Allez au contenu, Allez à la navigation

Projet de loi relatif à la protection des données personnelles

14 mars 2018 : Protection des données personnelles ( rapport - première lecture )

EXAMEN DES ARTICLES
TITRE IER - DISPOSITIONS D'ADAPTATION COMMUNES AU RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 ET À LA DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016

Le titre Ier du projet de loi procède à la modification de certains articles de la loi Informatique et libertés pour les rendre compatibles avec le droit de l'Union européenne tel qu'il résulte de l'adoption du « paquet européen sur la protection des données personnelles ».

À cet égard, si le règlement est, certes, par nature, une norme directement applicable dans tous les États membres, qui entre en vigueur indépendamment de toute disposition du droit national, et qui peut être invoquée directement par les sujets de droit, les États membres doivent cependant, comme l'a rappelé récemment la Commission européenne, « prendre les mesures requises pour adapter leur législation en abrogeant et en modifiant les lois existantes [et] en instituant des autorités nationales de protection des données »18(*).

La Commission rappelle en outre que selon une jurisprudence constante de la Cour de justice de l'Union européenne, il n'est pas seulement inutile mais interdit de reproduire le contenu d'un règlement européen dans le droit national, (répéter des définitions ou les droits des individus, par exemple) « sauf si ces répétitions sont absolument nécessaires à des fins de cohérence et afin de rendre la législation nationale compréhensible ».

CHAPITRE IER - DISPOSITIONS RELATIVES À LA COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS

Article 1er (art. 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Missions et outils de la Commission nationale de l'informatique et des libertés

L'article 1er du projet de loi vise à adapter les missions et les outils de la Commission nationale de l'informatique et des libertés (CNIL) aux évolutions du cadre juridique européen. Il remplace son rôle de contrôle administratif préalable par une logique d'accompagnement de la conformité (« compliance ») tout au long du cycle de vie des données et privilégie le recours aux outils du « droit souple ».

1. Les missions et outils juridiques de la CNIL : un enrichissement continu pour faire face aux évolutions du numérique

En l'état du droit, les quatre grandes missions dévolues à la CNIL et les principaux moyens d'actions et outils juridiques dont elle dispose à ces fins sont récapitulés à l'article 11 de la loi Informatique et libertés :

- au titre de sa mission générale d'information, la CNIL répond aux demandes de renseignements du public (155 000 appels téléphoniques en 2017) et met à disposition fiches, guides et documents sur son site Internet (4,4 millions de visiteurs, soit + 70 % par rapport à 2016) ;

- pour veiller au respect de la loi, elle est destinataire des formalités préalables obligatoires (déclarations, demandes d'avis ou d'autorisation) avant la mise en oeuvre des traitements de données personnelles (150 autorisations et 200 avis émis en 2017), elle est dotée d'un pouvoir normatif (autorisations uniques, méthodologies de référence, normes simplifiées, actes réglementaires uniques), elle traite les plaintes des particuliers (6 766 reçues), dispose de pouvoirs de contrôle (341 contrôles réalisés, dont 256 sur place, 65 en ligne, 16 sur pièces et 4 auditions) et de pouvoirs de sanction (79 mises en demeure et 14 sanctions prononcées : 9 pécuniaires, dont 6 publiques, et 5 avertissements, dont 2 publics) ;

- sa mission de conseil et d'accompagnement des responsables de traitements la conduit à participer à l'établissement des règles professionnelles relatives à la protection des données personnelles, notamment par la délivrance d'avis, de conseils généraux, et l'élaboration de normes de « droit souple » (recommandations, labels, « packs de conformité » co-construits avec les secteurs d'activité concernés - assurance, véhicule connecté, compteurs communicants, logement social, accompagnement des seniors...) ;

- au titre de sa mission de veille et de suivi de l'évolution des technologies de l'information et de leurs conséquences sur la protection des données, sa consultation obligatoire est prévue notamment sur les projets de loi ou de décret intervenant en la matière.

