TITRE VI
DISPOSITIONS DIVERSES ET DISPOSITIONS
RELATIVES À
L'OUTRE-MER
Article 19
Simplification des procédures répressives
de la
Commission nationale de l'informatique et des libertés (CNIL)
L'article 19 vise à adapter les procédures répressives de la Commission nationale de l'informatique et des libertés (CNIL) afin de pouvoir apporter une réponse rapide et adaptées aux manquements en matière de protection des données personnelles. Il reprend pour ce faire l'article 51 du projet de loi relatif à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l'action publique locale .
La commission a adopté cet article sans modification, car les procédures désormais définies permettront à la CNIL de réaliser ses missions de manière adaptée.
1. Un rôle de contrôle du respect de la protection des données personnelles mis à mal par des procédures répressives inadaptées au vu du volume de plaintes
1.1. Un rôle de contrôle du respect du corpus juridique international, européen et national en matière de protection des données personnelles
La Commission nationale de l'informatique et des libertés (CNIL) est l'autorité administrative indépendante chargée de la protection des données en France. Elle exerce à ce titre deux missions principales :
- une mission d'information des personnes et des responsables de traitements de leurs droits et obligations ;
- une mission de contrôle du respect par les traitements de données à caractère personnel des dispositions réglementaires, législatives, européennes et internationales en vigueur.
Afin d'exercer le contrôle de la mise en oeuvre des traitements, les membres de la CNIL et les agents de ses services habilités ont accès aux locaux dans lesquels sont mis en oeuvre ces traitements et peuvent demander communication de tous les documents nécessaires à l'accomplissement de leur mission.
• Le président de la CNIL : autorité de poursuite des manquements aux règles relatives à la protection des données
Si un manquement est constaté ou est susceptible d'être constaté, il revient au président de la CNIL d'initier une procédure correctrice ou une sanction 72 ( * ) .
Il dispose en premier lieu de la possibilité de mettre en oeuvre une mesure correctrice .
Dans le cas où les opérations de traitement envisagées sont susceptibles de violer les règles législatives ou européennes en matière de protection des données personnelles, le président de la CNIL peut en avertir le responsable du traitement.
Dans le cas où un manquement est constaté, le président de la CNIL peut mettre en demeure , dans un délai qu'il fixe, le responsable du traitement ou son sous-traitant de se mettre en conformité . Lorsqu'il prononce une mise en demeure, le président doit procéder au contrôle de la mise en conformité et, le cas échéant, clôturer la mise en demeure .
Le président de la CNIL dispose en second lieu de la possibilité de saisir la formation restreinte en vue du prononcé d'une sanction après une procédure contradictoire. Cette saisine peut avoir lieu même si le président a déjà adressé un avertissement au responsable du traitement ou prononcé une mise en demeure.
• Le prononcé de sanctions par la formation restreinte de la CNIL
Saisie par le président de la CNIL, la formation restreinte est chargée de prononcer les sanctions à l'encontre des responsables de traitement ou de leurs sous-traitants qui ne respectent pas les règles en matière de protection des données personnelles 73 ( * ) . Elle est composée d'un président et de cinq membres élus par la commission en son sein.
Les sanctions prononcées par la formation restreinte le sont sur la base d'un rapport d'instruction établi par l'un des membres de la CNIL n'appartenant pas à la formation restreinte .
La formation restreinte dispose de la possibilité de rendre publiques les mesures qu'elle prend.
1.2. Des procédures inadaptées au volume des plaintes déposées devant la CNIL
L'entrée en vigueur du règlement général sur la protection des données (RGPD) 74 ( * ) le 25 mai 2018 a eu pour conséquence une augmentation sensible du nombre de plaintes reçues par la CNIL. À ces plaintes reçues s'ajoutent les procédures déclenchées par la CNIL elle-même, indépendamment de toute plainte.
