Actu du K
25
December 2022

La commission nationale de l'informatique et des libertés : CNIL

La commission nationale de l'informatique et des libertés : CNIL
Plan
Aucun titre dans cet article
Example H3
Example H4
Example H5
Example H6
Partager l’article sur :
S'inscrire à la newsletter

Inscrivez-vous pour connaître les dernières nouvelles de Lekbinet

Vous acceptez les conditions du site.
Bien reçu !
Il y a un léger souci.

1. Quelles sont les missions de la Commission nationale de l’informatique et des libertés ?

La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante créée par la loi Informatique et Libertés du 6 janvier 1978.

Cette autorité de contrôle comprend 18 membres composés de six membres des hautes juridictions, quatre parlementaires, deux membres du Conseil économique et social, la président de la Commission d’accès aux documents administratifs, et cinq membres désignés par les présidents du Sénat et de l’Assemblée nationale et par le Conseil des ministres. Les 18 membres forment le Collège de la Commission nationale de l’informatique et des libertés.

La Commission nationale de l’informatique et des libertés vise à protéger les libertés individuelles face au déploiement de l’informatique et à sécuriser les traitements automatisés de données. Elle possède quatre missions principales. Elle informe les professionnels et particuliers de leurs droits et reçoit leurs plaintes vis-à-vis des organismes de collecte et de traitement des données à caractère personnel. Elle accompagne les responsables de traitement dans leur mise en conformité avec les règles en matière de protection des données. Elle contribue au développement d’innovations protectrices des données. Elle est enfin compétente pour contrôler et sanctionner les organismes qui ne respectent pas les règles de protection des données.  

A. Les données personnelles

Les données personnelles regroupent toutes les informations relatives à une personne identifiée ou identifiable. Ces données sont donc nominatives : elles indiquent l’identité de la personne, directement ou implicitement. Elles portent sur les coordonnées de la personne, son adresse, sa situation professionnelle, familiale, etc. 

B. La législation en vigueur

Les règles de protection des données ne sont pas regroupées en un seul texte : elles se fondent sur des règles françaises et européennes

Les règles européennes comprennent avant tout le Règlement européen de protection des données (RGPD) du 27 avril 2016. Il s’agit du texte majeur pour la protection des données, qui s’appliqe à l’ensemble des citoyens européens. Le RGPD vise à mettre à jour la réglementation en matière de données afin de s’adapter à l’évolution des sociétés et des nouvelles technologies. Il vise également à harmoniser les législations des Etats-membres en la matière. Il s’applique à responsable de traitement et sous-traitant qui collecte des données personnelles sur le territoire européen ou qui portent sur des résidents européens. 

Le RGPD met en place une procédure répressive qui vient mettre fin à la procédure préventive. Ainsi, le traitement de données ne fait préalablement l’objet d’aucune autorisation ou contrôle. En revanche, l’organisme doit à tout moment être en capacité de démontrer qu’il fonde son traitement de données sur l’une des bases légales prévues par le RGPD. Celui-ci fonde ainsi une logique de responsabilité des organismes de données qui doivent d’eux-mêmes préparer leur mise en conformité avec la réglementation. Ainsi, parmi les bases légales possibles, l’organisme peut fonder la légalité de son traitement de données sur le consentement des intéressés, la conclusion d’un contrat, l’existence d’une mission d’intérêt public, d’un intérêt légitime ou d’obligations légales. 

Concernant les règles françaises, il s’agit principalement de la loi Informatique et Libertés du 6 janvier 1978 dont le contenu a été entièrement mis à jour en 2019 pour se mettre en conformité avec le RGPD. La loi ne peut se lire sans le RGPD. 

2. L’ouverture d’une procédure de contrôle 

La décision d’ouvrir une procédure de contrôle peut résulter de différents éléments.

Tout d’abord, la CNIL établit chaque année un programme annuel de thématiques liées à d’importantes atteintes à la vie privée. Elle réalise des contrôles dans le cadre de ce programme annuel. En 2022, les thématiques prioritaires sont la prospection commerciale, le cloud et la surveillance au travail.

L’actualité conduit également la CNIL à déclencher des procédures de contrôle.

Enfin et surtout, la CNIL reçoit des plaintes (autrement appelées réclamations) et des signalements. Toute personne physique peut effectuer une plainte auprès de la CNIL lorsqu’elle ne parvient pas à exercer ses droits garantis par la loi de 1978 ou lorsqu’un organisme ne respecte pas les mesures de protection des données personnelles. La plainte peut s’effectuer en ligne ou par voie postale. Aucune formalité n’est imposée mais il est utile de porter connaissance à la CNIL de tout document qui atteste des faits reprochés.

La présidente de la CNIL décide de l’ouverture d’un contrôle. Le but de tout contrôle est de vérifier que les traitements automatisés de données à caractère personnel mis en place par les organismes sont en conformité avec la loi Informatique et Libertés du 6 janvier 1978 et le Règlement général de protection des données (RGPD). Le contrôle peut également porter sur les dispositifs de vidéosurveillance.

