Menu
Retour aux publications
28 mars 2017

LOI POUR UNE REPUBLIQUE NUMERIQUE

MODIFICATION DES POUVOIRS DE SANCTION DE LA CNIL : ENTRE RENFORCEMENT ET CLARIFICATION

Parmi les nombreuses dispositions de la loi n° 2016-1321 du 7 octobre 2016 pour une République Numérique, on notera la réforme de la procédure de contrôle et d’application ainsi que le renforcement des sanctions de la CNIL et ce, avant même l’entrée en vigueur du Règlement Européen 2016/679 du 27 avril 2016 sur la protection des données personnelles programmée pour le 25 mai 2018.

Si la partie la plus saillante de cette réforme est constituée par l’augmentation drastique des amendes administratives qui peuvent désormais culminer à 3 millions d’euros, ce nouveau texte renforce la procédure de sanction qui tend à impliquer davantage l’entité contrôlée en fixant notamment les critères que la CNIL doit observer pour déterminer le quantum des amendes appliquées.

La combinaison de ces mesures devrait, dans une approche vertueuse, profondément modifier les rapports entre la CNIL et les responsables de traitement en incitant ces derniers à coopérer avec la CNIL afin d’assurer une application plus volontaire de la Loi Informatique et Liberté.

Revenons rapidement sur les principales mesures adoptées.

I – Des sanctions plus dissuasives

Au cours des débats parlementaires, s’est posé le constat de l’inadéquation des sanctions de la CNIL face à certains responsables de traitement, notamment les GAFA (Google, Apple, Facebook et Amazon). Pour rappel, ces sanctions étaient fixées à 150 000 euros et 300 000 euros en cas de récidive. Certes, le nouveau Règlement Européen 2016/679, applicable dès mai 2018 prévoit, à l’instar des dispositions en matière de concurrence, des sanctions pécuniaires très dissuasives pouvant aller jusqu’à 10 ou 20 millions d’euros selon les infractions, mais dans l’attente de son entrée en vigueur et pour les manquements non couverts par ce Règlement, la loi pour une République Numérique vient fixer à 3 millions d’euros le plafond des sanctions pécuniaires pouvant être prononcées par la CNIL (article 47 de la Loi Informatique et Liberté).

En outre, la loi renforce la publication des sanctions, mesure également très dissuasive, en donnant à la CNIL le pouvoir d’ordonner à l’entité qu’elle aura sanctionnée, d’informer de cette sanction, individuellement et à ses frais chacune des personnes concernées (article 46).

II – Une procédure de sanction plus efficace

La CNIL peut désormais prononcer des sanctions sans mise en demeure préalable dans les cas où « le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure », par exemple lorsqu’un manquement s’est produit ponctuellement et qu’il y a été remédié. Cette possibilité change la donne pour les responsables de traitement puisque sous l’empire des anciens textes, en cas de manquements, ces derniers pouvaient sans risque attendre une mise en demeure de la CNIL qui était obligatoire avant toute sanction, pour se mettre en conformité. De ce fait les sanctions étaient rares, la CNIL infligeant des amendes seulement dans les cas où la mise en demeure avait été ignorée (dernier exemple en date: les sites de rencontres Meetic et Attractive World qui ont été condamnées respectivement à 20 000 et 10 000 euros par décisions de la CNIL en date du 15 décembre 2016).

A présent, les responsables de traitement devront rester sur leur garde et veiller à être réactifs car non seulement la mise en demeure n’est plus systématique, mais la CNIL peut « en cas d’extrême urgence » demander au responsable de traitement de se mettre en conformité dans un délai de 24 heures, tandis que le délai minimal était auparavant de 5 jours en cas d’urgence.

Enfin, à l’instar de ce qui existe déjà notamment pour l’Autorité de la Concurrence et l’Autorité des Marchés Financiers, la CNIL peut désormais coopérer avec une autorité située dans un Etat non membre de l’Union européenne qui exerce des compétences analogues aux siennes, à condition qu’une convention soit conclue pour organiser leurs relations.

III – Une coopération des responsables de traitement valorisée et encouragée

Parallèlement à ces mesures qui viennent renforcer les pouvoirs de sanction de la CNIL, l’article 47 énumère désormais les critères que celle-ci doit obligatoirement observer lorsqu’elle détermine le montant d’une sanction pécuniaire afin que celui-ci soit proportionné au manquement réprimé.

Ainsi, la CNIL doit prendre en compte : « le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission ».

Avec la Loi pour une République Numérique, la CNIL devra désormais justifier précisément le montant de ses sanctions. Cette disposition s’inscrit dans la philosophie du Règlement et permet ainsi une transition progressive vers les exigences de son article 83 sur la prise en compte de « conditions générales pour imposer des amendes administratives ».

De tout ceci il faut retenir :

La Loi pour une République Numérique renforce les pouvoirs de sanctions de la CNIL en lui permettant dès maintenant:

  • d’infliger des amendes pouvant s’élever à 3 millions d’euros ;
  •  d’ordonner aux personnes sanctionnées d’informer de cette sanction, individuellement et à leur frais, chacune des personnes concernées;
  •  de prononcer des sanctions sans mise en demeure préalable lorsque le manquement ne peut faire l’objet d’une mise en conformité ;
  •  de réduire le délai de mise en conformité octroyé dans la mise en demeure à 24 heures en cas d’extrême urgence ;
  •  de coopérer avec une autorité située dans un Etat non membre de l’Union européenne et ayant des compétences analogues aux siennes ;

mais, en contrepartie, la CNIL devra :

  • justifier le montant des sanctions pécuniaires au regard de critères désormais fixés par la loi.
    š

Votre contact :
f. lecomte

Frédéric Lecomte
Avocat Associé

f.lecomte@stehlin-legal.com