Quelles sont les sanctions Cnil à l’encontre des entreprises

Quelles sont les sanctions Cnil à l’encontre des entreprisesEn cas de violation de la loi Informatique et libertés, sont prévues des sanctions Cnil à l’encontre des entreprises.

La loi Informatique et libertés organise les sanctions Cnil à l’encontre des entreprises

Les détails de ce pouvoir de sanction se trouvent aux articles 45 et suivants de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, récemment modifiée par la loi pour une République numérique du 7 octobre 2016, déjà en vigueur. Certains précisions relatives à la procédure sont, par ailleurs, contenues dans le décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n°78-17 (art. 70 à 82), utile à consulter.

Ces pouvoirs de la Cnil peuvent être exercés à l’égard des traitements dont les opérations sont mises en œuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d’un autre Etat membre de la Union européenne (L. 78-17, art 48).

En outre, le président de la Cnil ou sa formation restreinte peuvent, à la demande d’une autorité exerçant des compétences analogues aux leurs dans un autre Etat membre de l’Union européenne, prononcer ces sanctions (L. 78-17, art. 49), dans les conditions prévues par la loi, sauf s’il s’agit de traitements spécifiques, id est des traitements mis en œuvre pour le compte de l’Etat dont le contenu impose qu’ils soient autorisés par arrêté ministériel ou décret en Conseil d’Etat (Traitements mentionnés aux I et II de l’article 26 de la loi 78-17).

Sanctions Cnil à l’encontre des entreprises en cas de non-respect de leurs obligations

Le premier paragraphe de l’article 45 de la loi de 1978 prévoit que la Cnil peut prononcer plusieurs types de sanction dans le cas où le responsable d’un traitement ne respecterait par les obligations procédant de cette même loi.

Mesures préalables aux sanctions Cnil à l’encontre des entreprises

Dans un premier temps, le président de la Cnil peut mettre ce responsable en demeure (1) de faire cesser le manquement constaté dans un délai qu’il fixe, pouvant, dans un cas d’extrême urgence, être de 24h. Ce délai raccourci, qui remplace celui de 5 jours, est un des apports de la réforme opérée par la loi pour une République numérique. Si le responsable du traitement se conforme à la mise en demeure, le président de la Cnil prononce la clôture de la procédure.

Dans le cas contraire, c’est un autre organe de la Cnil, sa formation restreinte (2), qui prendra le relai et pourra, après une procédure contradictoire, prononcer différentes sanctions.

La Cnil pourra, d’abord, prononcer un avertissement.

Les sanctions Cnil à l’encontre des entreprises peuvent être pécuniaires

La Cnil pourra ensuite choisir de sanctionner pécuniairement le responsable du traitement, à l’exception des cas ou le traitement est mis en œuvre par l’Etat. Quant au montant de cette sanction pécuniaire, les règles entourant sa fixation ont été, elles aussi, modifiées par la loi pour une République numérique. Le nouvel article 47 de la loi du 6 janvier 1978 dispose désormais que le montant de l’amende ne peut excéder 3 millions d’euros (3), ce qui représente une multiplication par dix du plafond antérieur. Cette nouvelle version de l’article détaille également plus précisément qu’auparavant les critères pouvant être pris en compte dans l’évaluation de ce montant (4). Rappelons que lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s’impute sur l’amende qu’il prononce.

Les sanctions Cnil à l’encontre des entreprises peuvent remettre en cause le traitement

La formation restreinte de la Cnil pourra, enfin, si le responsable d’un traitement ne respecte pas les obligations découlant de la loi de 1978, prononcer à son encontre une injonction de cesser le traitement ou retirer son autorisation au traitement, selon le type de traitement en cause (nécessitant, préalablement à sa mise en œuvre, une simple déclaration ou une autorisation).

Ces différentes sanctions peuvent être prononcées par la formation restreinte de la Cnil indépendamment d’une procédure de mise en demeure «lorsque le manquement constaté ne peut pas faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure», par exemple dans des cas où la mise en conformité serait impossible puisque les données traitées auraient disparu. Avant la loi pour une République numérique du 7 octobre 2016, seul un avertissement pouvait être prononcé par la formation restreinte hors procédure de mise en demeure.

