La loi pour une République numérique modifie la procédure de sanction devant la formation restreinte de la Cnil.
Les modifications de la procédure de sanction
La loi pour une République numérique du 7 octobre 2016 opère une refonte de la procédure de sanction devant la formation restreinte de la Cnil. Avant cette loi, en cas de manquement à la loi Informatique et libertés par le responsable de traitement, la formation restreinte de la Cnil ne pouvait pas prononcer de sanction financière sans mise en demeure préalable. En effet, une sanction financière ne pouvait être prononcée que pour sanctionner le non-respect d’une mise en demeure.
Désormais, la formation restreinte de la Cnil peut prononcer une sanction financière directement, sans mise en demeure préalable lorsque le manquement ne peut pas faire l’objet d’une mise en conformité.
Lorsque le manquement peut faire l’objet d’une mise en conformité, alors la formation restreinte de la Cnil devra, si elle veut sanctionner financièrement le responsable de traitement, constater qu’il n’a pas respecté la mise en demeure initiale.
Les conséquences de la modification
Cette modification devrait avoir pour conséquence de permettre à la formation restreinte de la Cnil de prononcer plus de sanctions financières et plus rapidement dans la mesure où elle n’est plus tenue de mettre en demeure préalablement le responsable de traitement si le manquement ne peut faire l’objet d’une mise en conformité.
A cet égard, il conviendra de surveiller les futures délibérations de la Cnil pour établir une cartographie des manquements qui seraient susceptibles d’une mise en conformité de ceux qui ne le seraient pas. En tout état de cause, il est essentiel dans ce nouveau cadre procédural, pour le responsable de traitement qui ferait l’objet d’un contrôle, de prendre les mesures correctives qui s’imposent dès la fin du contrôle pour démontrer à la Cnil préalablement à sa décision que les manquements pouvant être reprochés sont de nature à faire l’objet d’une mise en conformité afin de tenter d’éviter la procédure d’avertissement ou de sanction.
Cette démarche s’impose d’autant plus qu’en cas d’ « extrême urgence » (2), le délai accordé au responsable de traitement pour se mettre en conformité après mise en demeure est ramené à 24 heures au lieu de 5 jours auparavant.
Hors cas d’urgence, le délai est fixé par le Président de la Commission. Il ne peut être inférieur à 10 jours et ne peut être supérieur à 3 mois renouvelable une fois.
Cette modification des possibilités de sanctions financières directes n’est pas négligeable et devrait modifier l’appréciation des risques « Cnil » des responsables de traitement. En effet, ajoutée à l’augmentation des pouvoirs de sanctions financières de la Cnil (3 millions d’euros), la nature du contentieux Cnil et les risques auxquels un responsable de traitement serait exposé est sans commune mesure avec ce qui existait auparavant. Ceci n’est qu’un début de la mutation puisque le règlement européen sur la protection des données personnelles du 27 avril 2016 envisage des montants de 10 à 20 millions ou 2 à 4 % du chiffre d’affaires mondial (3).
A titre de comparaison, le contentieux Cnil va connaître la même métamorphose que celui du droit de la concurrence qui a profondément été modifié par la loi du 15 mai 2001 qui a fait passé le montant de la sanction pour pratiques anticoncurrentielles de 5% du chiffre d’affaires réalisé en France à 10% du chiffre d’affaires mondial (4).
Lexing Alain Bensoussan Avocats
(1) Loi 2016-1321 du 7-10-2016
(2) Loi 78-17 du 6-1-1978, art. 45
(3) Règlement (UE) 2016/679 du 27-4-2016
(4) Article L 464-2 du code de commerce tel que modifié par la loi n° 2001-420 du 15 mai 2001 relative aux nouvelles régulations économiques