Contrôle Cnil : quelles mesures et sanctions en cas d’infraction à la Loi Informatique et Libertés

Publié le 04/02/2008 - CIO Online

Cinquième épisode d’une série sur les droits et obligations de l’entreprise en matière de données personnelles.

Un contrôle a posteriori. La Cnil a bien sûr toujours pour mission de traiter les déclarations et les demandes d’autorisation concernant les fichiers, ainsi que les plaintes, réclamations ou demandes d’avis dont elle est saisie. Depuis la loi du 6 août 2004, elle dispose de pouvoirs renforcés lui permettant d’exercer un contrôle a posteriori plus efficace. Le dispositif légal a été précisé par le décret du 20 octobre 2005 (titre IV).Elle peut ainsi procéder de sa propre initiative à la vérification de la conformité des fichiers aux obligations prévues par la loi, au besoin par des contrôles (entre 6 h et 21 h) dans tout local professionnel servant à l’exploitation d’un fichier et aux matériels qu’il contient. La Cnil peut également demander communication de tous documents nécessaires à l’accomplissement de sa mission quel qu’en soit le support et peut en prendre copie. Elle peut requérir l’assistance d’experts et, en cas d’opposition du responsable, une autorisation judiciaire auprès du président du tribunal de grande instance (L. 6 janv. 1978, art. 44).

La Cnil est également autorisée à exercer son contrôle sur tout traitement mis en oeuvre, même partiellement, sur le territoire français, y compris si le responsable du traitement est établi dans un autre État membre de l’Union européenne (L. 6 janv. 1978, art. 48), à moins cependant que les données ne fassent qu’y transiter. La Cnil est aussi habilitée, sur saisine d’une « autorité exerçant des compétences analogues aux siennes dans un autre État membre », à procéder à des vérifications dans les mêmes conditions (L. 6 janv. 1978, art. 49).

Mesures et sanctions. En cas de non-respect de la loi, la Cnil peut délivrer un avertissement au responsable du traitement ou encore le mettre en demeure de faire cesser le manquement constater, dans un délai qu’elle est libre de fixer.

La Cnil peut également prononcer des sanctions pécuniaires (y compris à l’égard d’associations ou de personnes morales qui ne tirent pas de « profit » des traitements des données), sauf dans le cas où le traitement est mis en oeuvre par l’Etat.

Elle peut également faire injonction de cesser un traitement, lorsque ce traitement est un traitement automatisé de données à caractère personnel faisant l’objet d’une déclaration auprès de la CNIL (en application de l’article 22), ou nécessitant une autorisation de la CNIL (en application de l’article 25).

En cas d’urgence, lorsque la mise en oeuvre d’un traitement ou l’exploitation des données traitées porte atteinte à l’identité humaine, aux droits de l’homme, au droit à la vie privée ou aux libertés individuelles ou publiques, la Cnil peut décider, après la mise en oeuvre d’une procédure contradictoire (i) d’interrompre la mise en oeuvre de tels traitements, pour une durée maximale de trois mois, à l’exception des traitements mentionnés au I (traitements Etat sécurité et infractions pénales sans données à caractère politique, philosophique… santé et vie sexuelle) et au II (traitements Etat sécurité et infractions pénales avec données à caractère politique, philosophique… santé et vie sexuelle) de l’article 26, ou de ceux mentionnés à l’article 27 (traitements NIR, biométrie, recensement, téléservices) mis en oeuvre par l’Etat ; (ii) de verrouiller certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement ne figure pas parmi les traitements énumérés aux I et II de l’article 26 ; (iii) d’en informer le premier ministre, pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement est au nombre de ceux mentionnés au I ou II de l’article 26. Le premier ministre est dans l’obligation d’informer la commission des suites qu’il a données au traitement, au plus tard 15 jours après l’avoir reçu.

En cas d’atteinte grave et immédiate aux droits et libertés susvisées, le président de la commission peut également demander, par voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.

Enfin, la Cnil peut rendre publics les avertissements qu’elle prononce (art. 26). En cas de mauvaise foi du responsable de traitement, elle peut ordonner l’insertion de toute sanction qu’elle prononce dans des publications, journaux et supports qu’elle désigne. Les frais de cette publication sont supportés par les personnes sanctionnées.

Respect du contradictoire. Il convient d’observer que les mesures ou sanctions prévues par la loi informatique et libertés ne peuvent être prononcées par la Cnil qu’à l’issue d’une procédure contradictoire.

D’autre part, lorsque la Cnil décide de prononcer, à l’encontre d’un responsable de traitement, une sanction, prenant la forme d’une sanction pécuniaire, d’une injonction de cesser le traitement entrepris, ou l’interruption de la mise en oeuvre du traitement, celle-ci doit être fondée sur un rapport établi par l’un des membres de la commission (Loi inf. et lib., art. 46). Ce rapport doit avoir été notifié au responsable du traitement, lequel peut déposer des observations et se faire représenter ou assister. En effet, toute mesure ou sanction doit être motivée et notifiée à ce dernier.
Les décisions de la Cnil peuvent faire l’objet d’un recours devant le Conseil d’Etat.

Des sanctions proportionnées. Le montant des sanctions prononcées par la Cnil doit nécessairement être proportionné à la gravité des manquements commis et aux avantages tirés de ces manquements. Cet article fixe également certains plafonds que le montant de cette sanction ne peut dépasser lorsque certaines circonstances sont réunies.

Ainsi, il est précisé que le montant de la sanction ne peut excéder 150 000 € lorsqu’il s’agit du premier manquement aux obligations légales commis par le responsable concerné. Dans l’hypothèse d’un manquement réitéré, commis dans un délai de 5 ans, à compter de la date à laquelle la sanction précédemment prononcée est devenue définitive, le montant de cette nouvelle sanction ne peut excéder 300 000 € ou, s’agissant d’une entreprise, 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300 000 € (L. 6 janv. 1978, art. 46 et 47). Enfin, lorsque la Cnil prononce une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou sur des faits connexes, ce dernier peut ordonner que cette sanction pécuniaire s’impute sur l’amende qu’il prononce.

Des moyens renforcés. La loi sanctionne pénalement l’opposition à l’exercice de la mission de la Cnil, et notamment le refus de communiquer les renseignements et documents utiles à sa mission (L. 6 janv. 1978, art. 51 et 52). Si la Cnil disposait déjà d’un pouvoir d’enquête sous le régime de la loi du 6 janvier 1978, elle était cependant dépourvue de tout moyen contraignant pour le mettre en oeuvre. De surcroît, ses constatations ne pouvaient, le cas échéant, donner lieu qu’à un avertissement ou à une dénonciation au Parquet, si les faits identifiés étaient constitutifs d’une infraction pénale.

Autres publications