RGPD / CNIL NOUVEAUX POUVOIRS

Matinale juridique – 29 Mai 2018
La CNIL : nouveaux pouvoirs, nouveaux
contrôles, nouvelles sanctions
Comment faire face à un contrôle de la CNIL ?
Intervenants : Me Gitton
Ce document est le support de l’intervention orale (il ne prétend pas à l’exhaustivité, son objet
étant essentiellement de faciliter la prise de notes et de mettre en évidence les points essentiels
d’un droit en devenir)
AGA

INTRODUCTION: INCERTITUDES ET PRINCIPES
I. LE POUVOIR DE CONTRÔLE DE LA CNIL
II. LE POUVOIR DE SANCTION DE LA CNIL
III. CONDITIONS GÉNÉRALES DE LA SANCTION
IV. LA PROCÉDURE DEVANT LA FORMATION RESTREINTE
V. NATURE DE LA SANCTION ET GARANTIES PROCÉDURALES
VI. PROSPECTIVE : ENTRE ACCOMPAGNEMENT ET DISSUASION
SOMMAIRE
AGA

Introduction : Un dispositif législatif encore incertain
Quatre textes et un recours devant le Conseil
Constitutionnel
Une nouveau droit fondamental: la protection des
personnes physiques à l’égard du traitement des
données à caractère personnel
• Loi n° 78-17 du 6 janvier 1978 relative à l’informatique,
aux fichiers et aux libertés
• Décret n° 2005-1309 du 20 octobre 2005 pris pour
l’application de la loi n°78-17 du 6 janvier 1978
• Règlement (UE) 2016/679 du Parlement européen et du
conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l’égard du traitement des données
à caractère personnel et à la libre circulation de ces
données et abrogeant la directive 95/46/CE
• Projet de loi adopté par l’Assemblée Nationale le 14
mai 2018 relatif à la protection des données personnelles
• La saisine n°2018-765 du 16 mai 2018 par 60 sénateurs
du Conseil Constitutionnel
Un facteur de risque qui a muté. Des informations nominatives
aux données à caractère personnel
Vie privée et privacy
L’émergence des autorités administratives indépendantes. La
nécessité de conférer à la CNIL des pouvoirs à la hauteur des
enjeux.
Les raisons de la discorde :
Responsabilité des collectivités territoriales
Algorithmes d’orientation
Open data des décisions de justice
Consentement des mineurs
Antoine Gitton Avocats

• Une donnée à caractère personnel ?
• Un traitement automatisé de données à caractère personnel ?
• Les données doivent être traitées de manière licite, loyale et transparente
au regard de la personne concernée (critère de la transparence ajouté par le
RGPD)
• Les données doivent être collectées pour des finalités déterminées,
explicites et légitimes, et ne pas être traitées ultérieurement de manière
incompatible avec ces finalités (limitation à des finalités)
• Les données doivent être adéquates, pertinentes et limitées à ce qui est
nécessaire au regard des finalités pour lesquelles elles sont traitées
(minimisation des données)
Introduction : Les grands principes qui régissent les
données et leurs traitements

• Principe d’exactitude : Les données doivent être exactes, et, si
nécessaire, tenues à jour, toutes les mesures raisonnables doivent être
prises pour que les données à caractère personnel qui sont inexactes, eu
égard aux finalités pour lesquelles elles sont traitées, soient effacées ou
rectifiées sans tarder.
• Limitation de la conservation : Les données doivent être conservées
sous une forme permettant l’identification des personnes concernées
pendant une durée n’excédant pas celle nécessaire au regard des finalités
pour lesquelles elles sont traitées.
• Intégrité-confidentialité : Les données doivent être traitées de façon à
garantir une sécurité appropriée des données à caractère personnel, y
compris la protection contre le traitement non autorisé ou illicite et contre la
perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de
mesures techniques ou organisationnelles.

