Presse Edition

pub
Recherche

Menu Presse Edition Juridique Archives Presse Edition Archives

Le renforcement du rôle de la CNIL avec le projet de « loi pour une République numérique » par Maître Muriel Assuline, Assuline & Partners

Le renforcement du rôle de la CNIL avec le projet de « loi pour une République numérique » par Maître Muriel Assuline, Assuline & Partners

 Presse Edition 11/05/2016

Le projet de « loi pour une République numérique » adopté en première lecture à l´Assemblée nationale le 26 janvier 2016 et qui sera examiné par la suite au Sénat entre le 26 avril et 3 mai 2016 prévoit une série d´évolutions des missions et des pouvoirs de sanction de  la Cnil ayant vocation à consolider la protection des données personnelles et à responsabiliser les acteurs de l´internet dans la société numérique.

 

Le projet de « loi pour une République numérique », présenté en Conseil des ministres le 9 décembre 2015, par Axelle Lemaire, Secrétaire d'État chargée du Numérique, a été adopté en première lecture à l´Assemblée nationale le 26 janvier 2016. Le texte sera par la suite débattu en séance publique au Sénat entre 26 avril et 3 mai 2016.

 

Il faut en outre rappeler que  ce projet de loi est le fruit d´une large consultation directe ayant mobilisé plus de 21 000 citoyens. Soumis à une discussion publique, il est le premier texte co-écrit avec les internautes.

 

Le texte donne un cadre à plusieurs évolutions technologiques majeures. Ayant vocation à accompagner la transition numérique, le projet de loi aborde de nombreux sujets liés au numérique. L´un de ses trois volets porte sur la protection des citoyens dans la société numérique, dont les principales mesures se concentrent sur la protection de personnes concernées par le traitement. Ainsi, le texte prévoit à la fois l´évolution des missions de la Cnil et le renforcement de ses pouvoirs de sanction.

 

Une évolution des missions
Le projet de loi prévoit une série d’évolutions des missions de la Cnil, qui se traduiraient en premier lieu par son association plus étroite à l’adoption de dispositions touchant à la protection des données personnelles. À cet égard, le projet de loi clarifie le fait que la Commission est saisie pour avis sur tout projet de loi ou décret comportant des dispositions relatives à la protection ou au traitement des données personnelles (article 29, 1°). L´avis de la commission sur un projet de loi sera rendu public.

 

Par ailleurs, les missions générales de la Cnil de veiller au respect de la loi « Informatique et libertés » du 6 janvier 1978 font l’objet d’un certain nombre de propositions d’évolution. Ainsi, le projet de loi prévoit que la commission « conduira des réflexions sur les problèmes éthiques et les questions de société soulevés par l´évolution des technologies numériques ». En outre, elle devra promouvoir

« l´utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ». Enfin, l´article 30 du projet de loi prévoit que la Commission pourra certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification de la conformité à la loi « Informatique et Libertés » du 6 janvier 1978 de processus d´anonymisation des données à caractère personnel.

 

Le projet de loi envisage un rapprochement entre la Cnil et la Commission d´accès aux documents administratifs (CADA), puisque les présidents des deux institutions devront siéger dans l´une et l´autre commission, les deux commissions pouvant désormais se réunir en un collège unique sur les sujets d´intérêt commun. Cela devrait conduire les deux institutions à travailler de concert sur les questions pour lesquelles elles peuvent exercer des compétences concurrentes, notamment s’agissant des demandes de droit d’accès des personnes aux données contenues dans les documents administratifs.

 

La réorganisation de la procédure de sanction
La procédure de sanction de la Cnil a fait l´objet d´une refonte. Ainsi, une mise en demeure par le président de la Cnil devra précéder non seulement une sanction pécuniaire ou une injonction, mais également tout avertissement prononcé par la Commission. A contrario, si le manquement ne peut faire l´objet d´une mise en conformité (comme c´est le cas des failles de sécurité notamment), la Commission pourra prononcer une sanction pécuniaire ou une injonction sans aucune mise en demeure. En principe, le président de la Cnil fixe le délai pendant lequel le responsable du traitement devra faire cesser le manquement. En cas d’extrême urgence, ce délai peut être ramené à vingt-quatre heures.