Plaintes reçues annuellement par la CNIL et traitements réalisés
|
2015 |
2016 |
2017 |
2018 |
2019 |
2020 |
2021
|
|
|
Nombre de plaintes reçues |
7 908 |
7 704 |
8 360 |
11 077 |
14 137 |
13 585 |
10 522 |
|
Nombre de plaintes traitées |
/ (données purgées) |
6 549 |
9 267 |
9 394 |
10 283 |
9 672 |
8 209 |
|
Nombre de saisines de la formation restreinte |
4 |
5 |
4 |
7 |
5 |
8 |
6 |
|
Nombre de délibérations adoptées |
4 |
5 |
5 |
4 |
5 |
5 |
4 |
|
Rappels à l'ordre |
/ |
/ |
/ |
/ |
0 |
2 |
0 |
|
Injonction sous astreinte |
/ |
/ |
/ |
/ |
3 |
1 |
1 |
|
Amende administrative |
1 |
1 |
4 |
3 |
5 |
3 |
4 |
|
Avertissement 75 ( * ) |
3 |
4 |
1 |
1 |
/ |
/ |
/ |
Source : Commission des lois du Sénat, à partir des informations transmises par la CNIL
Afin de faire face au stock de dossiers en instance, la CNIL déploie actuellement plusieurs pistes de travail , allant du renforcement en personnel du service des plaintes à des évolutions informatiques afin d'améliorer les outils métiers, en passant par l'amélioration du téléservice de plaintes en ligne afin que les plaintes puissent être mieux formulées et ainsi traitées plus facilement par les services.
Ces mesures seules, si elles sont de nature à améliorer le traitement des plaintes reçues, ne semblent pas de nature à permettre une résorption du stock d'affaires en instance de traitement devant la CNIL .
La commission souligne en particulier que ses procédures répressives ne sont plus adaptées au volume des affaires qu'elle a à traiter :
- l'obligation de clôture de la mise en demeure prononcée par le président de la CNIL est, selon l'avis de la commission, « particulièrement chronophage » alors même qu'une mise en conformité rapide du traitement est généralement rapidement obtenue par ce biais ;
- en matière de sanction, l'existence d'une seule procédure ne permet pas de distinguer en fonction de la complexité ou de la gravité des dossiers.
Un faible nombre de mises en demeure ou de sanctions sont donc prononcées chaque année, de l'ordre respectivement de 50 et de 10 à 15.
2. L'article 19 du projet de loi : adapter les procédures répressives de la CNIL
La commission plaide en conséquence pour une adaptation de ses procédures répressives afin de pouvoir apporter une réponse rapide et adaptée. C'est l'objet de l'article 19 du projet de loi, qui reprend les dispositions de l'article 51 du projet de loi relatif à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l'action publique locale , sur lesquelles le Sénat s'est prononcé en juillet 2021.
Quatre évolutions sont envisagées relatives, d'une part, aux prérogatives du président de la CNIL et, d'autre part, aux procédures suivies devant la formation restreinte.
2.1. L'élargissement des prérogatives du président de la CNIL dans le cadre du prononcé de mesures correctrices
• La possibilité pour le président de la CNIL de prononcer un rappel aux obligations légales
L'article 19 du projet de loi prévoit en premier lieu de permettre au président de la CNIL de prononcer un « rappel aux obligations légales » à l'encontre d'un responsable de traitement ou d'un sous-traitant dont le traitement de données n'est pas conforme aux règles en matière de protection des données personnelles.
Sur le rapport de Mathieu Darnaud et de Françoise Gatel, le Sénat avait estimé que l'attribution d'une faculté de rappel aux obligations légales au président de la CNIL « élargirait utilement les leviers à la disposition de ce dernier pour faire cesser des manquements ponctuels dont le faible niveau de gravité ne justifie pas de prononcer une mise en demeure ou d'engager des poursuites devant la formation restreinte . Une telle mesure est ainsi particulièrement adaptée vis-à-vis des manquements terminés ou n'appelant pas d'action de mise en conformité de la part de l'organisme en cause » 76 ( * ) .
• Le caractère facultatif de la demande de justification de la mise en conformité
L'article 19 prévoit également d'alléger le mécanisme de mise en demeure en rendant facultative la demande par le président de la CNIL de justifier de la mise en conformité.