Le traitement doit être licite et ainsi :
• Soit la personne doit y avoir donné son consentement exprès pour des finalités
spécifiques ;
• Soit le traitement est nécessaire à l’exécution d’un contrat auquel la personne
est partie ;
• Soit nécessaire au respect d’une obligation légale ;
• Soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée
ou d’une personne physique ;
• Soit nécessaire à l’exécution d’une mission d’intérêt public ;
• Soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du
traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés
ou droits fondamentaux de la personne concernée.

• Par principe, le traitement des données à caractère personnel qui révèle l'origine
raciale ou ethnique, les opinions politiques, les convictions religieuses ou
philosophiques ou l'appartenance syndicale, ainsi que le traitement des données
génétiques, des données biométriques aux fins d'identifier une personne physique
de manière unique, des données concernant la santé ou des données concernant
la vie sexuelle ou l'orientation sexuelle d'une personne physique, sont interdits,
sauf autorisation spécifique et légitime de la personne concernée.

La personne concernée bénéficie de droits :
• Transparence des informations et des communications et modalités d’exercice
des droits de la personne concernée, à la charge du responsable du traitement ;
• Droit d’information et d’accès aux données à caractère personnel ;
• Droit de rectification ;
• Droit à l’effacement (droit à l’oubli) ;
• Droit à la limitation du traitement ;
• Droit à la portabilité des données ;
• Droit d’opposition.

Article 44 de la loi du 6 janvier 1978 – Article 5 du projet de loi – Article 61 à 65 du décret.
Les membres de la CNIL et ses agents habilités
Le contrôle sur place des locaux à usage professionnel privé :
• Information préalable du procureur de la République. Délai de 24h.
• Droit d’opposition à la visite du responsable des locaux, sauf urgence, gravité ou risque de
destruction ou dissimulation de documents. Autorisation, contrôle et autorité du juge des
libertés et de la détention. Présence de l’occupant des lieux qui peut se faire assister d’un
conseil de son choix ou présence de deux témoins.
• Droit de communication et de copie des agents de la CNIL.
• Droit d’accès aux traitements et aux données des agents de la CNIL.
• Les agents peuvent être assistés par des experts à la demande du président de la CNIL.
• Projet de loi : le secret ne peut leur être opposé, sauf secret avocat à client et protection
des sources du journaliste. Données de santé communiquées à un médecin.
• CNIL incompétente pour contrôler les opérations de traitement effectuées, dans l’exercice
de leurs fonctions juridictionnelles, par les juridictions.
I- Le pouvoir de contrôle de la CNIL

Le contrôle sur convocation et le contrôle en ligne Article 66 du décret :
• Projet de loi - Les agents peuvent adopter une identité d’emprunt
• Les agents peuvent, notamment à partir d’un service de communication en
ligne, consulter les données librement accessibles ou rendues accessibles, le
cas échéant en accédant et en se maintenant dans des STAD. Comparer L.323-
1 Code pénal.
• Procès-verbal des vérifications et visites menées. Contradictoire lorsque les
vérifications et visites sont effectuées sur place ou sur convocation.

II- Le pouvoir de sanction de la CNIL
Articles 17 et 45 de la loi - Articles 70 à 82 du décret – Autorité de poursuite et autorité de sanction
Les prérogatives du Président de la CNIL – Avertissement – Mise en demeure –
Saisine de la Formation restreinte
Article 45-I nouveau (projet de loi). Avertissement par le président de la CNIL que
les opérations de traitement sont susceptible de violer le RGPD ou la loi.
Actuellement prérogatives de la Formation Restreinte.
Article 45-II nouveau (projet de loi). Si le manquement constaté est susceptible de
faire l’objet d’une mise en conformité, alors le président de la CNIL peut faire une
mise en demeure. Article 7 du projet de loi. La mise en demeure peut être rendue
publique