 

De plus, la capacité de saisine par la Cnil du juge des référés est élargie, passant de la possibilité de demander toute mesure de sécurité nécessaire à la sauvegarde des droits et libertés, à celle de demander « toute mesure nécessaire ».

 

Le projet a ajouté une disposition sur la mesure que la formation restreinte de la Cnil peut ordonner en matière de publicité des sanctions. Désormais, la Cnil pourra imposer au responsable de traitement l´obligation d’informer individuellement de cette sanction chacune des personnes concernées par le traitement.

 

Une augmentation considérable du plafond de la sanction pécuniaire
Lors de la première lecture du projet à l´Assemblée nationale, un article a été ajouté sur les sanctions pécuniaires pouvant être prononcées par la Cnil. Ainsi, le montant de la sanction pécuniaire doit rester proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. Néanmoins, le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d´atténuer ses effets négatifs, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la Commission devront être pris en compte. En ce qui concerne le plafond de la sanction pécuniaire, le projet de loi prévoit que le montant de la sanction ne pourra excéder 20 millions d´euros ou, dans le cas d’une entreprise, 4 % du chiffre d’affaires annuel total au niveau mondial réalisé lors de l’exercice précédant l’exercice au cours duquel le manquement a été commis, si ce montant est plus élevé

(article 33 Bis B). Pour des manquements moins graves, le projet prévoit un montant maximal de 10 millions d´euros ou s´agissant d´une entreprise, de 2% du chiffre d´affaires annuel total au niveau mondial réalisé lors de l´exercice précédant l´exercice au cours duquel le manquement a été commis.

 

Cette rectification a été effectuée dans un objectif de rapprochement avec le projet de Règlement européen relatif à la protection des données du 25 janvier 2012. En effet dans le texte du projet de Règlement issu des négociations interinstitutionnelles le 17 décembre 2015, le plafond des amendes pouvant être prononcées par les autorités nationales de contrôle s´élève à 20 millions d’euros ou, pour les entreprises, à 4 % du chiffre d’affaires annuel mondial dans le cas de violation des obligations relatives notamment au consentement, aux droits des personnes concernées, aux transferts de données hors de l´Union européenne ou à la violation de certaines injonctions d´une autorité de protection des données personnelles. Le projet de Règlement prévoit un plafond réduit à 10 millions d´euros ou, pour les entreprises, à 2% du chiffre d´affaires annuel mondial dans le cas de violation des obligations relatives au consentement des enfants, au traitement de données anonymisées, à la coopération entre responsable et sous-traitant, à la sécurité des traitements, à la notification des manquements, à la mise en œuvre de l´évaluation de l´impact Informatique et libertés des traitements et à la certification.

 
L´augmentation des pouvoirs de sanction des autorités de protection des données s´inscrit dans la logique de l´arrêt « Schrems » (CJUE, 6 octobre 2015, affaire C-362/14, Maximillian Schrems / Data Protection Commissioner) qui a réaffirmé l´autonomie des autorités de contrôle par rapport aux décisions de la Commission européenne.

 

D´ailleurs, ce niveau de sanction qui est double de celui de la proposition de la Commission européenne reflète la volonté des autorités européennes de responsabiliser certains acteurs du numérique. En ce sens, on se souvient que la Cnil, dans sa décision contre Google concernant les imprécisions de sa politique de données personnelles (Cnil, Délibération n.2013-420 de la formation restreinte prononçant une sanction pécuniaire à l´encontre de la société Google Inc.) n´avait pu prononcer qu´une amende de 15.000 euros (soit le chiffre d´affaires réalisé par Google en 2 minutes). Or, le renforcement des pouvoirs de sanction des autorités de contrôle nationales devrait donner au droit Informatique et Libertés une place aussi importante en termes de gestion du risque pour les entreprises, que le droit de la concurrence.

www.avocat-paris-assuline.com