Les missions confiées à la CNIL ont été régulièrement enrichies depuis 1978 pour adapter le cadre de la régulation des données personnelles à l'évolution rapide des technologies numériques. Ces dernières années encore, le législateur a complété ces missions, chargeant notamment l'autorité :

- de contrôler, via une personnalité qualifiée désignée en son sein, le bien-fondé des décisions de blocage administratif prises par le ministère de l'intérieur à l'encontre de sites internet en lien avec le terrorisme et la pédopornographie (loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme) ;

- et, par anticipation de plusieurs des enjeux traités par le RGPD alors en cours de négociation, de mener des réflexions sur les enjeux éthiques du numérique, de promouvoir l'utilisation des technologies protectrices de la vie privée (notamment le chiffrement des données) et de certifier certains processus d'anonymisation (loi n° 2016-1321 du 7 octobre 2016 pour une République numérique).

2. Les changements induits par le RGPD dans les missions des régulateurs nationaux

Le nouveau cadre juridique européen abandonne, pour l'essentiel, la logique actuelle qui reposait sur un contrôle préalable des traitements de données personnelles via un régime de formalités préalables (obligations déclaratives ou nécessité d'autorisation). Il privilégie, à la place, une logique de « responsabilisation » des acteurs tout au long du cycle de vie des données personnelles, dont la protection devra désormais :

- être d'abord assurée dès la conception du service ou du produit (« privacy by design ») et en minimisant l'usage des données au strict nécessaire en fonction de la finalité du traitement (« privacy by default ») ;

- faire ensuite l'objet d'un suivi continu par les responsables et leurs sous-traitants qui devront être en mesure de démontrer à tout moment leur conformité au règlement (en se dotant de procédures appropriées - registre des traitements pour les grandes structures, analyses d'impact sur la vie privée en cas de risque - voire de moyens humains dédiés - délégués à la protection des données désormais obligatoires dans certains cas19(*)).

Les autorités nationales, dont les outils de coopération à l'échelle européenne et les pouvoirs de sanction sont particulièrement renforcés, se voient dotées d'une véritable fonction de régulation, mettant l'accent sur leur rôle d'accompagnement des responsables de traitement, en privilégiant les outils de droit souple, et leurs fonctions de conseil auprès des autorités publiques (exécutif, Parlement, juridictions) sont réaffirmées.

3. Le texte proposé

L'article 1er du projet de loi transmis procède à une large réécriture de l'article 11 de la loi Informatique et libertés pour tirer les conséquences de ces changements. Il adapte les missions et la panoplie d'outils juridiques de la CNIL, explicitement désignée comme autorité nationale au sens et pour l'application du RGPD (et plus largement chargée de veiller en France au respect de l'ensemble des normes nationales, européennes et internationales relatives à la protection des données). Pour ce faire, le texte proposé conserve certes l'articulation entre les quatre grandes missions de l'autorité, mais :

- il supprime d'abord certaines références au rôle de la CNIL dans le contrôle des formalités administratives préalables obligatoires ;

- il la dote, en échange, de moyens nouveaux pour mener à bien sa mission de régulation. Il attribue ainsi à la CNIL le pouvoir d'adopter des lignes directrices, recommandations et référentiels (instruments de droit souple destinés à faciliter la mise en conformité et l'évaluation préalable des risques inhérents à certains traitements)20(*), d'homologuer et publier les méthodologies de référence (dans le domaine des données de santé) et d'encourager la production de codes de conduite (par les représentants de certaines catégories de responsables du traitement) ;

- il complète aussi son pouvoir normatif de droit « dur » et lui donne compétence pour établir des « règlements types » (afin d'assurer la sécurité des systèmes de traitement de données et de régir les traitements des données biométriques, génétiques et de santé) ;

- il élargit le périmètre des mécanismes de certification21(*) dont elle a la charge (labels et marques appliqués à des personnes, des produits, des systèmes de données ou des procédures) ;