La CNIL peut effectuer un contrôle auprès de l’ensemble des organismes qui traitent des données personnelles. Elle ne peut cependant contrôler que les responsables de traitement qui disposent d’un établissement en France ou qui s'adressent à des personnes résidant en France. Une coopération européenne est prévue lorsque les organismes possèdent des établissements dans d’autres pays de l’Union européenne ou que leur traitement de données collectées concerne également des personnes résidant dans d’autres États-membres.

3. LA PROCÉDURE DE CONTROLE

Quatre types de contrôles peuvent être effectués par la CNIL. Celle-ci peut réaliser des contrôles sur place, des contrôles en ligne, auditionner des représentants de l’organisme contrôlé, ou demander toute pièce justificative des traitements de protection des données mis en place. Tout contrôle sur place doit être précédé de l’envoi de la décision initiale de la présidente de la CNIL. Le procureur de la République est également informé du contrôle.

En cas de refus du contrôle, la présidente de la CNIL peut saisir le juge des libertés et de la détention aux fins de poursuite du contrôle. Il peut également le saisir préalablement au contrôle en cas de risque de dissimulation des documents utiles au contrôle.

L’entrave à l’action de la CNIL constitue une infraction au regard de l’article 226-22-2 du Code pénal. Elle est retenue quand le responsable du traitement s’oppose au contrôle alors même que celui-ci a été autorisé par le JLD et quand il dissimule des informations ou documents utiles. Le secret professionnel n’est en effet pas opposable aux contrôleurs de la CNIL. L’entrave à l’action de la CNIL est alors punie d’un an d’emprisonnement et de 15 000 euros d’amende.

A. LES SUITES D’UN CONTRÔLE

La suite de la procédure diffère selon les manquements relevés lors des investigations.

Si les investigations ne démontrent aucun manquement, la présidente de la CNIL clôt la procédure. Si des manquements peu sérieux sont relevés, la présidente clôt la procédure de contrôle et le notifie à l’organisme en effectuant des observations sur ces quelques manquements. Si des manquements graves sont remarqués, la présidente de la CNIL peut prononcer un avertissement, une mise en demeure ou intenter une procédure de sanctions à l’encontre de l’organisme.

a) L’AVERTISSEMENT

L’avertissement, mesure prévue par le RGPD, a été introduit en France par la loi du 20 juin 2018. La présidente de la CNIL avertit l’organisme qu’il est susceptible de faire l’objet d’une procédure de sanction mais que ce n’est pas encore le cas. Le but est d’éviter la mise en place ultérieure d’une procédure de sanctions.   

 b) LA MISE EN DEMEURE

La mise en demeure consiste à obliger l'organisme à se mettre en conformité avec la législation. L’organisme dispose, pour prendre les mesures exigées par la mise en demeure, d’un délai fixé par la CNIL allant de 10 jours à 6 mois. En cas d’urgence, ce délai peut être réduit à une journée.

Si la conformité à l’issue de la mise en demeure est partielle, la CNIL peut demander des compléments sur les points manquants. Si l’organisme ne répond pas à ces demandes complémentaires, une procédure de sanction peut être engagée à son égard. Si l’organisme ne se plie aucunement aux injonctions ou ne donne pas de réponse à la mise en demeure dans le délai imparti, la CNIL peut directement débuter une procédure de sanction.

Le président et les vice-présidents peuvent, ensemble, décider de rendre la mise en demeure publique. La clôture de la mise en demeure en cas de mise en conformité sera alors également rendue publique.

c) LES MANQUEMENTS RELEVÉS PAR LA CNIL

Les violations les plus souvent relevées par la CNIL sont les suivants :

  • Un traitement illicite des données collectées
  • La collecte excessive ou injustifiée de données personnelles
  • L’absence de transparence et d’information des personnes concernées par un traitement de données
  • La collecte de données sans consentement
  • Le non-respect des durées de conservations
  • Un défaut de sécurité des données collectées
  • Un transfert illégal de données
Focus #1: le transfert de données hors UE
Le transfert des données hors de l’Union européenne est régi par le RGPD. Le transfert de données ne peut s’effectuer que si les conditions définies par le RGPD sont remplies. Le transfert doit se fonder sur une décision d’adéquation, prévue à l’article 45 du RGPD, ou sur des mécanismes de garantie, exposés à l’article 46. La décision d’adéquation est prise par la Commission européenne. Pour cela, elle examine la législation de l’Etat vers lequel les données seront transférées, mais aussi le respect de l’Etat de droit, de la démocratie et des libertés fondamentales. La Commission décide alors des pays où le transfert de données peut être exécuté ou non. Le transfert peut alors être effectué par tout organisme sans nécessiter d’autorisation supplémentaire. 
En l’absence de cet aval de la Commission, l’organisme peut effectuer un transfert s’il prévoit des garanties à l’attention des personnes dont les données seront transférées. Ces garanties peuvent être un Code de bonne conduite du sous-traitant qui recevra les données, ou encore des clauses de protection. L’organisme doit également s’assurer que les personnes concernées disposent de voies de recours effectives pour s’opposer au transfert. 

