Comment la CNIL prononce-t-elle des sanctions ?

Dans le cadre d'un contrôle RGPD par la CNIL, l'autorité peut prononcer des sanctions qui peuvent couvrir un large éventail. Les modalités de détermination de la sanction ne sont pas laissées à l'appréciation libre et subjective du contrôleur mais bien soumises à des règles juridiques bien précises.

[Mise à jour] La CNIL a sanctionné Google d'une amende de 50 millions d'euros pour violations du RGPD. La délibération complète de la CNIL précise en détail les raisonnements suivis par les juristes de l'institution pour établir la sanction. Les sages de la CNIL, saisis initialement sur plaintes d'associations représentant près de 10.000 personnes, ont établi que:

  • la CNIL était compétente pour se saisir du dossier;- la procédure suivie est conforme à la loi française;
  • les règles propres à la protection des données et aux finalités suivies par Google, les délais de conservation et autres informations importantes ne sont pas aisément accessibles ni claires et compréhensibles;
  • le consentement n'est pas fourni de manière réglementaire.

Cette nouvelle sanction démontre l'importance de bien connaitre les aspects juridiques d'une conformité au RGPD, les méthodologies de détermination de sanction et les procédures suivies par la CNIL.

A la suite de l'article sur les caractéristiques d'un contrôle RGPD par la CNIL, nous présentons aujourd'hui les aspects propres aux sanctions prononcées par la CNIL.

Depuis près de 40 ans, la CNIL dispose de pouvoirs de sanction à l’égard des administrés. Ce pouvoir est d’ordre administratif ou sur le terrain pénal (transmission au Procureur).

Le RGPD prévoit effectivement une possibilité de sanctionner jusqu’à 4% du CA mondial ou 20M€, mais cette mesure est un maximum qui ne s’appliquera que rarement et très principalement aux grandes entreprises. Les PME / ETI ne sont pas concernés par de telles ampleurs, mais doivent craindre d’autres sanctions.

De manière générale, il est important de comprendre que 

  • plus la conformité est mise en oeuvre en amont, plus le risque juridique est faible;
  • plus un conseil intervient en amont d'un contrôle, plus la sanction pourra être modérée.
Les mesures prises par le Président de la CNIL

Le Président de la Commission a le pouvoir de prononcer des avertissements et des mises en demeure. Ainsi, il peut avertir un responsable de traitement ou un sous-traitant que ses opérations de traitement son susceptibles de violer les dispositions du RGPD ou de la loi Informatique, ou le mettre en demeure de :

  • Satisfaire aux demandes d’exercice des droits des personnes concernées ;
  • Mettre le traitement en conformité avec la réglementation sur la protection des données ;
  • Communiquer à la personne concernée une violation de données à caractère personnel ;
  • Rectifier ou effacer des données ou limiter le traitement (le cas échéant en informant les personnes concernées des mesures prises).

La mise en demeure précise les manquements imputables au responsable du traitement ou au sous-traitant. Le Président de la CNIL détermine le délai dont dispose l’organisme mettant en œuvre le traitement pour se conformer à ses demandes, qui ne peut excéder 6 mois ni être inférieur à 10 jours (et peut être renouvelé une fois). En cas d’extrême urgence, le délai accordé au responsable de traitement ou au sous-traitant pour se conformer à la mise en demeure peut être réduit à 24h.

Les mesures prises par la formation restreinte

Seule la formation restreinte de la CNIL peut prendre des mesures et sanctions à l’encontre des responsables de traitement ou sous-traitants qui ne respectent pas leurs obligations au titre de la protection des données personnelles. Pour garantir l’indépendance des membres de cette formation de jugement, il leur est interdit d’exercer des attributions en matière de poursuite et d’instructions ; ils ne peuvent donc participer aux opérations de contrôle ou être désignés en tant que rapporteur.

