ÉVOLUTION DES POUVOIRS RÉPRESSIFS DE LA CNIL

Il n’est pas rare que dans nos articles, nous attirions votre attention sur les sanctions susceptibles d’être prononcées par la Commission Nationale Informatique et Libertés[1] en cas de violation de la législation en vigueur en matière de protection des données à caractère personnel.

Au risque de vous décevoir, cette menace de contrôle par la CNIL n’est pas illusoire. Au contraire, depuis l’entrée en vigueur du Règlement Général sur la

Protection des Données (RGPD), les Français ont non seulement découvert leurs droits pour conserver la maîtrise de leurs données, mais s’en sont saisis.

S’en est traduit une augmentation considérable du nombre de requêtes adressées à l’autorité administrative, véritablement débordée par le phénomène. Pas moins de 11 330 plaintes étaient ainsi toujours en attente de traitement au 8 septembre 2021[2].

Pour permettre à la CNIL de faire face à cette recrudescence de signalements, celle-ci a publié un appel d’offre pour l’externalisation de certaines opérations de traitement [3]

Mais surtout, ses pouvoirs répressifs ont été subrepticement étendus par deux amendements insérés dans la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure.


[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Tel est le constat opéré par le « Rapport de la commission des lois sur le projet de loi, après engagement de la procédure accélérée, relatif à la responsabilité pénale et à la sécurité intérieure (n°4387) », disponible dans son intégralité à l’adresse suivante : https://www.assemblee-nationale.fr/dyn/15/rapports/cion_lois/l15b4442_rapport-fond#_Toc256000034

[3] https://www.cnil.fr/fr/marche-public/externalisation-de-certaines-operations-de-traitement-de-saisines

LES THÈMES PRIORITAIRES DE CONTRÔLE POUR L’ANNÉE 2022

En dehors des signalements d’usagers, des contrôles de conformité peuvent être initiés spontanément par la CNIL. Cette auto-saisine représente plus d’un tiers des enquêtes effectuées, et intervient dans des secteurs définis comme sensibles par l’autorité administrative.

Pour l’année 2022, le gendarme français de la protection des données a identifié les trois thèmes prioritaires suivants, qui feront l’objet d’une surveillance particulière :

① La prospection commerciale, en réaction aux centaines de réclamations relatives aux démarches de prospection non sollicitée subies quotidiennement par de nombreux particuliers.

② Les outils de surveillance mis en place dans le cadre du télétravail, auxquels il a été massivement recouru durant la crise sanitaire. La CNIL entend vérifier que les méthodes mises en place par les employeurs pour suivre à distance les activités de leurs salariés sont légitimes et ne portent pas excessivement atteinte à leur vie privée.

③ Les services de cloud, compte tenu des risques de transferts de données en dehors de l’Union Européenne que présentent ces mécanismes. Les informations personnelles hébergées via ces abonnements sont en effet régulièrement envoyées vers des pays tiers ne leur assurant pas un niveau de protection adéquat.

Sur ce sujet, n’hésitez pas à nous contacter pour obtenir notre fiche pratique dédiée au Cloud, regorgeant de conseils pratiques et réflexes à adopter en la matière.

LE PROCESSUS RÉPRESSIF DE LA CNIL – avant la loi du 24 janvier 2022[4]

Tels “Starsky et Hutch” ou “Tintin et le capitaine Haddock”, les organes répressifs de la CNIL sont doubles :

Les pouvoirs dont il est investi sont limités. Il ne peut que :

– Adresser un avertissement, lorsque les opérations de traitement envisagées sont susceptibles de violer les règles applicables en matière de protection des données personnelles.

– Prononcer une mise en demeure, si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, Dans ce contexte, le Président de la CNIL peut notamment obliger le responsable de traitement ou le sous-traitant à satisfaire aux demandes d’exercice de droit de la personne concernée, ou encore à mettre ses opérations de traitement en conformité avec les exigences prévues par les textes.

Saisir la formation restreinte de la CNIL, en cas d’irrespect des obligations issues du RGPD ou de la loi Informatique et Libertés du 6 janvier 1978 dans sa version modifiée. En effet, seule cette formation est habilitée à prononcer des sanctions plus conséquentes[5].

———————————————————————————————————————————-

[4]Pour plus d’informations concernant la chaine répressive de la CNIL, nous vous invitons à prendre connaissance du schéma récapitulatif publié sur son site Internet à l’adresse suivante : https://www.cnil.fr/fr/la-chaine-repressive-de-la-cnil

[5] Cette saisine de la formation restreinte peut intervenir directement, sans que l’organisme contrôlé ait nécessairement reçu un avertissement ou une mise en demeure préalable.

