Le renforcement des contrôles de la CNIL auprès des sites de e-commerce et de jeux en ligne

La CNIL a acquis des pouvoirs renforcés de contrôle et de sanction en cas de non-respect par les responsables de traitements des dispositions de la loi Informatique et Libertés, et ce depuis la transposition en 2004 de la directive européenne de 1995 sur les données personnelles. La CNIL vient de renforcer ses actions de contrôle en s’appuyant sur des administrations tierces : DGCCRF et ARJEL.


La CNIL a acquis des pouvoirs renforcés de contrôle et de sanction en cas de non-respect par les responsables de traitements des dispositions de la loi Informatique et Libertés, et ce depuis la transposition en 2004 de la directive européenne de 1995 sur les données personnelles (1). Cependant, jusqu'ici la CNIL avait des moyens très limités pour la mise en oeuvre de ces pouvoirs de contrôle. La CNIL vient de renforcer ses actions de contrôle en s'appuyant sur des administrations tierces : DGCCRF par la signature d'un protocole de coopération en janvier 2011 et ARJEL par un partenariat conclu en juillet 2011.
 
Les cybercommerçants et les opérateurs de jeux en ligne sont particulièrement concernés par cette nouvelle orientation.
 
Nous faisons un point ci-après sur les pouvoirs de contrôle de la CNIL, la spécificité des certains contrôles et les sanctions applicables.
 
 
1. Les pouvoirs de contrôle de la CNIL
 
La CNIL, autorité administrative indépendante, est chargée de veiller au respect de l'identité humaine, de la vie privée et des libertés. La CNIL dispose ainsi du pouvoir de réaliser des contrôles de conformité à la loi Informatique et Libertés auprès des responsables de traitement de données personnelles (2). Sont notamment concernés les éditeurs de sites de e-commerce ou de jeux en ligne. Les missions de contrôle de la CNIL s'inscrivent dans le cadre d'un programme adopté chaque année par la Commission ; Ces contrôles peuvent également être réalisés de façon inopinée pour répondre à des besoins ponctuels, dans le cadre de l'instruction de plaintes, à l'encontre d'un site web par exemple.
 
Ainsi, les membres ou agents de la CNIL peuvent, sur décision de son Président, accéder aux locaux des entreprises, demander communication de tout document nécessaire et en prendre copie, recueillir tout renseignement utile, accéder aux programmes informatiques et aux données. L'objectif est d'obtenir un maximum d'informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en oeuvre les traitements de données à caractère personnel.
 
Le responsable contrôlé n'est pas systématiquement informé, au préalable, du contrôle. Toutefois, il devra être informé de l'objet des vérifications que la CNIL compte entreprendre et de son droit d'opposition à un tel contrôle, et ce au plus tard au début de la procédure de contrôle. En cas d'opposition, le contrôle pourra être effectué avec l'autorisation d'un magistrat.
 
 
2. Le partenariat avec la DGCCRF et l'ARJEL pour des contrôles effectifs
 
Afin de renforcer son action dans certains secteurs d'activité, la CNIL vient de mettre en place des accords de collaboration avec la DGCCRF et l'ARJEL.
 
Sites de e-commerce - Le 6 janvier 2011, la CNIL et la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) ont signé un "Protocole de coopération pour la protection des données personnelles des consommateurs sur Internet". Ce protocole permet à la CNIL de s'appuyer sur le réseau des agents du Service national des enquêtes (SNE) de la DGCCRF en visant à accroître les actions de contrôle des pratiques des sites de e-commerce en matière de conformité à la loi des traitements de données mis en oeuvre (3).
 
En pratique, les agents de la DGCCRF peuvent désormais étendre leurs contrôles de conformité à la réglementation économique pour inclure les contrôles de conformité à la réglementation Informatique et libertés. Les manquements à la loi Informatique et Libertés constatés par les agents de la DGCCRF sont directement communiqués à la CNIL afin que cette dernière puisse prendre les mesures appropriées.
 
Les comportements réprimés, susceptibles d'être relevés par la DGCCRF, concernent (i) la collecte illicite et déloyale de données à caractère personnel, (ii) le défaut de proportionnalité entre les données collectées et la finalité du traitement déclaré, (iii) la collecte non-autorisée de données sensibles (telles que l'orientation politique, ou des données de santé par exemple), (iv) l'absence de mesures de sécurité pour l'accès aux bases de données et la conservation des données, et (v) l'absence d'information des personnes sur l'exploitation de leurs données (4).
 
Sites de jeux en ligne - La CNIL et l'Autorité de Régulation des Jeux En Ligne (ARJEL) viennent de s'associer, en juillet 2011, afin de renforcer les actions de contrôle de conformité des opérateurs de jeux en ligne à la réglementation Informatique et libertés (5). L'ARJEL a pour missions de délivrer des agréments aux opérateurs de jeux, de mettre en place des moyens de régulation, d'information et de contrôle pour protéger les joueurs, prévenir de l'addiction au jeu et lutter contre la fraude et le blanchiment d'argent (6). Ce partenariat a pour objectif d'assurer une meilleure protection des données des joueurs.
 
