Le 17 Avril 2019, le Conseil d’Etat à rendu deux décisions qui viennent sacraliser la Commission Nationale de l’Informatique et des Libertés. Si l’une confirme dans son entièreté les sanctions de la CNIL, l’autre revoit légèrement la copie de la CNIL en encourageant les responsables de traitement à être proactifs à travers les mesures à prendre pour se mettre en conformité. Dès lors il est inutile de perdre son temps à espérer que certains arguments puissent passer devant la haute juridiction.

Rêvez, oui, mais au réveil revenez à la réalité !

A travers une récente décision (CE du 17/04/2019, 423559 : ADEF), le Conseil d’Etat (CE) rappelle à qui veut l’entendre que la CNIL (Commission Nationale de l’Informatique et des Libertés) est en droit de prononcer une sanction sans mise en demeure préalable lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans ce cadre.

En l’espèce, la CNIL avait été alertée de l’existence d’un défaut de sécurité permettant à des tiers non autorisés d’accéder aux données personnelles des personnes sollicitant les services fournis par l’Association pour le développement des foyers (ADEF).

Après un contrôle en ligne et un autre sur place, l’organe de contrôle avait constaté malgré plusieurs demandes adressées à ADEF pour prendre des mesures correctrices, l’absence de solutions à ce défaut de sécurité. La formation restreinte de la CNIL a donc infligé deux sanctions dont l’une pécuniaire de 75.000 euros et la publication de cette sanction pendant une durée de deux ans.

Par requête en date du 24 Août 2018, l’ADEF demandait au CE d’annuler la sanction pécuniaire prononcée à son encontre et la publication de cette dernière pendant deux ans. Mais aussi, de mettre à la charge de la CNIL la somme de 2.000 euros. La décision du CE vient sanctionner cette requête de l’ADEF et permet une fois encore de conforter la CNIL à travers ses délibérations et offre l’opportunité aux responsables de traitements et juriste de mieux s’armer pour anticiper.

Il est important de rappeler que la CNIL se base sur plusieurs éléments pour prononcer des sanctions qui peuvent aller d’un simple rappel à l’ordre à une sanction pécuniaire publique. Les sanctions n’étant pas des champignons qui sortent de la terre, revisitons d’abord, la chaîne de contrôle de la CNIL et des possibles suites (I) ensuite rappelons aux uns et aux autres que la jurisprudence du CE est très constante et conforte la CNIL dans ses délibérations (II), enfin, mettons un accent particulier sur les bonnes pratiques qui conduisent à un cercle vertueux (III)

I- De la chaîne de contrôle aux suites à donner.

Succinctement, la CNIL peut initier un contrôle par une auto-saisine sur la base de ses priorités. Elle identifie alors quelques thèmes sur lesquelles elle opère des contrôles. En 2019 par exemple la CNIL s’est définie trois thèmes sur lesquelles elle compte concentrer son action (cf rapport annuel 2018 de la CNIL). Il s’agit notamment, du respect des droits des personnes, du traitement des données des mineurs et la répartition des responsabilités entre responsable de traitement et sous-traitants.

En plus de ses priorités, les missions de contrôle de la CNIL peuvent avoir comme origine, les plaintes et signalements des usagers, les faits remontés par la presse ou sur la toile, mais aussi le fruit de la coopération d’autres CNIL européennes. Ces différents contrôles respectent une certaine procédure qui sacralise les droits de la défense, en somme, la règle sacrosainte du contradictoire. [1]

Pour ce faire, l’organe de contrôle dispose de quatre modes d’action essentiels à savoir (Voir le rapport annuel 2018 de la CNIL) :
 Le contrôle en ligne (si manquements visibles à distance),
 Le contrôle sur place (accès traitements de données),
 Le contrôle sur pièce (questions écrites et demande de documents) et,
 Le contrôle sur convocation (audition des acteurs concernés).

La réforme de la loi informatique et Libertés a considérablement accru les pouvoirs de sanction de l’autorité de contrôle. Les suites du contrôle peuvent donc se solder très tôt à une clôture s’il y a absence ou peu d’observations (article 58 du règlement Intérieur de la CNIL).

A l’inverse, une plainte peut aboutir à une mise en demeure s’il y des manquements sérieux. Dans ce cas, un délai (6 à 12 mois maximum) est fixé par la commission pour permettre au responsable de traitement indélicat de se conformer. Si ce dernier s’exécute dans le délai imparti, la clôture de la procédure peut être prononcée. Dans le cas contraire, une sanction peut être prononcée par la formation restreinte assortie ou non de publication.

Il est à rappeler qu’une plainte peut directement aboutir à une sanction sans passer par la case de mise en demeure (Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC). La sanction peut être soit, pécuniaire (4% CA mondial ou 20 millions d’euros) ou non pécuniaire (rappel à l’ordre…), publique (sur le site de la CNIL ou Legifrance.fr ou autre site aux frais du responsable du traitement) ou non publique.

Pour illustrer sur quarante-huit mises en demeure prononcées par la CNIL en 2018, treize ont fait l’objet d’une publicité ; et sur dix sanctions pécuniaires seules une seule n’a pas été rendue publique [2]. Il ressort de ce bilan que la publication est une arme redoutable qui dépasse parfois une sanction pécuniaire dans ce sens qu’elle fait une mauvaise presse aux activités du responsable de traitement et porte un coup non négligeable à sa réputation.
Cependant, les décisions de la CNIL sont susceptibles de recours devant le Conseil d’Etat.

II-La sacralisation de la CNIL par le Conseil d’Etat : une jurisprudence constante.

