- Administratif
- Toute la matière
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Institution administrative
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Loi et traité
- > Mariage - Divorce - Couple
- > Procédure civile
- > Profession juridique et judiciaire
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Toute la matière
- > Audiovisuel
- > Commerce électronique
- > Communications électroniques
- > Contrat – Responsabilité
- > Cyberdélinquance
- > Infrastructures et réseaux
- > Intelligence artificielle
- > Droits fondamentaux
- > Propriété industrielle
- > Propriété littéraire et artistique
- > Protection des données
- > Statut professionnel
- Pénal
- Toute la matière
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Droit international et communautaire
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Temps de travail
- Avocat
Article
Un projet de loi du gouvernement viendrait renforcer les pouvoirs de sanction de la CNIL
Un projet de loi du gouvernement viendrait renforcer les pouvoirs de sanction de la CNIL
Innovation en matière procédurale pour la Commission nationale de l’informatique et des libertés (CNIL) : le projet de loi 4D, déposé le 18 février au Conseil d’État pour avis consultatif, prévoit de renforcer les pouvoirs de la Commission en matière de sanction.
par Cabinet Vigo, cabinet d'avocats au barreau de Parisle 31 mars 2021
Le projet de loi 4D (différenciation, décentralisation, déconcentration et diverses mesures de simplification), très attendu par les collectivités territoriales, a pour objet le renforcement de la décentralisation des pouvoirs publics. Toutefois, l’article 41 de ce texte aura également un impact sur l’ensemble des organismes puisqu’il prévoit la création d’une procédure de sanction simplifiée pour la CNIL.
Partant du constat que les procédures actuelles permettent à la CNIL d’émettre seulement une « cinquantaine de mises en demeure et une dizaine de sanctions par an », le législateur s’appuie sur ce projet de loi pour renforcer les pouvoirs d’injonction du président de la Commission et créer une procédure simplifiée de sanction afin de rendre l’action de la CNIL plus efficace. Le projet de loi prévoit notamment de « simplifier les procédures de mise en demeure et de sanction » et de « moderniser les outils » de traitement des plaintes par la Commission afin d’accélérer les procédures (art. 41).
En d’autres termes, le gouvernement souhaite que la CNIL soit en mesure de traiter plus rapidement et plus efficacement les affaires dont elle a à connaître.
Pour rappel, en l’état de la procédure, la CNIL peut :
-
décider de mettre en demeure un responsable de traitement ou un sous-traitant qui contreviendrait aux dispositions contraires à la réglementation existante en matière de protection des données à caractère personnel (procédure de mise en demeure) ;
- décider d’enclencher une procédure de sanction au cours de laquelle elle peut prononcer des mesures allant du rappel à l’ordre à l’amende administrative d’un montant de 20 millions d’euros ou 4 % du chiffre d’affaires.
Le projet de loi propose de renforcer la procédure de mise en demeure et de mettre en place une procédure simplifiée de sanction.
D’une part, la procédure de mise en demeure est renforcée :
-
le président de la CNIL pourra décider d’effectuer un rappel des obligations incombant au responsable de traitement ;
- le président de la formation restreinte bénéficiera de pouvoirs propres : enjoindre au mis en demeure de fournir des éléments demandés par la Commission sous peine d’astreinte jusqu’à 100 € par jour.
Remarque : en cas de contrôle de la CNIL, le président de la formation restreinte peut mettre sous astreinte les organismes de fournir les éléments demandés.
D’autre part, en ce qui concerne la procédure simplifiée :
-
la procédure simplifiée sera une procédure enclenchée par le président de la CNIL devant le président de la formation restreinte pour des affaires de faible gravité, c’est-à-dire les affaires qui ne « […] présente[nt] pas de difficulté particulière, eu égard à l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu’elle[s] présente[nt] à trancher » ;
- le président de la formation restreinte statuera seul sur ces affaires pour lesquelles il ne pourra prononcer d’amende administrative supérieure à 20 000 € ou d’astreinte supérieure à 100 € par jour de retard dans des délais « […] plus resserrés qu’aujourd’hui ». L’organisme mis en cause pourra demander à présenter des observations orales.
Une telle procédure simplifiée de sanction de la CNIL viendrait limiter les droits de la défense des organismes mis en cause : le responsable de traitement ou le sous-traitant mis en cause pourra « présenter des observations orales » (art. 41, III, § 6) et n’aura plus la possibilité de « déposer des observations et se faire représenter ou assister » (art. 22, § 1), ce qui lui portera naturellement préjudice.
Par ailleurs, une telle procédure simplifiée vise ostensiblement les très petites ou petites entreprises ou organismes, pour lesquels une sanction de 20 000 € et/ou une astreinte à 100 € par jour « constituent la réponse appropriée à la gravité des manquements constatés » (art. 41, III, § 4). On imagine mal Google ou Amazon être sanctionnées de ces montants, même en cas de manquement sans gravité et sans difficulté.
Ainsi, la simplification de la procédure, qui limite les droits de la défense, ne touche que les organismes les moins armés pour se défendre à l’origine. De plus, si le montant des sanctions pouvant être prononcées suivant cette procédure simplifiée est relativement faible (20 000 €) en comparaison des montants maximum, il reste très élevé pour certaines sociétés.
Le législateur semble vouloir s’attaquer, avec la création d’une telle procédure simplifiée, aux manquements quotidiens des petits organismes à la réglementation en matière de protection des données à caractère personnel.
Remarque : il sera toujours possible de faire appel de la décision devant le Conseil d’État mais avec de faibles chances de réussite. À ce jour, le Conseil d’État a confirmé la grande majorité des décisions de sanction prises par la CNIL.
En pratique ?
Si ce projet de loi est adopté, la CNIL pourra sanctionner beaucoup plus facilement les petites entreprises ou organismes en cas de manquement simple à la réglementation en matière de protection des données. Le risque d’un contrôle sera d’autant plus important.
Éditions Législatives, édition du 30 mars 2021
Sur le même thème
-
[PODCAST] Paris numériques : les dessous du jeu en ligne
-
[PODCAST] E-commerce : dis-moi comment tu achètes, je te dirai qui tu es
-
Un audit de cybersécurité à la charge des grandes plateformes numériques
-
La vente par internet d’outils de jardins électriques confrontée au droit de la concurrence
-
Modernisation du cadre juridique du commerce du livre
-
Projet de loi renforçant les principes de la République et modération des contenus en ligne : anticipation partielle du Digital Services Act et véritable régime transitoire et expérimental
-
Le Digital Service Act, un cadre européen pour la fourniture de services en ligne
-
Amazon, Google : des sanctions lourdes pour dépôt de cookies publicitaires sans consentement préalable et sans information satisfaisante
-
La revente d’occasion de jeux vidéo dématérialisés : les enseignements de l’arrêt Tom Kabinet de la Cour de justice
-
Deux sociétés du groupe Amazon condamnées pour déséquilibre significatif