La mise en demeure ou l’avertissement ne sont pas des préalables obligatoires.
La Formation restreinte – 6 commissaires – Procédure contradictoire
Peut prononcer :
• Un rappel à l’ordre
• Une injonction de mise en conformité ou de satisfaire aux demandes présentées par
la personne concernée en vue d’exercer ses droits, qui peut être assortie d’une
astreinte dont le montant ne peut excéder 100.000 € par jour de retard
• La limitation temporaire ou définitive du traitement, son interdiction ou le retraite
d’une autorisation accordée en application du RGPD ou de la loi
• Le retrait d’une certification ou l’injonction, à l’organisme certificateur concerné, de
refuser une certification ou de retirer la certification accordée
• La suspension des flux de données adressées à un destinataire situé dans un payés
tiers ou à une organisation internationale
• La suspension partielle ou totale de la décision d’approbation des règles d’entreprise
contraignantes
Article 45 III du projet de loi – La Formation Restreinte sur saisine du Président de la CNIL

• A l’exception des cas où le traitement est mis en œuvre par l’État, une amende
administrative ne pouvant excéder 10 millions d’euros, ou s’agissant d’une
entreprise, 2% du chiffre d’affaires annuel mondial de l’exercice précédent, le
montant le plus élevé étant retenu.
• Dans les hypothèses mentionnées au 5 et 6 de l’article 83 du RGPD les
plafonds sont doublés.
• Principes de base du traitement, droits des personnes concernées, transfert de
données à un pays tiers, droit des États membres en vertu de l’article 9 du
RGPD, non respect d’une injonction de la CNIL

Une sanction effective, proportionnée et dissuasive. Il est dûment tenu compte des
éléments suivants :
• La nature, la gravité et la durée de la violation, compte tenu de la nature, de la
portée ou de la finalité du traitement, ainsi que le nombre de personnes
concernées et leur niveau de dommage ;
• Le fait que la violation a été commise délibérément ou par négligence ;
• Toute mesure prise par le responsable du traitement ou le sous-traitant pour
atténuer le dommage subi par les personnes concernées ;
• Le degré de responsabilité du responsable ou du sous traitant, compte tenu des
mesures techniques et organisationnelles mises en œuvre ;
• Toute violation pertinente commise précédemment par le responsable du
traitement ou le sous-traitant ;
III- Conditions générales de la sanction
Art 83 RGPD

• Le degré de coopération établi avec l’autorité de contrôle en vue de remédier ou
d’atténuer les effets négatifs ;
• Les catégories de traitement de données à caractère personnel concernées par
la violation ;
• La manière dont l’autorité de contrôle a eu connaissance de la violation,
notamment si, et dans quelle mesure, le responsable du traitement ou le sous
traitant a notifié la violation ;
• Lorsque des mesures ont été précédemment ordonnées, le respect de ces
mesures ;
• L’application de codes de conduite approuvés en application de l’article 40 ou
de mécanismes de certification approuvés en application de l’article 42 ;
• Toute autre circonstance aggravante ou atténuante applicable aux
circonstances de l’espèce, telles que les avantages financiers obtenus ou les
pertes évitées, directement ou non ;

La procédure d’urgence
Article 46 nouveau
Article 45-II actuel
• Saisine de la Formation restreinte par le président de la CNIL ;
• Interruption ou limitation provisoires pour une durée maximale de 3 mois ;
• Suspension provisoire de la certification du responsable du traitement ou
de l’agrément délivré à un organisme de certification ou chargé du respect
d’un code de conduite ;
• Suspension provisoire de l’autorisation pour les traitements dans les
domaines de la recherche en matière de santé ;
• Injonction sous astreinte ;
• Rappel à l’ordre.
• Si le traitement intéresse la sûreté de l’État ou la défense information du
Premier Ministre qui doit répondre dans les 15 jours.

Article 46- III nouveau : Comité européen de la protection des données
Article 63 du RGPD : Mécanisme de contrôle de la cohérence
Article 65 RGPD : Règlement des litiges par le Comité
Coordination au sein de l’UE

• Les sanctions sont prononcées sur la base d’un rapport établi par l’un des
membres de la CNIL qui n’appartient pas à la formation restreinte. Proposition
de sanctions.
• Rapport notifié au responsable ou au sous-traitant qui peut déposer des
observations et se faire représenter ou assister.
• Le rapporteur peut déposer des observations orales. Délai d’un mois pour y
répondre (article 75 du décret).
• Droit de prendre copie et de se faire assister ou représenter.
• Notification de la date de la séance de la formation restreinte un mois au moins
avant son échéance.
• Les observations écrites du responsable doivent parvenir 3 jours au plus tard
avant la séance.
IV- La procédure devant la formation restreinte
Article 47 nouveau de la loi - Article 73 à 82 du Décret

