Accueil
Le quotidien du droit en ligne
-A+A
Article

Un projet de loi du gouvernement viendrait renforcer les pouvoirs de sanction de la CNIL

Innovation en matière procédurale pour la Commission nationale de l’informatique et des libertés (CNIL) : le projet de loi 4D, déposé le 18 février au Conseil d’État pour avis consultatif, prévoit de renforcer les pouvoirs de la Commission en matière de sanction.

Le projet de loi 4D (différenciation, décentralisation, déconcentration et diverses mesures de simplification), très attendu par les collectivités territoriales, a pour objet le renforcement de la décentralisation des pouvoirs publics. Toutefois, l’article 41 de ce texte aura également un impact sur l’ensemble des organismes puisqu’il prévoit la création d’une procédure de sanction simplifiée pour la CNIL.

Partant du constat que les procédures actuelles permettent à la CNIL d’émettre seulement une « cinquantaine de mises en demeure et une dizaine de sanctions par an », le législateur s’appuie sur ce projet de loi pour renforcer les pouvoirs d’injonction du président de la Commission et créer une procédure simplifiée de sanction afin de rendre l’action de la CNIL plus efficace. Le projet de loi prévoit notamment de « simplifier les procédures de mise en demeure et de sanction » et de « moderniser les outils » de traitement des plaintes par la Commission afin d’accélérer les procédures (art. 41).

En d’autres termes, le gouvernement souhaite que la CNIL soit en mesure de traiter plus rapidement et plus efficacement les affaires dont elle a à connaître.

Pour rappel, en l’état de la procédure, la CNIL peut :

  • décider de mettre en demeure un responsable de traitement ou un sous-traitant qui contreviendrait aux dispositions contraires à la réglementation existante en matière de protection des données à caractère personnel (procédure de mise en demeure) ;
     
  • décider d’enclencher une procédure de sanction au cours de laquelle elle peut prononcer des mesures allant du rappel à l’ordre à l’amende administrative d’un montant de 20 millions d’euros ou 4 % du chiffre d’affaires.

Le projet de loi propose de renforcer la procédure de mise en demeure et de mettre en place une procédure simplifiée de sanction.

D’une part, la procédure de mise en demeure est renforcée :

  • le président de la CNIL pourra décider d’effectuer un rappel des obligations incombant au responsable de traitement ;
     
  • le président de la formation restreinte bénéficiera de pouvoirs propres : enjoindre au mis en demeure de fournir des éléments demandés par la Commission sous peine d’astreinte jusqu’à 100 € par jour.

Remarque : en cas de contrôle de la CNIL, le président de la formation restreinte peut mettre sous astreinte les organismes de fournir les éléments demandés.

D’autre part, en ce qui concerne la procédure simplifiée :

  • la procédure simplifiée sera une procédure enclenchée par le président de la CNIL devant le président de la formation restreinte pour des affaires de faible gravité, c’est-à-dire les affaires qui ne « […] présente[nt] pas de difficulté particulière, eu égard à l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu’elle[s] présente[nt] à trancher » ;
     
  • le président de la formation restreinte statuera seul sur ces affaires pour lesquelles il ne pourra prononcer d’amende administrative supérieure à 20 000 € ou d’astreinte supérieure à 100 € par jour de retard dans des délais « […] plus resserrés qu’aujourd’hui ». L’organisme mis en cause pourra demander à présenter des observations orales.

Une telle procédure simplifiée de sanction de la CNIL viendrait limiter les droits de la défense des organismes mis en cause : le responsable de traitement ou le sous-traitant mis en cause pourra « présenter des observations orales » (art. 41, III, § 6) et n’aura plus la possibilité de « déposer des observations et se faire représenter ou assister » (art. 22, § 1), ce qui lui portera naturellement préjudice.

Par ailleurs, une telle procédure simplifiée vise ostensiblement les très petites ou petites entreprises ou organismes, pour lesquels une sanction de 20 000 € et/ou une astreinte à 100 € par jour « constituent la réponse appropriée à la gravité des manquements constatés » (art. 41, III, § 4). On imagine mal Google ou Amazon être sanctionnées de ces montants, même en cas de manquement sans gravité et sans difficulté.

Ainsi, la simplification de la procédure, qui limite les droits de la défense, ne touche que les organismes les moins armés pour se défendre à l’origine. De plus, si le montant des sanctions pouvant être prononcées suivant cette procédure simplifiée est relativement faible (20 000 €) en comparaison des montants maximum, il reste très élevé pour certaines sociétés.

Le législateur semble vouloir s’attaquer, avec la création d’une telle procédure simplifiée, aux manquements quotidiens des petits organismes à la réglementation en matière de protection des données à caractère personnel.

Remarque : il sera toujours possible de faire appel de la décision devant le Conseil d’État mais avec de faibles chances de réussite. À ce jour, le Conseil d’État a confirmé la grande majorité des décisions de sanction prises par la CNIL.

En pratique ?

Si ce projet de loi est adopté, la CNIL pourra sanctionner beaucoup plus facilement les petites entreprises ou organismes en cas de manquement simple à la réglementation en matière de protection des données. Le risque d’un contrôle sera d’autant plus important.

 

Éditions Législatives, édition du 30 mars 2021