Composée d’un Président et de de cinq membres élus en interne, elle porte le képi du gendarme français de la protection des données. À ce titre, elle peut prononcer l’une des 7 mesures correctrices suivantes :

Un rappel à l’ordre,

Une injonction de mettre en conformité le traitement ou de satisfaire aux requêtes des personnes concernées, éventuellement assortie d’une astreinte pouvant aller jusqu’à 100 000 € par jour de retard,

Une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation,

Le retrait d’une certification,

La suspension des flux de données adressées à un destinataire situé en dehors de l’UE,

Une suspension partielle ou totale de l’approbation de règles d’entreprise contraignantes,

Une amende administrative, dont le montant peut s’élever – pour les manquements les plus graves – jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entité.

La CNIL dispose également de la possibilité de transmettre le dossier dont elle est saisie au Procureur de la République, en cas de manquement grave constitutif d’une infraction.

Des risques de poursuites pénales qui ne sont donc pas à négliger, lorsque les peines encourues sont fixées à cinq ans d’emprisonnement et 300 000 euros d’amende…[6]

————————————————————————————————————————————

[6] Ces infractions et les peines correspondantes sont énoncées aux articles 226-16 et suivants du Code Pénal.

LES INNOVATIONS – ce que change la loi du 24 janvier 2022

① Extension des pouvoirs du Président de la CNIL

Le Président pourra désormais rappeler la mise en cause à « ses obligations légales », s’épargnant ainsi – par cette sanction alternative – d’engager les formalités afférentes aux mises en demeure.

Il n’est également plus tenu de vérifier la mise en conformité du responsable de traitement ou du sous-traitant avant de clôturer une mise en demeure. S’il peut toujours demander à l’organisme contrôlé de justifier qu’il a bien corrigé ses pratiques, il n’est plus contraint de le faire.

Attribution de pouvoir particulier au Président de la formation restreinte

Une fois la formation restreinte saisie, son Président peut maintenant enjoindre seul au mis en cause de produire les éléments demandés, en cas d’absence de réponse à une précédente mise en demeure. Cette injonction peut être assortie d’une amende s’élevant jusqu’à 100 € par jour de retard de s’exécuter.

Cette mesure ne nécessite donc pas l’intervention des autres membres de la formation restreinte, accélérant d’autant le traitement des dossiers.

③ Institution d’une procédure simplifiée

La réforme vise à faire échapper les situations peu complexes à la lourde procédure classique de sanction de la Commission (désignation d’un rapporteur en charge de l’instruction du dossier, séance publique de la formation restreinte avant toute délibération finale, etc.).

Le Président de la CNIL peut maintenant renvoyer une affaire uniquement au Président de la formation restreinte (ou un membre désigné par lui) et non à la totalité de la formation. Ce dernier statuera seul sur le cas qui lui est soumis.

Il ne peut être recouru à cette procédure simplifiée que si les conditions suivantes sont remplies :

L’affaire ne présente pas de difficultés particulières.

Elle doit s’inscrire dans la lignée de la jurisprudence déjà établie de la CNIL. Elle ne doit pas poser une nouvelle question de fait ou de droit.

2° – La réponse appropriée aux manquements constatés peut consister en l’une de trois mesures suivantes, les seules susceptibles d’être prononcées dans le cadre de cette procédure simplifiée :

– Soit un rappel à l’ordre ;

– Soit une injonction de mise en conformité, y compris sous astreinte (dont le montant maximum est de 100 € par jour de retard) ;

– Soit une amende administrative, qui ne peut alors pas excéder la somme de 20 000 €.

VIGILANCE, VIGILANCE…

L’autorité administrative salue cette réforme tendant à fluidifier et simplifier son action répressive pour « les décisions de faible portée »[7]. Une réaction peu étonnante lorsque l’on sait que, bien que submergée par les réclamations, il lui incombe de rendre compte de ses actions aux plaignants dans les 3 mois de leurs saisines…

Si cette loi de simplification peut donner l’impression de diminuer la gravité des sanctions encourues en cas de violation des règles en matière de protection des données personnelles, il n’en est rien.

Pire, elle laisse présager la multiplication de condamnations considérées comme « légères » mais rendues publiques, affectant ainsi la réputation des organismes condamnés.

L’allègement des procédures de contrôle de la Commission lui octroie une marge de manœuvre pour opérer des enquêtes plus nombreuses et plus diversifiées. Ces investigations n’épargnent personne : elles ne sont réservées ni aux entités de grande envergure, ni à des domaines d’activités spécifiques.

L.H

———————————————————————————————————————————-

[7] Délibération n° 2021-035 du 25 mars 2021 de la CNIL portant avis sur les articles 40, 41 et 42 du projet de loi relatif à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l’action publique locale.

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.