Vu le nombre de recours qui ne trouvent pas une issue favorable devant le CE, tout responsable de traitement doit être en mesure de se remettre en question et anticiper en prenant les mesures adéquates pour assurer la disponibilité, la confidentialité et la sécurité des données à caractère personnel. Le Conseil d’Etat a baptisé nombres d’initiés dans son couvent qui peuvent nous servir d’exemples.

Dans l’affaire « Acadomia » par exemple, le CE par décision en date du 27 Juillet 2012 a maintenu les sanctions infligées par la CNIL. Aux motifs que la société Acadomia collectait des données non pertinentes, excessives et inadéquates sur les enseignants, employés et clients, parents ou enfant, la CNIL avait rendue publique un avertissement à l’encontre de cette société (dél CNIL n°2010-113 du 22/04/2010).

Malgré le situation aggravante, des commentaires déplacés sur des candidats se trouvaient dans les systèmes d’informations de la société (« elle sent très mauvais », « sent la transpiration (ne connait pas le déo) », elle dépose une requête devant le conseil d’Etat aux fins d’annuler la délibération de la CNIL du fait que la procédure n’aurait pas été régulière, la décision de la CNIL n’était pas motivée et les trois sanctions notamment l’avertissement, la mise en demeure et la publication n’était pas justifiée.

Sans surprise, le CE a rejeté sa requête aux motifs qu’elle a été bien informée de son droit d’opposition (preuve procès-verbal signé) et la décision de la CNIL n’a pas à être motivée car aucune disposition ne lui impose de motiver spécifiquement ses décisions ;une violation de la loi Informatique et libertés étant suffisant pour motiver les sanctions délivrées par la CNIL.

Il en est de même d’une récente décision de 6 Juin 2018 par laquelle le Conseil d’Etat a confirmé la position de la CNIL qui par une délibération en date du 18 Mai 2017 avait prononcé une sanction pécuniaire de 25000 euros contre l’éditeur du site Challenges.fr.

Le CE a une nouvelle fois rejeté la demande d’annulation de la sanction par la société en cause. Il ressort de cette décision que la société n’avait pas donné suite à la mise en demeure de la CNIL malgré la relance de cette dernière et s’attendait à un nouveau contrôle de CNIL pour constater si elle avait mis en place des mesures correctives.

Cet argument est tombé dans les oreilles de sourds car pour le CE, la CNIL n’était pas tenue de procéder à un nouveau contrôle pour apprécier la persistance des manquements, il revenait donc au responsable de traitement de présenter tous les éléments permettant à la CNIL d’apprécier la mise en conformité et même si le responsable de traitement avait remédié aux manquements constatés dans la mise en demeure, ceci ne faisait en rien obstacle au prononcé d’une sanction pour méconnaissance de l’obligation de coopérer avec la CNIL, résultant de l’article 21 de la loi du 6 janvier 1978 modifiée.

Cette décision est inédite car elle précisait les règles en matière de cookies (en gestation une évolution règlementaire en la matière : affaire à suivre de très près).

Cette jurisprudence constante nous amène à faire une mise au point importante sur quelques éléments sur lesquels la CNIL se base pour prononcer des sanctions.

En ce qui concerne le cas de l’ADEF la commission s’est basée sur quatre éléments majeurs à savoir :
• le caractère intentionnel ou de négligence du manquement ;
• les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées ;
• le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels ;
• les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission.

Nous pouvons aisément ajouter un dernier point à 50.000 euros, que nous devons à une autre décision rendue le même jour 17 Avril 2019 par le CE à savoir la célérité avec laquelle le responsable de traitement apporte les mesures correctrices pour remédier aux manquements constatés (CE, 17/04/2019, 422575).

Il est à rappeler que dans cette dernière décision, le CE a accordé un rabais de 50.000 euros sur la sanction que la CNIL avait infligé à Optical Center tout en rejetant le surplus des conclusions de Optical Center. L’organe de contrôle est toujours conforté dans sa position, mais prendra sans doute automatiquement en compte cet aspect dans ses futures délibérations. Ne serait-il pas alors mieux d’adopter de bonnes pratiques (III) pouvant permettre d’éviter ces revers et par ricochet prévoir un budget à l’orchestre de la conformité dans l’entreprise ?

III- Les bons réflexes d’un cercle vertueux de la conformité.

Il n’est pas inutile de rappeler en quelques points ce qui nous parait important de retenir
• La CNIL peut engager, sans procéder à une mise en demeure préalable, une procédure de sanction à l’encontre des contrevenants ;
• Les sanctions peuvent être rendues publiques sur le site internet de la commission et le site Légifrance dès leur notification (art 70 règlement intérieur de la CNIL) ;
• La formation restreinte de la CNIL peut également ordonner leur insertion dans des publications, journaux et supports qu’elle désigne aux frais des personnes sanctionnées ;
• Collaborez avec la CNIL et soyez proactifs, sans jamais confondre célérité et précipitation ;
• Nommez un DPO et mettez les moyens nécessaires à sa disposition ;
• Loin d’être une contrainte, les Lois sur la Protection des données personnelles représentent une opportunité de certification de votre transparence et en définitive gage de la Confiance de votre réputation.

Dernier point : la tolérance n’étant pas une faiblesse, en 2019 la CNIL sera moins conciliante ! Attention aux arnaques au RGPD !

---

Sources :
 Articles 45, 46 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.
 Loi du 7 octobre 2016 pour une République numérique.
 Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC

Carmel Juste AHONONGA, Juriste IT, Protection des données personnelles, Propriété intellectuelle|