- il charge la CNIL d'actions de sensibilisation sur la protection des données auprès des médiateurs (médiateurs de la consommation et médiateurs publics)22(*) ;

- il étend la possibilité de consulter la CNIL sur une proposition de loi relative à la protection des données personnelles non seulement aux présidents des assemblées parlementaires (texte du projet de loi initial) mais encore au président d'une commission permanente (ajout de l'Assemblée nationale en commission) ou d'un groupe parlementaire (ajout de l'Assemblée nationale en séance) ;

- il prévoit, enfin, que l'autorité puisse présenter des observations devant toute juridiction à l'occasion de certains litiges en matière de protection des données.

Les nouveaux outils juridiques de la CNIL

Type

Normes

Rôle de la CNIL

But

Instrument de droit « souple »

Lignes directrices, recommandations ou référentiels

Établissement et publication

Faciliter la mise en conformité

ou l'évaluation préalable des risques

Codes de conduite

Encouragement
(+ approbation et homologation
cf. art. 40 RGPD)

Définir sectoriellement les obligations compte tenu du risque

Méthodologies de référence

Homologation et publication

Favoriser la conformité (données de santé)

Instrument de droit classique

Règlements types

Établissement et publication

Assurer la sécurité des systèmes et régir les traitements (données biométriques, génétiques et de santé)

Certificat (label, marque, etc.)

Certification

Reconnaître que des personnes, des produits, des systèmes de données ou des procédures se conforment au RGPD
et à la loi

Agrément (d'un organisme certificateur)

Agrément

Référentiels de certification et d'agrément

Élaboration ou approbation des critères

4. La position de votre commission

Des moyens sous-dimensionnés qui risquent de fragiliser la mise en oeuvre du RGPD et l'indépendance matérielle de l'autorité

Alors que l'application du nouveau cadre juridique européen dépend désormais largement des capacités d'accompagnement dont dispose le régulateur auprès des citoyens, des acteurs économiques et des pouvoirs publics, la CNIL avertit depuis plusieurs mois les pouvoirs publics qu'elle ne dispose pas, en l'état, des capacités matérielles d'exercer efficacement ses nouvelles missions.

Votre rapporteur constate que, ces dernières années, l'autorité a déjà dû assurer à moyens constants des missions pourtant déjà constamment enrichies. Elle se doit dès lors d'exprimer a fortiori sa vive inquiétude face aux moyens manifestement insuffisants dont l'autorité dispose pour pouvoir prétendre, dès mai 2018 :

assumer les nouvelles missions créées par le règlement et gérer les flux considérables de nouvelles demandes à traiter (gestion des notifications de failles de sécurité23(*) ; pilotage et homologation des nouveaux outils de conformité - analyses d'impact, mécanismes de certification et d'agrément des tiers certificateurs, codes de conduite, « binding corporate rules », instruments de transferts de données, etc. -  suivi d'un vivier démultiplié de délégués à la protection des données24(*), traitement des plaintes et réclamations relatives aux nouveaux droits - droit à la portabilité, droit à la limitation du traitement) ;

coopérer avec ses homologues européennes (participation à des opérations de contrôle conjointes, assistance mutuelle, dialogue entre autorités sur certains projets de décision, etc.) et participer aux travaux du comité européen de la protection des données) ; à cet égard, votre rapporteur a bien conscience qu'une participation active de la CNIL n'est pas qu'une obligation du RGPD, mais aussi le vecteur de rayonnement, au niveau européen, de le conception française de la protection des données longtemps pionnière en la matière et fortement concurrencée par des logiques inspirées du droit anglo-saxon ;

accompagner les acteurs économiques et les personnes publiques sur le terrain (en développant sa fonction de conseil et les outils de droit souple comme les « packs de conformité » négociés et co-construits avec les secteurs d'activité concernés).