B. QUELLES SANCTIONS SONT PRONONCÉES PAR LA CNIL ?

La CNIL prononce tout d’abord des rappels à l’ordre, sanction de moindre gravité. Elle prononce également des injonctions à se mettre en conformité. L’organisme dispose d’un délai pour se plier aux obligations imposées par la CNIL. L’injonction peut être assortie d’une astreinte. Ainsi, tant qu’il ne se met pas en conformité, l’organisme doit verser une somme allant jusqu’à 100 000 euros par jour de retard.

La CNIL peut également prononcer une interdiction, temporaire ou définitive, du traitement de données personnelles. Elle peut aussi retirer une certification ou une autorisation.

Elle prononce essentiellement une sanction administrative pécuniaire qu’est l’amende. Celle-ci est limitée à 4% du chiffre d’affaires mondial de l’organisme et ne peut excéder 20 millions d’euros.  

Enfin, bien que la CNIL ne puisse pas prendre de sanctions pénales, tout organisme de traitement de données doit garder en tête qu’il peut faire l’objet d’une condamnation pénale au regard des infractions définies à l’article 226-16 et suivants du Code pénal. Celui-ci incrimine en effet le non-respect des formalités de mise en œuvre des traitements de données à caractère personnel, la diffusion de données sans le consentement de leur auteur, mais également le traitement frauduleux, déloyal ou illicite de données. Pour ces infractions, l’organisme encourt une peine de cinq ans d’emprisonnement et de 300 000 euros d’amende

C. LA PROCÉDURE ORDINAIRE DE SANCTION

Deux procédures de sanctions existent depuis avril 2022 : une procédure ordinaire et une procédure simplifiée a en effet été créée pour les dossiers peu complexes et de faible gravité.

a) L’instruction

Dans la procédure ordinaire, la présidente de la CNIL désigne tout d’abord un rapporteur par ses membres. Celui-ci envoie à l’organisme visé par les sanctions un rapport qui décrit les manquements constatés et propose des mesures. La procédure est contradictoire : l’organisme dispose d’un mois pour effectuer des observations sur les sanctions proposées. Le rapporteur clôt à l’issue du délai d’un mois l’instruction.

b) La prise de décision des sanctions

La présidente de la CNIL saisit ensuite la formation restreinte, composée de six membres du Collège, pour statuer sur les sanctions. Se tient alors une séance publique à laquelle l’organisme est convoqué au moins quinze jours auparavant. La séance publique permet d’entendre l’organisme puis de rendre la décision de sanction. Les sanctions peuvent ensuite être rendues publiques ou non.

D. LA PROCÉDURE SIMPLIFIÉE 

La procédure simplifiée vise à donner une réponse plus rapide face aux plaintes toujours plus nombreuses depuis l’instauration du RGPD. Le but est également d’apporter une réponse adaptée en fonction des dossiers, car certains sont peu complexes et ne nécessitent donc pas la mise en place d’une procédure ordinaire.

La procédure simplifiée diffère surtout dans la prise de décision. Le président de la formation restreinte peut statuer seul, sans réunir les six membres de la formation. Aucune séance publique n’est prévue sauf si l’organisme le demande. De plus, trois types de sanctions uniquement peuvent être prononcées. Il s’agit d’un rappel à l’ordre, d’une injonction sous astreinte plafonnée à 100 euros par jour et d’une amende de 20 000 euros maximum. Les sanctions ne peuvent pas être rendues publiques.

Toute décision de sanction peut faire l’objet d’un recours par l’organisme devant le Conseil d’État dans un délai de deux mois.

Lire notre article sur la violation du RGPD : quelles responsabilités encourues ?

Articles similaires

Social

Traitement des jours fériés en entreprise : ce que dit la loi

Vous vous perdez dans le traitement des jours fériés ? Retrouvez notre capsule #1 en droit social pour tout comprendre en 2 minutes !
19
April 2024
Actu du K

L'équipe pénale de Le Kbinet (ancien Chapelle Avocat) classée parmi les meilleurs cabinets d'avocats par Le Point

L'équipe pénale de Le Kbinet (ancien Chapelle Avocat) classée parmi les meilleurs cabinets d'avocats par Le Point avec 5 étoiles en droit pénal général et en droit pénal des affaires.
18
April 2024
Intelligence économique

5 leçons d'intelligence économique à tirer de l'affaire d'espionnage EDF vs Greenpeace

Explorez les implications de l'affaire EDF et Greenpeace, où l'accusation d'espionnage a suscité des débats sur l'intelligence économique. Découvrez cinq leçons essentielles pour les entreprises en matière de gestion des risques, de transparence et de préparation à la défense juridique. Plongez dans les enseignements tirés de cette affaire pour naviguer avec prudence dans le monde complexe de l'intelligence économique.
15
April 2024
View all