister d’un conseil de son choix ou présence de deux témoins. • Droit de communication et de copie des agents de la CNIL. • Droit d’accès aux traitements et aux données des agents de la CNIL. • Les agents peuvent être assistés par des experts à la demande du président de la CNIL. • Projet de loi : le secret ne peut leur être opposé, sauf secret avocat à client et protection des sources du journaliste. Données de santé communiquées à un médecin. • CNIL incompétente pour contrôler les opérations de traitement effectuées, dans l’exercice de leurs fonctions juridictionnelles, par les juridictions. I- Le pouvoir de contrôle de la CNIL Antoine Gitton Avocats
  11. 10. Le contrôle sur convocation et le contrôle en ligne Article 66 du décret : • Projet de loi - Les agents peuvent adopter une identité d’emprunt • Les agents peuvent, notamment à partir d’un service de communication en ligne, consulter les données librement accessibles ou rendues accessibles, le cas échéant en accédant et en se maintenant dans des STAD. Comparer L.323- 1 Code pénal. • Procès-verbal des vérifications et visites menées. Contradictoire lorsque les vérifications et visites sont effectuées sur place ou sur convocation. Antoine Gitton Avocats
  12. 11. II- Le pouvoir de sanction de la CNIL Articles 17 et 45 de la loi - Articles 70 à 82 du décret – Autorité de poursuite et autorité de sanction Les prérogatives du Président de la CNIL – Avertissement – Mise en demeure – Saisine de la Formation restreinte Article 45-I nouveau (projet de loi). Avertissement par le président de la CNIL que les opérations de traitement sont susceptible de violer le RGPD ou la loi. Actuellement prérogatives de la Formation Restreinte. Article 45-II nouveau (projet de loi). Si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, alors le président de la CNIL peut faire une mise en demeure. Article 7 du projet de loi. La mise en demeure peut être rendue publique Antoine Gitton Avocats
  13. 12. La mise en demeure ou l’avertissement ne sont pas des préalables obligatoires. La Formation restreinte – 6 commissaires – Procédure contradictoire Peut prononcer : • Un rappel à l’ordre • Une injonction de mise en conformité ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie d’une astreinte dont le montant ne peut excéder 100.000 € par jour de retard • La limitation temporaire ou définitive du traitement, son interdiction ou le retraite d’une autorisation accordée en application du RGPD ou de la loi • Le retrait d’une certification ou l’injonction, à l’organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée • La suspension des flux de données adressées à un destinataire situé dans un payés tiers ou à une organisation internationale • La suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes Article 45 III du projet de loi – La Formation Restreinte sur saisine du Président de la CNIL Antoine Gitton Avocats
  14. 13. • A l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros, ou s’agissant d’une entreprise, 2% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu. • Dans les hypothèses mentionnées au 5 et 6 de l’article 83 du RGPD les plafonds sont doublés. • Principes de base du traitement, droits des personnes concernées, transfert de données à un pays tiers, droit des États membres en vertu de l’article 9 du RGPD, non respect d’une injonction de la CNIL Antoine Gitton Avocats
  15. 14. Une sanction effective, proportionnée et dissuasive. Il est dûment tenu compte des éléments suivants : • La nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement, ainsi que le nombre de personnes concernées et leur niveau de dommage ; • Le fait que la violation a été commise délibérément ou par négligence ; • Toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ; • Le degré de responsabilité du responsable ou du sous traitant, compte tenu des mesures techniques et organisationnelles mises en œuvre ; • Toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ; III- Conditions générales de la sanction Art 83 RGPD Antoine Gitton Avocats
  16. 15. • Le degré de coopération établi avec l’autorité de contrôle en vue de remédier ou d’atténuer les effets négatifs ; • Les catégories de traitement de données à caractère personnel concernées par la violation ; • La manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous traitant a notifié la violation ; • Lorsque des mesures ont été précédemment ordonnées, le respect de ces mesures ; • L’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42 ; • Toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telles que les avantages financiers obtenus ou les pertes évitées, directement ou non ; Antoine Gitton Avocats