Interrogé par votre rapporteur, le Gouvernement n'a pas apporté de réponse réellement satisfaisante à ce problème budgétaire qu'il songe, éventuellement, à aborder lors de la discussion du projet de loi de finances pour 2019.

Si ce problème ne peut donc pas, certes, être résolu à ce stade par une réponse législative, votre rapporteur rappelle toutefois solennellement que le droit européen consacre des développements particuliers à la dimension matérielle de l'indépendance des régulateurs nationaux25(*), et que la Commission européenne a d'ores et déjà annoncé qu'elle serait attentive à ce problème, soulignant dans une récente communication relative à la bonne application du RGPD au 25 mai 2018 que « le relatif déséquilibre existant entre les ressources humaines et financières qui [sont allouées aux autorités] dans les différents États membres peut nuire à leur efficacité et, en définitive, à la complète indépendance requise en vertu du règlement ».

Mieux reconnaître les besoins spécifiques d'accompagnement des collectivités territoriales par la CNIL

Votre rapporteur déplore que le projet de loi ait laissé totalement de côté le cas des collectivités territoriales, qui ne sont pas mentionnées dans le texte transmis, alors même :

- qu'elles sont concernées au premier chef par les nouvelles règles du RGPD, étant responsables de nombreux traitements sur lesquels elles n'ont souvent pas prise, car découlant d'obligations légales et réglementaires (par exemple, et comme l'a rappelé à votre rapporteur l'Assemblée des départements de France, un département moyen assume environ 300 traitements différents26(*), certains pouvant concerner des données sensibles) ;

- et qu'elles devront assumer seules des coûts importants et spécifiques de mise en conformité (nomination d'un délégué à la protection des données et affectation des ressources correspondantes, adaptation de certaines applications existantes, renforcement de la sécurité en cas de données sensibles, réponse à l'exercice des nouveaux droits des particuliers, etc.)

Les discussions à l'Assemblée nationale n'ont hélas pas permis de corriger les lacunes initiales du texte, car si les députés sont restés attentifs, à juste titre, au sort des TPE/PME, les collectivités territoriales ont été, là encore, totalement négligées dans les débats.

Face aux inquiétudes légitimes des élus locaux que le Sénat a la mission de représenter, votre commission a adopté un amendement COM-28 de son rapporteur pour s'assurer que l'action de la CNIL sera adaptée aux spécificités, aux besoins et aux moyens des collectivités, notamment des plus petites, tant dans sa mission d'accompagnement et d'information que dans son rôle normatif (notamment lors de l'édiction de règles de droit souple).

Revenir à une consultation de la CNIL sur les propositions de loi par les présidents des assemblées parlementaires

Le RGPD donne à l'autorité nationale de régulation une mission générale de conseil auprès des parlements nationaux27(*) ; il garantit en outre le droit de l'autorité d'émettre des avis à l'attention du Parlement (sur demande, voire spontanés)28(*) ; enfin, il prévoit même, dans certains cas, une consultation préalable obligatoire de l'autorité de régulation par l'État dans le cadre de l'élaboration de certaines propositions de mesures législatives29(*).

Dans ce contexte juridique nouveau, et alors même que l'inscription dans la loi d'une procédure de consultation de la CNIL sur les propositions de loi avait été à juste titre écartée par le Conseil d'État puis à l'initiative du Sénat lors des débats sur le projet de loi « République numérique », votre rapporteur a jugé compréhensible que le Gouvernement souhaite que la loi Informatique et libertés mentionne désormais explicitement la possibilité pour le Parlement de consulter l'autorité.

Il lui a semblé néanmoins qu'une saisine directe de la CNIL par d'autres personnalités que les présidents des assemblées romprait trop avec les mécanismes classiques qui régissent les relations institutionnelles entre le Parlement et les autorités administratives indépendantes (à cet égard, la CNIL elle-même s'est montrée inquiète du risque que poserait à ses capacités de réponses un trop grand élargissement des autorités habilitées à la saisir).

