Accueil Confidentialité des données Vers un possible durcissement des sanctions de la CNIL ?

Vers un possible durcissement des sanctions de la CNIL ?

Laurent Badiane et Charlotte de Dreuzy

Laurent Badiane, associé, et Charlotte de Dreuzy, avocate du département IP/IT du cabinet KGA Avocats reviennent sur les pouvoirs de contrôle et sanctions de la CNIL : bilan de l’année 2016 et programme pour 2017.

Le 27 mars 2017, la Commission Nationale Informatique et Libertés (CNIL) a publié son rapport d’activité pour 2016[1]. Elle y fait notamment le bilan des contrôles opérés et des sanctions prononcées sur 2016, tout en présentant son programme de contrôles pour 2017.

A l’aune des modifications introduites par la Loi pour une République Numérique[2] et par le Règlement européen sur la protection des données (RGPD)[3], ce rapport (i) révèle une légère baisse du nombre de contrôles pour 2016, dont on peut légitiment affirmer qu’elle sera passagère, et (ii) conduit à s’interroger sur un possible durcissement des sanctions de la CNIL dont les pouvoirs ont été sensiblement renforcés.

Une légère baisse des contrôles de la CNIL en 2016

Le rapport d’activité de la CNIL révèle, qu’en 2016, 430 contrôles ont été opérés par la CNIL dont 101 en ligne, soit une légère baisse par rapport à 2015[4] où le nombre de contrôles opérés par l’autorité s’élevait à 510.

Le rapport d’activité de la CNIL précise que sur les 430 contrôles opérés :

– 60 % ont été effectués à son initiative notamment au vu de l’actualité ;

– 20% résultent du programme annuel décidé par les membres de la Commission ;

–  15 % s’inscrivent dans le cadre d’instruction de plaintes ;

–  5% sont réalisés dans le cadre des suites de mises en demeure ou procédures de sanctions.

A noter également qu’un nombre important des contrôles opérés en ligne ont révélé des failles de sécurité, plus particulièrement dans le secteur du e-commerce.

La CNIL a d’ores et déjà annoncé que son programme de contrôles pour 2017 porterait sur :

–  La confidentialité des données de santé traitées par les sociétés d’assurance ;

–  Les fichiers de renseignement ;

–  Les télévisions connectées (« Smart TV »).

On rappellera qu’en dehors de ce programme de contrôles fixé par la Commission, d’autres opérations de contrôles pourront également être menées sur l’initiative de la CNIL ou suite à des plaintes (7 703 plaintes en 2016).

Si pour 2016 les contrôles opérés par la CNIL ont légèrement diminué, on peut de manière certaine affirmer que cette tendance va s’inverser dans le contexte de l’application prochaine des dispositions du RGPD. En effet, le passage à une logique de responsabilisation des entreprises avec un renforcement de leurs obligations et l’allègement du rôle de contrôle à priori de la CNIL, vont conduire cette dernière à opérer davantage de contrôles de la conformité à posteriori.

De surcroît, le passage à des procédures de contrôle harmonisées au niveau européen prévu par le RGPD, en cas de traitements de données transnationaux, va changer considérablement les conditions d’intervention de la CNIL en matière répressive.

En effet, à compter du 25 mai 2018, les autorités de protection des données co-décideront de la conformité ou au contraire de la sanction à prononcer à l’encontre de l’organisme contrôlé ou mis en cause. Concrètement, l’autorité nationale du pays où se trouve l’établissement principal de l’organisme contrôlé, devra proposer les mesures ou décisions pour la mise en conformité ou sanction de l’organisme. Les autres autorités disposeront d’un délai de 4 semaines pour approuver cette décision ou soulever des objections.

Si les contrôles de la CNIL vont avoir tendance à se renforcer, qu’en est-il des sanctions prononcées par cette autorité ?

Vers un durcissement des sanctions de la CNIL ?

Aujourd’hui, les sanctions prononcées par la CNIL peuvent prendre les formes suivantes :

–  Un avertissement, qui peut être rendu public ;

–  Une sanction pécuniaire qui peut être rendue publique notamment dans la presse ;

–  Une injonction de cesser le traitement ;

–  Le retrait d’une autorisation accordée par la CNIL.

Le rapport d’activité de la CNIL révèle qu’en 2016, la CNIL a prononcé uniquement 13 sanctions dont 4 sanctions financières rendues publiques et 9 avertissements dont 4 ont été rendus publics.

Ce faible nombre de sanctions s’explique par la logique de la Loi « Informatique et Libertés[5] » et son application par la CNIL qui repose avant tout sur la mise en conformité des organismes mis en cause. En effet, pour le prononcé des sanctions, la CNIL prend notamment en compte « le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission »[6]. En pratique, sont ainsi généralement sanctionnés les organismes qui persistent dans des comportements répréhensibles ou dont les manquements sont d’une particulière gravité.

On constatera néanmoins une légère hausse du nombre de sanctions prononcées par la CNIL en 2016 (13) par rapport à 2015 (10).

On rappellera que les pouvoirs de sanctions de la CNIL ont augmenté depuis le 9 octobre 2016 avec l’entrée en vigueur de la loi pour une République Numérique, en passant de 150 000 euros à 3 millions d’euros[7] et pourront aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial[8] pour les entreprises à compter du 25 mai 2018.

Si, comme on l’a vu, l’entrée en application du RGPD va nécessairement occasionner une augmentation du nombre de contrôles de la CNIL, on peut se demander si, pour autant, on doit s’attendre à un durcissement des sanctions ?

A cet égard, le RGPD, tout comme le prévoit déjà la Loi Informatique et Libertés, impose également à l’autorité Nationale de contrôle de tenir compte de plusieurs éléments pour décider du prononcé des sanctions administratives[9] (gravité et durée de la violation, violation délibérée, coopération avec l’autorité, etc.).  Cette logique de laisser un délai aux responsables de traitements pour se mettre en conformité avant de prononcer des sanctions devrait donc perdurer.

A cet égard et afin de limiter autant que possible le risque de sanctions, la CNIL a indiqué dans son rapport avoir pour objectifs de mettre à disposition des professionnels en 2017 des nouveaux outils de nature à les aider à se mettre en conformité avec les nouvelles obligations issues du RGPD, notamment des référentiels par secteur ou type d’activité.

La CNIL a par ailleurs rappelé que le RGPD comportant de très nombreux renvois au droit national, le Parlement devra impérativement adopter une nouvelle loi « informatique et libertés » pour tenir compte de ce nouvel environnement européen avant le 25 mai 2018, « sous peine de rendre très largement inapplicable le nouveau cadre de protection en France ».

 

 

 

[1] Rapport d’activité de la CNIL 2016 : https://www.cnil.fr/sites/default/files/atoms/files/cnil-37e_rapport_annuel_2016.pdf

[2] Loi n°2016-1321 du 7 octobre 2016 pour une République numérique

[3] Règlement Européen n°2016/679 du 27 avril 2016

[4] Rapport d’activité de la CNIL 2015 : https://www.cnil.fr/sites/default/files/atoms/files/cnil-36e_rapport_annuel_2015_0.pdf

[5] Loi n°78-17 du 6 juin 1978  relative à l’informatique, aux fichiers, et aux libertés dite « Loi Informatique et Libertés »

[6] Article 47 de la loi Informatique et Libertés

[7] Nouvel article 47 de la loi Informatique et Libertés (modifié par la loi pour une République Numérique du 7 octobre 2016)

[8] Article 83 du Règlement européen de protection des données personnelles

[9] Article 83 du Règlement européen de protection des données personnelles