  17. 16. La procédure d’urgence Article 46 nouveau Article 45-II actuel • Saisine de la Formation restreinte par le président de la CNIL ; • Interruption ou limitation provisoires pour une durée maximale de 3 mois ; • Suspension provisoire de la certification du responsable du traitement ou de l’agrément délivré à un organisme de certification ou chargé du respect d’un code de conduite ; • Suspension provisoire de l’autorisation pour les traitements dans les domaines de la recherche en matière de santé ; • Injonction sous astreinte ; • Rappel à l’ordre. • Si le traitement intéresse la sûreté de l’État ou la défense information du Premier Ministre qui doit répondre dans les 15 jours. Antoine Gitton Avocats
  18. 17. Article 46- III nouveau : Comité européen de la protection des données Article 63 du RGPD : Mécanisme de contrôle de la cohérence Article 65 RGPD : Règlement des litiges par le Comité Coordination au sein de l’UE Antoine Gitton Avocats
  19. 18. • Les sanctions sont prononcées sur la base d’un rapport établi par l’un des membres de la CNIL qui n’appartient pas à la formation restreinte. Proposition de sanctions. • Rapport notifié au responsable ou au sous-traitant qui peut déposer des observations et se faire représenter ou assister. • Le rapporteur peut déposer des observations orales. Délai d’un mois pour y répondre (article 75 du décret). • Droit de prendre copie et de se faire assister ou représenter. • Notification de la date de la séance de la formation restreinte un mois au moins avant son échéance. • Les observations écrites du responsable doivent parvenir 3 jours au plus tard avant la séance. IV- La procédure devant la formation restreinte Article 47 nouveau de la loi - Article 73 à 82 du Décret Antoine Gitton Avocats
  20. 19. • Avis du Commissaire du gouvernement ; • La formation restreinte peut entendre toute personne ; • Peut demander un complément d’enquête au rapporteur ; • Le responsable et/ou son conseil sont entendus en dernier ; • La décision doit être motivée en droit et en fait. Elle mentionne les délais et voies de recours ; • Notification au responsable du traitement. Communication au commissaire du gouvernement. Antoine Gitton Avocats
  21. 20. • La formation restreinte peut rendre publique ses sanctions. • La formation peut obliger le responsable ou le sous-traitant à informer les personnes concernées. • Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l’amende administrative s’impute sur l’amende pénale qu’il prononce. • L’astreinte est liquidée par la formation restreinte qui en fixe le montant définitif • La mise en demeure article 73 du décret – Mise en conformité dans un délai de 10 jours à trois mois - Un préalable devenu caduque avec la loi nouvelle Antoine Gitton Avocats
  22. 21. • État du droit en matière de pouvoir répressif des autorités administratives indépendantes • Décision 88-248 DC, 17 janvier 1989 • Principe de légalité des délits et des peines • Principe de nécessité des peines • Principe de non-rétroactivité de la loi pénale d’incrimination plus sévère • Droits de la défense « Ces exigences concernent non seulement les peines prononcées par les juridictions répressives mais aussi toute sanction ayant le caractère d’une punition même si législateur a laissé le soin de la prononcer à une autorité de nature non judiciaire » Le pouvoir de sanction administrative, dérogatoire au principe de séparation des pouvoirs, est strictement contingenté par la mission de l’autorité administrative en question. V- Nature de la sanction et garanties procédurales Antoine Gitton Avocats
  23. 22. En aucun cas une autorité administrative indépendante n’entre en concurrence avec le Ministère Public ou le juge judiciaire pour la poursuite des infractions et leur répression. L’autorité administrative exerçant un pouvoir de sanction n’exerce pas plus une activité de police administrative. Elle ne vise pas à prévenir une infraction mais à PUNIR un contrevenant à la réglementation qui lui est confiée afin d’assurer l’effectivité de ses missions de régulation. Dès lors qu’elle remplit l’un des trois critères alternatifs posés par la CEDH, tenant à la quailification de la mesure en droit interne, à la nature de l’infraction et à la sévérité de la sanction encourue, une mesure doit respecter les principes posés par l’article 6§1 de la convention CEDH (CEDH, 8 juin 1976, Engel et autres c/ Pays Bas, n°51700/71). Dans sa décision DIDIER (CE, assemblée, 3 décembre 1999, n°207434, Rec), le Conseil d’État a jugé, alors même que l’autorité décisionnaire – alors le conseil des marchés financiers siégeant en formation disciplinaire) - « n’était pas une juridiction au regard du droit interne », le moyen tiré de l’article 6§1 était opérant à l’appui d’un recours formé contre une décision de sanction « eu égard à la nature, à la composition et aux attributions de cet organisme ». Antoine Gitton Avocats
  24. 23. VI- Prospective : Entre accompagnement et dissuasion Prévenir pour guérir : Registre des données, Délégué à la protection des données, Codes de conduite et certification (article 40 et 42 du RGPD) Bruno Lassere, ex président de l’Autorité de la concurrence, succède à Jean- Marc Sauvé à la tête du Conseil d’ État Antoine Gitton Avocats