La loi pour une République numérique modifie la loi Informatique et libertés concernant les sanctions de la Cnil. La loi pour une République numérique du 7 octobre 2016 (1) modifie la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment quant à la question des sanctions que la Cnil peut prononcer et la procédure qu’elle doit suivre, le cas échéant. D’une manière générale, il ressort de l’examen de ces nouvelles dispositions que la Cnil a vu ses pouvoirs de sanction renforcés.
Lorsque le responsable du traitement ne respecte pas les obligations découlant de la réglementation relative à la protection des données à caractère personnel, le président de la Cnil peut le mettre en demeure de faire cesser le manquement en question dans un délai qu’il fixe, qui peut, en cas d’extrême urgence, être de 24 heures (2). Là réside une première modification opérée par la loi pour une République numérique, puisque le délai d’extrême urgence s’élevait auparavant à 5 jours.
La Cnil, dans sa délibération portant avis sur le projet de loi qui préconisait déjà ce délai de 24 heures se félicite de cette modification, considérant « que le délai de cinq jours ne peut plus être considéré comme pertinent au regard de l’immédiateté des conséquences pour les personnes des manquements (…)» (3).
Si le responsable du traitement se conforme à la mise en demeure, le président de la Commission prononce la clôture de la procédure. Dans le cas contraire, la formation restreinte de la Cnil peut prononcer, après une procédure contradictoire, différentes sanctions : un avertissement, une sanction pécuniaire (à l’exception des cas où le traitement est mis en œuvre par l’Etat), une injonction de cesser le traitement, quand ce dernier fait partie de ceux nécessitant une simple déclaration ou un retrait de l’autorisation accordée dans les cas où celle-ci est prescrite.
Si la mise en conformité, dans le cadre d’une mise en demeure, est impossible –c’est-à-dire que le responsable du traitement ne pourra pas, dans tous les cas, rendre sa situation conforme aux prescriptions légales- la formation restreinte peut prononcer toutes ces sanctions directement et sans mesure préalable, id est sans passer par le pouvoir propre du président de mettre en demeure. En effet cette mise en demeure, qui ne peut qu’échouer, est inutile.
Auparavant, la formation restreinte ne pouvait, hors procédure de mise en demeure, ne prononcer qu’un avertissement. La loi pour une République numérique permet ainsi une meilleure réactivité et efficacité de la procédure de sanction, grâce à une nouvelle distribution des rôles entre organes compétents.
Par ailleurs, elle renforce le rôle de dissuasion des pouvoirs de la Cnil, puisque les montants maximum des sanctions pécuniaires, sur le fondement de l’article 45 I 2° de la loi du 6 janvier 1978, ont été significativement revus à la hausse. En effet, l’amende peut désormais s’élever jusqu’à 3 millions d’euros (4), ce qui représente une multiplication par dix du plafond antérieur (5).
Les critères d’appréciation pouvant être pris en compte pour évaluer le montant de cette amende, qui doit être« proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement » ont, en outre, été détaillé pour permettre à la Cnil de prononcer une sanction plus juste et éclairée.
La formation restreinte prend ainsi notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission.
Ces nouvelles règles restent cependant très en-deçà de ce que prévoit le nouveau règlement européen sur la protection des données à caractère personnel du 27 avril 2016, qui entrera en vigueur le 25 mai 2018. A titre d’exemple, ce dernier prévoit que les amendes administratives peuvent s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuels mondial total de l’exercice précédent, le montant le plus élevé étant retenu (6).
Des difficultés d’articulation entre la loi et le règlement pourraient apparaître et certains déplorent que les nouveaux montants français ne soient toujours pas assez dissuasifs puisqu’il resterait, par exemple pour les multinationales, plus facile de s’acquitter de l’amende plutôt que d’appliquer la réglementation. Affaire à suivre.
Des modifications sont aussi apportées par la loi pour une République numérique dans les cas où la mise en œuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l’article premier (soit l’identité humaine, les droits de l’homme, la vie privée et les libertés individuelles ou publiques), visés à l’article 45 II de la loi de 1978.
La formation restreinte peut, si elle constate cette violation, dans le cadre d’une procédure d’urgence définie par décret en Conseil d’Etat (7) et après une procédure contradictoire, prononcer différentes sanctions.