Le Président de la CNIL saisit cette formation la formation restreinte après avoir adressé un avertissement à un responsable de traitement ou un sous-traitant ou en complément d’une mise en demeure. Une fois saisie et à l’issue d’une procédure contradictoire, la formation restreinte peut prononcer :

  • Un rappel à l’ordre ;
  • Une injonction de mettre en conformité le traitement avec la loi Informatique et Libertés et le RGPD, le cas échéant sous astreinte ;
  • La limitation ou l’interdiction du traitement, ou le retrait de l’autorisation accordée pour le traitement ;
  • Le retrait d’une certification ;
  • La suspension des flux de données vers un pays tiers ;
  • La suspension des règles d’entreprise contraignantes (BCR) ;
  • Une amende administrative d’un montant de 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial de l’entreprise (et pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise, dans les conditions prévues par le RGPD), sauf si le traitement est mis en œuvre par l’Etat.

La formation restreinte a la possibilité d’adopter ces sanctions de manière cumulative (par exemple une limitation du traitement et une amende administrative).

La procédure devant la formation restreinte de la CNIL
La procédure normale

Les sanctions sont prononcées par la formation restreinte sur la base d’un rapport établi par un membre de la CNIL désigné par le président de la Commission. Le rapporteur procède à toutes diligences utiles et peut, s’il l’estime utile, auditionner le responsable de traitement ou le sous-traitant (assisté de leur avocat s’il le souhaite).

Le rapport est ensuite notifié à la formation restreinte, ainsi qu’au responsable de traitement ou sous-traitant. Ce dernier dispose d’un délai d’un mois pour présenter par écrit ses observations, tout en pouvant pendant ce délai obtenir les pièces détenues par la Commission et se faire assister ou représenter par son conseil. Lorsque des observations sont présentées, le rapporteur y répond dans un délai de 15 jours, et l’organisme mis en cause dispose ensuite du même délai pour présenter ses dernières observations.

Une fois l’instruction clôturée, le responsable de traitement ou sous-traitant est informée de la date à laquelle se réunira la formation restreinte, au moins un mois avant la séance, et de la possibilité d’y être assisté par son conseil le cas échéant.

Lors de la séance, le rapporteur, puis l’organisme mis en cause ou son avocat présentent leurs observations orales. En outre, la formation restreinte peut entendre toute personne dont elle estime l'audition utile. En toute hypothèse, le responsable de traitement ou sous traitant ou son conseil prend la parole en dernier.

La procédure d’urgence

La loi du 6 janvier 1978 et le décret du 20 octobre 2005 prévoient également une procédure d’urgence en cas d’atteinte à l’identité humaine, aux droits de l’homme, à la vie privée ou aux libertés individuelles ou publiques. Là encore, un rapport est établi par un membre de la CNIL, mais le responsable de traitement ou sous-traitant ne dispose qu’un délai de huit jours pour faire parvenir à la formation restreinte ses observations. Il est convoqué par la formation restreinte au plus tard huit jours avant la date de la séance visant à examiner les manquements qui lui sont reprochés.

En outre, dans cette hypothèse, le président de la formation restreinte peut informer le Premier ministre du manquement constaté lorsque le traitement intéresse la sûreté de l’Etat, est mis en œuvre par les autorités en charge des poursuites et sanctions pénales ou est mis en œuvre pour le compte de l’Etat, afin qu’il prenne le cas échéant les mesures nécessaires pour faire cesser la violation.

La décision de la formation restreinte

Si la formation restreinte décide de prononcer une des mesures de sanction susmentionnées, sa décision doit énoncer les considérations de voie et de fait sur lesquels elle s’est fondée et indiquer les voies et délais de recours. Elle est en toute hypothèse notifiée à la personne concernée, et peut être rendue publique si la formation restreinte le décide. Le responsable de traitement ou sous-traitant ayant manqué aux obligations du RGPD ou de la LIL peut enfin se voir ordonner d’informer chaque personne concernée par la violation de la mesure prononcée.