Dans le cas où le président aurait demandé à ce que cette mise en conformité soit justifiée, dans un délai laissé à la discrétion du président de la CNIL et pouvant être égal à 24 heures en cas d'urgence, il serait chargé de prononcer la clôture de la procédure de mise en demeure.
2.2. Le prononcé de sanctions par la formation restreinte de la CNIL
• Le prononcé d'une astreinte par le président de la formation restreinte en cas d'absence de réponse à une précédente mise en demeure
L'article 19 tend à permettre au président de la formation restreinte, lorsque celle-ci a été saisie par le président de la CNIL, d'enjoindre le responsable du traitement ou son sous-traitant de produire les éléments demandés en cas d'absence de réponse à une précédente mise en demeure et, le cas échéant, assortir cette injonction d'une astreinte 77 ( * ) .
Le président de la formation restreinte pourrait également constater qu'il n'y a plus lieu de statuer.
• La création d'une procédure simplifiée de sanction pour les dossiers peu complexes et de faible gravité
L'article 19 créerait enfin une procédure simplifiée devant la formation restreinte, dans laquelle le président de la formation ou un membre de la formation restreinte statuerait seul sur l'affaire.
Le président de la CNIL ne pourrait renvoyer l'affaire à la formation restreinte selon cette procédure que lorsqu'il estime :
- que la réponse appropriée aux manquements constatés est un rappel à l'ordre, une injonction de mise en conformité, le cas échéant sous astreinte 78 ( * ) , ou une amende administrative 79 ( * ) ;
- et que l'affaire ne présente pas de difficulté particulière , soit car elle s'inscrit dans le cadre d'une jurisprudence déjà établie, soit parce que les questions de fait et de droit qu'elle soulève sont simples.
Le président de la formation restreinte ou le membre chargé de statuer seul sur l'affaire pourrait à tout moment interrompre la procédure simplifiée , pour tout motif. Dans ce cas, l'affaire serait renvoyée par le président de la CNIL devant la formation restreinte statuant en formation collégiale.
Le président ou le membre de la formation restreinte statueraient sur la base d'un rapport, établi par un agent des services de la CNIL sous l'autorité du président de la commission. Ce rapport serait notifié au responsable du traitement ou au sous-traitant, qui serait informé de la possibilité de se faire représenter ou assister, de présenter des observations écrites et de demander à être entendu.
Les décisions prises dans le cadre de cette procédure simplifiée ne pourraient être rendues publiques .
Sur ce point, le Sénat , sur le rapport de Mathieu Darnaud et de Françoise Gatel, avait choisi de renforcer les garanties et exigences applicables à la procédure simplifiée . Il avait ainsi expressément inscrit la possibilité pour le mis en cause de se faire représenter ou assister au cours de la procédure simplifiée ; prévu une procédure d'habilitation des agents chargés d'élaborer le rapport et renvoyé à un décret en Conseil d'État le soin de prévoir les garanties qui leur seraient applicables en matière de prévention des conflits d'intérêt ; précisé les modalités d'information des membres de la formation restreinte des décisions prises selon la procédure simplifiée.
L'Assemblée nationale, par l'adoption d'amendements des rapporteurs, a repris l'ensemble de ces garanties et exigences , en ne figeant cependant pas dans la loi le moment auquel les décisions prises dans le cadre de la procédure simplifiée seraient communiquées à la formation restreinte.
L'article proposé reprend ainsi l'essentiel des modifications apportées par le Sénat lors de son examen à l'occasion du projet de loi relatif à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l'action publique locale . La CNIL estime que les mesures proposées permettraient d'augmenter significativement le niveau de conformité des responsables de traitement soit directement, en leur adressant plus systématiquement des mesures correctrices, soit indirectement en ayant une politique répressive dissuasive à l'égard de « petits acteurs » qui ne pensent pas être la cible des sanctions de la CNIL. La commission a donc adopté cet article sans modification.
La commission a adopté l'article 19 sans modification .