• Avis du Commissaire du gouvernement ;
• La formation restreinte peut entendre toute personne ;
• Peut demander un complément d’enquête au rapporteur ;
• Le responsable et/ou son conseil sont entendus en dernier ;
• La décision doit être motivée en droit et en fait. Elle mentionne les délais et
voies de recours ;
• Notification au responsable du traitement. Communication au commissaire du
gouvernement.

• La formation restreinte peut rendre publique ses sanctions.
• La formation peut obliger le responsable ou le sous-traitant à informer les
personnes concernées.
• Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue
définitive avant que le juge pénal ait statué définitivement sur les mêmes faits
ou des faits connexes, celui-ci peut ordonner que l’amende administrative
s’impute sur l’amende pénale qu’il prononce.
• L’astreinte est liquidée par la formation restreinte qui en fixe le montant définitif
• La mise en demeure article 73 du décret – Mise en conformité dans un délai
de 10 jours à trois mois - Un préalable devenu caduque avec la loi nouvelle

• État du droit en matière de pouvoir répressif des autorités administratives
indépendantes
• Décision 88-248 DC, 17 janvier 1989
• Principe de légalité des délits et des peines
• Principe de nécessité des peines
• Principe de non-rétroactivité de la loi pénale d’incrimination plus sévère
• Droits de la défense
« Ces exigences concernent non seulement les peines prononcées par les
juridictions répressives mais aussi toute sanction ayant le caractère d’une
punition même si législateur a laissé le soin de la prononcer à une autorité de
nature non judiciaire »
Le pouvoir de sanction administrative, dérogatoire au principe de
séparation des pouvoirs, est strictement contingenté par la mission de
l’autorité administrative en question.
V- Nature de la sanction et garanties procédurales

En aucun cas une autorité administrative indépendante n’entre en concurrence avec le
Ministère Public ou le juge judiciaire pour la poursuite des infractions et leur répression.
L’autorité administrative exerçant un pouvoir de sanction n’exerce pas plus une activité de
police administrative. Elle ne vise pas à prévenir une infraction mais à PUNIR un contrevenant
à la réglementation qui lui est confiée afin d’assurer l’effectivité de ses missions de régulation.
Dès lors qu’elle remplit l’un des trois critères alternatifs posés par la CEDH, tenant à la
quailification de la mesure en droit interne, à la nature de l’infraction et à la sévérité de la
sanction encourue, une mesure doit respecter les principes posés par l’article 6§1 de la
convention CEDH (CEDH, 8 juin 1976, Engel et autres c/ Pays Bas, n°51700/71).
Dans sa décision DIDIER (CE, assemblée, 3 décembre 1999, n°207434, Rec), le Conseil
d’État a jugé, alors même que l’autorité décisionnaire – alors le conseil des marchés financiers
siégeant en formation disciplinaire) - « n’était pas une juridiction au regard du droit interne », le
moyen tiré de l’article 6§1 était opérant à l’appui d’un recours formé contre une décision de
sanction « eu égard à la nature, à la composition et aux attributions de cet organisme ».

VI- Prospective : Entre accompagnement et dissuasion
Prévenir pour guérir :
Registre des données, Délégué à la protection des données, Codes de
conduite et certification (article 40 et 42 du RGPD)
Bruno Lassere, ex président de l’Autorité de la concurrence, succède à Jean-
Marc Sauvé à la tête du Conseil d’ État

RGPD / CNIL NOUVEAUX POUVOIRS

Recommandé

Recommandé

Contenu connexe

Similaire à RGPD / CNIL NOUVEAUX POUVOIRS

Similaire à RGPD / CNIL NOUVEAUX POUVOIRS (20)

RGPD / CNIL NOUVEAUX POUVOIRS