Elle doit pour cela être saisie par le président de la Cnil alors qu’elle avait auparavant la charge d’engager la procédure d’urgence.
La version finale de la loi a ainsi tenu compte de l’avis de la Cnil du 19 novembre 2015 relatif au projet de la loi pour une République numérique, qui ne prévoyait pas cette saisine de la formation restreinte par le président. La Cnil l’avait recommandé notamment pour prendre en compte le principe de séparation des fonctions d’instruction et de jugement.
Les sanctions de ce type de violation demeurent, elles, inchangées et sont les suivantes : la Cnil peut prononcer un avertissement. Elle peut, en outre, décider de l’interruption du traitement ou du verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois (sauf pour certains traitements spécifiques qui, au regard de leur contenu, ont dû être autorisés par arrêté ministériel, décret en Conseil d’Etat ou décision d’un établissement public ou d’une personne morale de droit privé gérant un service public chargé de l’organisation du traitement, pris après avis motivé et publié de la Cnil (8)).
S’il s’agit de ces traitements spécifiques, la Cnil peut informer le Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation.
La loi pour une République numérique ne modifie pas, par ailleurs, la possibilité pour le président de la Cnil de demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde des droits et libertés mentionnés à l’article 1premier en cas d’atteinte grave à ces derniers (9), pas plus qu’elle ne modifie les règles de compétence dans le cadre desquels la Cnil peut prononcer toutes les sanctions vues précédemment (ces pouvoirs peuvent être exercés à l’égard des traitements dont les opérations sont mises en œuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d’une autre Etat membre de l’Union européenne (10)).
Ces sanctions peuvent toujours être prises par la Cnil à la demande d’une autorité exerçant des compétences analogues aux siennes dans un autre Etat membre de l’Union européenne, sauf pour certains traitements spécifiques (11).
Pour finir, la loi pour une République numérique modifie l’article 46 de la loi de 1978 relativement à la publicité des sanctions prononcées par la Cnil. En effet, la formation restreinte peut désormais ordonner que les personnes sanctionnées informent individuellement de cette sanction, à leur frais, chacune des personnes concernées.
Cela complète le dispositif déjà existant, permettant à la formation restreinte de rendre publiques les sanctions qu’elle prononce, d’ordonner leur insertion dans des publications, journaux et supports qu’elle désigne aux frais des personnes sanctionnées. Le président peut, également, demander au bureau de rendre publique la mise en demeure ou sa clôture. Une publicité efficace des décisions de la Cnil ne peut que renforcer le rôle dissuasif de ses pouvoirs de sanction, faisant craindre aux entreprises –outre des mesures correctives ou pécuniaires- une atteinte à leur réputation.
En ce qui concerne le reste de l’article 46, les détails de procédure (rapport, rôle du rapporteur, personnes pouvant être entendus par la Cnil, décisions motivées et notifiées au responsable susceptibles de recours en pleine juridiction devant le Conseil d’Etat) restent inchangés.
Virginie Bensoussan-Brulé
Lexing Contentieux numérique
(1) Loi 2016-1321 pour une République numérique du 7-10-2016
(2) Loi 78-17 du 6-1-1978, nouvel art. 45 I
(3) Cnil, Délibération 2015-414 du 9-11-2016
(4) Loi 78-17 du 6-1-1978, art. 47
(5) L’ancien article 47 de la loi du 6 janvier 1978 disposait que, lors du premier manquement, le montant de la sanction pécuniaire ne pouvait excéder 150 000 euros. En cas de manquement réitéré dans les cinq ans à compter de la date à laquelle la sanction pécuniaire précédemment prononcée était devenue définitive, il ne pouvait excéder 300 000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaire hors taxes du dernier exercice clos dans la limite de 300 000 euros.
(6) Règlement (UE) 2016/679 du 27-4-2016, art. 83
(7) Décret 2005-1309 du 20-10-2005, art. 79 et s.
(8) Traitements mentionnés aux I et II de l’article 26 et à l’article 27 de la loi du 6 janvier 1978
(9) Loi 78-17 du 6-1-1978, art. 45 III
(10) Loi 78-17 du 6-1-1978, art. 48
(11) Loi 78-17 du 6-1-1978, art. 49