En pratique, la CNIL réalisera ses contrôles dans les locaux professionnels des opérateurs de jeux agréés, en présence d'un expert désigné par l'ARJEL. La CNIL aura ensuite la possibilité de faire usage de ses pouvoirs de sanction à l'encontre des opérateurs qui seraient en infraction avec la loi.
 
 
3. Les sanctions encourues en cas de non-conformité à la loi Informatique et Libertés
 
Les contrôles identifiant des manquements à la loi Informatique et Libertés peuvent entraîner l'application de sanctions de nature pénale : peine d'amende, voire même peine de prison pour les cas les plus graves. Des sanctions peuvent également être appliquées en cas d'entrave aux contrôles.
 
Sanctions en cas d'entrave à l'action de la CNIL - L'entrave à l'action de la CNIL est réalisée en dans les cas suivants : (i) opposition à l'exercice des missions de contrôle de la CNIL lorsque la visite a été autorisée par le juge ; (ii) refus de communiquer, dissimulation ou destruction des renseignements et documents utiles à la mission de contrôle et (iii) communication d'informations non conformes au contenu des enregistrements tel qu'il était au moment où la demande de la CNIL a été formulée ou présentation d'un contenu non directement accessible. Le responsable du traitement en infraction encourt une peine d'un an d'emprisonnement et 15.000€ d'amende (7). 
 
Sanctions en cas de manquements à la loi - (8) A l'issue du contrôle et lorsque des manquements à loi Informatique et Libertés sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu'elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une sanction pécuniaire d'un montant maximal de 150.000€ (allant jusqu'à 300.000€ en cas de récidive), une injonction de cesser le traitement ou un retrait de l'autorisation éventuellement accordée par la CNIL (9).

La CNIL peut également rendre publiques les sanctions qu'elle prononce par leur publication sur son site.  Elle peut également ordonner leur insertion dans la presse, aux frais de la personne ou  de l'organisme sanctionné. Cette dernière sanction est, de toute évidence, susceptible de nuire à l'image de marque de l'entreprise concernée.
 
Les personnes sanctionnées ont la possibilité de former un recours devant le Conseil d'État contre les décisions de la CNIL.
 
 
Il résulte du dernier Rapport d'activité de la CNIL et de son Programme des contrôles 2011 que la CNIL n'a de cesse de prendre des mesures pour renforcer son pouvoir de contrôle de conformité à la loi. La Commission veille à "être présente sur l'ensemble du territoire afin de pouvoir vérifier la correcte application de la loi" par les responsables de traitement, "où qu'ils se trouvent".(10) Dans ce contexte, il est recommandé aux cybercommerçants et opérateurs de jeux en ligne (mais également à tout exploitant de site web qui collecte des données à caractère personnel) de s'assurer de la conformité de leurs traitements des données des clients et utilisateurs à la loi et à leurs déclarations CNIL et, à défaut, de prendre toutes mesures nécessaires de mise en conformité.
 
 
******************************
 
(1) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée notamment par la loi n°2004-801 du 6 août 2004 et Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(2) Les pouvoirs et modalités de contrôle de conformité par la CNIL sont décrits aux articles 11, 19, 21 et 44 de la loi Informatique et Libertés et aux articles 62 à 65 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi Informatique et Libertés
(3) Protocole général de coopération signé le 6 janvier 2011 par la CNIL et la DGCCRF.
(4) Sur les conditions de licéité des traitements de données à caractère personnel, voir notamment les articles 6 à 10 de la loi Informatique et Libertés.
(5) Communiqué CNIL du 6 juillet 2011 : "La CNIL et l'ARJEL s'associent pour contrôler les opérateurs de jeux en ligne".
(6) L'ARJEL est une autorité administrative indépendante créée par la loi relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne n°2010-476 du 12 mai 2010 (http://www.arjel.fr/-Role-et-missions-.html).
(7) Article 51 de la loi Informatique et Libertés.
(8) Les sanctions sont prévues aux articles 45 et s. de la loi Informatique et Libertés. Des sanctions spécifiques peuvent être prononcées en cas "d'urgence" et "d'atteinte aux droits et libertés". Concernant les sanctions pécuniaires, la loi prévoit qu'en cas de récidive le montant de l'amende ne peut excéder 5% du chiffre d'affaires HT du dernier exercice clos de l'entreprise fautive, dans la limite de 300.000€.
(9) Articles 25 et s. de la loi Informatique et Libertés.
(10) 30e Rapport d'activité CNIL (2009), édition 2010 et Communiqué CNIL du 26 avril 2011 "Programme des contrôles 2011 : une ambition réaffirmée, des compétences élargies".
 
 
 
Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat

Autour du même sujet