Les sanctions Cnil à l’encontre des entreprises en cas de violation des droits et libertés individuels et publics

Le second paragraphe de l’article 45 vise les cas où la mise en œuvre d’un traitement ou l’exploitation des données traitées entraine une violation des droits et libertés mentionnées à l’article 1er de la loi de 1978 (identité humaine, droits de l’homme, vie privée, libertés individuelles et publiques). La formation restreinte, saisie par le président de la Cnil, peut, dans le cadre d’une procédure d’urgence définie par décret en Conseil d’Etat que l’on retrouve dans l’article 79 du décret du 20 octobre 2005, et après une procédure contradictoire, prononcer plusieurs types de sanctions.

Elle peut prononcer un avertissement. Elle peut, d’autre part, décider de l’interruption de la mise en œuvre du traitement ou le verrouillage de certaines des données à caractère personnel traitées, pour un durée maximale de trois mois, ces deux sanctions n’étant possibles que si le traitement en cause n’est pas au nombre de ceux mentionnés aux I et II de l’article 26 ou de l’article 27 de la loi de 1978 (traitements qui, au regard de leur contenu, doivent être autorisés par arrêtés ministériels, décret en Conseil d’Etat ou décision d’un établissement public ou d’une personne morale de droit privé gérant un service public chargé de l’organisation du traitement, pris après avis motivé et publié de la Cnil).

Pour les traitements qui relèvent précisément de ces articles, la formation restreinte peut informer le Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée.

Les sanctions Cnil à l’encontre des entreprises en cas d’atteinte grave et immédiate à ces droits et libertés

Enfin, le dernier paragraphe de l’article 45 permet au président de la Cnil de demander, en cas d’atteinte grave et immédiate aux droits et libertés mentionnés à l’article 1er, par la voie du référé (5), à la juridiction compétente d’ordonner (le cas échéant sous astreinte) toute mesure nécessaire à la sauvegarde de ces droits et libertés.

Le prononcé de ces sanctions suit des règles procédurales contenues dans le décret du 20 octobre 2005 et dans le premier alinéa de l’article 46 de la loi de 1978 (6). Ce qui fait leur force est aussi leur impact sur la réputation des entreprises concernées ; aussi la loi de 1978 organise un système de publicité des sanctions Cnil (L. 78-17, art. 46 al. 2). La formation restreinte peut les rendre publique, ordonner que les personnes sanctionnées informent individuellement de cette sanction, à leur frais, chacune des personnes concernées (encore une nouveauté de la loi pour une République numérique du 7 octobre 2016 !), et peut ordonner leur insertion dans des publications journaux et supports qu’elle désigne. Par ailleurs, le président de la Cnil peut demander au bureau de rendre publique la mise en demeure ou sa clôture. Ces sanctions sont motivées, notifiées au responsable du traitement et peuvent faire l’objet d’un recours en pleine juridiction devant le Conseil d’Etat (L. 78-17, art. 46 al. 3).

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Pour plus de détails sur la procédure de mise en demeure, voir l’article 73 du décret 2005-1309 du 20 octobre 2005.
(2) Pour plus de détails sur la composition et le fonctionnement de la formation restreinte de la Cnil, voir l’article 70 du décret du 20 octobre 2005.
(3) L’ancien article 47 de la loi du 6 janvier 1978 disposait que, lors du premier manquement, le montant de la sanction pécuniaire ne pouvait excéder 150 000 euros. En cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée était devenue définitive, il ne pouvait excéder 300 000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300 000 euros.
(4) « Le montant de la sanction (…) est proportionnée à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la Cnil prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission ».
(5) Des détails à ce propos se trouvent dans l’article 81 du décret du 20 octobre 2005.
(6) « Les sanctions (…) sont prononcées sur la base d’un rapport établi par l’un des membres de la Cnil, désigné par le président de celle-ci parmi les membres n’appartenant pas à la formation restreinte. Ce rapport est notifié au responsable du traitement, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la formation restreinte mais ne prend pas part à ses délibérations. La formation restreinte peut entendre toute personne dont l’audition lui paraît susceptible de contribuer utilement à son information, y compris, à la demande du secrétaire général, les agents de service».

 

Retour en haut