Article 20
Diverses coordinations outre-mer
L'article 20 procède aux coordinations nécessaires afin que le projet de loi puisse s'appliquer dans les territoires ultramarins soumis au principe de spécialité législative. Le Gouvernement serait également habilité à légiférer par ordonnance afin d'adapter et d'étendre les dispositions du projet de loi dans les collectivités ultramarines, qu'elles soient régies par l'article 73 ou par l'article 74.
La commission a rendu applicable les modifications du code de la sécurité intérieure réalisées par le projet de loi dans les collectivités régies par l'article 74 de la Constitution.
L'article procéderait en premier lieu à plusieurs coordinations , afin de rendre les dispositions du projet de loi applicables dans les territoires ultramarins.
Coordinations réalisées par l'article 20 du projet de loi
|
Dispositions de
|
Articles de loi modifiés |
Objet de la coordination |
|
I |
Article 711-1 du code pénal |
Applicabilité des articles 1 er , 1 er bis, 2, 4, 5, 15 en Nouvelle-Calédonie, en Polynésie française etdans les îles Wallis et Futuna |
|
II |
Article 804 du code de procédure pénale |
Applicabilité des articles 3, 3 bis, 3 ter, 6, 12, 15 bis, 16 en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna |
|
III |
Articles L. 721-1, L. 722-1
|
Applicabilité des articles 12, 13 et 16 en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna |
|
IV |
Articles L. 523-25, L. 552-19 et L. 562-35 du code de l'organisation judiciaire |
Applicabilité de l'article 14 en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna |
|
V |
Article 125 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés |
Applicabilité de l'article 19 du projet de loi, relative aux procédures répressives de la Commission nationale de l'informatique et des libertés, en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et dans les Terres australes et Antarctiques françaises |
L'article 20 ne prévoit cependant pas de rendre applicables les modifications du code de la sécurité intérieure réalisées par le projet de loi dans les collectivités ultramarines régies par le principe de spécialité. Sont plus particulièrement concernés l'article 6, relatif à la réserve opérationnelle de la police nationale, les articles 7, 8 et 9, relatifs à la captation d'images par les forces de sécurité intérieure et les douanes, et les articles 10 à 11, relatifs au renforcement du contrôle des armes.
Ces dispositions sont toutefois pertinentes, y compris dans les collectivités régies par l'article 74. La commission les y a donc étendues par l'adoption d'un amendement COM-47 des rapporteurs.
L'article habiliterait en second lieu le Gouvernement à légiférer par voie d'ordonnance afin de prendre les mesures relevant du domaine de la loi nécessaires à l'adaptation et à l'extension des dispositions du projet de loi dans les collectivités ultramarines , qu'elles soient régies par l'article 73 ou par l'article 74.
Cette ordonnance devrait être prise dans un délai d'un an à compter de la promulgation du projet de loi, et un projet de loi de ratification devrait être déposé devant le Parlement dans un délai de trois mois à compter de la publication de l'ordonnance.
La commission a adopté l'article 20 ainsi modifié .
* 72 Article 20 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .
* 73 Article 16 de la loi n° 78-17 du 6 janvier 1978 précitée.
* 74 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE .
* 75 Les avertissements correspondaient avant 2018 à un rappel à l'ordre de l'organisme. Il s'agit désormais d'une mesure prise lorsqu'un traitement de données envisagé (donc non mis en oeuvre) est susceptible de méconnaître le RGPD ou la loi. C'est une mesure prise par le Président de la CNIL et non la formation restreinte.
* 76 Rapport n° 723 (2020-2021) de M. Mathieu Darnaud et Mme Françoise Gatel, sur le projet de loi relatif à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l'action publique locale , fait au nom de la commission des lois, déposé le 30 juin 2021. Ce rapport est consultable à l'adresse suivante :
http://www.senat.fr/rap/l20-723/l20-723.html
* 77 Dont le montant ne pourrait excéder 100 euros par jours de retard.
* 78 Le montant de l'astreinte ne pourrait dans ce cas pas dépasser 100 euros par jours de retard.
* 79 Le montant de l'amende ne pourrait dans ce cas excéder 20 000 euros.