Votre rapporteur a, en revanche, jugé souhaitable de mentionner, par souplesse et par parallélisme avec les dispositions régissant la consultation de la CNIL sur les projets de loi, la possibilité d'une consultation sur certaines dispositions seulement d'une proposition de loi

À ces fins, votre commission a adopté l'amendement COM-30 de son rapporteur prévoyant une possibilité de consultation de la CNIL, par les seuls présidents des assemblées parlementaires, sur toute proposition de loi ou sur toute disposition d'une proposition de loi relative à la protection ou au traitement des données à caractère personnel.

En tout état de cause, votre rapporteur rappelle que la CNIL, comme toute autorité administrative indépendante, peut déjà répondre aux sollicitations ou solliciter directement le Parlement sans qu'il soit besoin pour cela d'en formaliser la procédure, et qu'à ce titre elle est d'ailleurs régulièrement entendue par les commissions permanentes pour éclairer tant leurs travaux législatifs que leurs travaux de contrôle.

Votre commission a également adopté, à l'initiative de son rapporteur, un amendement rédactionnel COM-29, un amendement COM-32 supprimant une disposition obsolète relative à la consultation de l'ARCEP par la CNIL et un amendement COM-31 harmonisant le champ des interventions de la CNIL devant certaines juridictions.

Elle a adopté l'article 1er ainsi modifié.

Article 1er bis (supprimé) (art. 4 bis de l'ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires.) - Procédure de saisine de la CNIL sur certaines propositions de loi

Introduit par l'Assemblée nationale, l'article 1er bis tend à créer un mécanisme de consultation facultative de la CNIL sur toute proposition de loi relative à la protection ou au traitement des données personnelles, aligné sur la procédure prévue lors de la saisine du Conseil d'État sur une proposition de loi : saisine par le président d'une assemblée parlementaire, pour une proposition de loi déposée par un membre de son assemblée, avant l'examen de cette proposition en commission, l'auteur disposant d'un délai de cinq jours francs pour s'y opposer.

Sur le principe, d'abord, votre rapporteur rappelle que l'inscription dans la loi d'une procédure formelle encadrant la consultation de la CNIL sur les propositions de loi avait été envisagée lors des débats sur le projet de loi « République numérique » et écartée par le Conseil d'État (au stade de l'avant-projet), puis par le Sénat (lorsque la mesure avait été réintroduite par amendement à l'Assemblée nationale) aux motifs que :

- la CNIL est une autorité administrative indépendante qui peut déjà répondre aux sollicitations ou solliciter directement le Parlement sans qu'il soit besoin d'en formaliser la procédure, et qu'à ce titre elle est d'ailleurs régulièrement entendue par les commissions permanentes tant pour leurs travaux législatifs que de contrôle ;

- reconnaître un droit d'opposition de l'auteur de la proposition de loi semble faire obstacle au rôle constitutionnel de la commission, et de son rapporteur, dans l'examen d'un texte (par comparaison, la possibilité pour l'auteur d'une proposition de loi de s'opposer à une demande d'avis au Conseil d'État n'est possible que parce qu'elle est expressément prévue par la Constitution).

En outre, votre rapporteur relève l'incohérence du dispositif envisagé à la suite des ajouts de l'Assemblée nationale à l'article 1er. Le présent article ménage une possibilité d'opposition pour l'auteur d'une proposition de loi quand le président d'une assemblée parlementaire envisage de soumettre son texte pour avis à la CNIL. Or l'article 1er modifié par l'Assemblée nationale a étendu la possibilité de saisine de la CNIL aux présidents des commissions et des groupes politiques. Dès lors, prendre uniquement comme référence, pour faire partir un délai d'opposition, l'intention du « président de l'assemblée concernée » de soumettre ce texte pour avis omet de prendre en compte ces autres cas de saisine.

Estimant qu'une telle procédure était mal conçue et rigidifierait inutilement la consultation d'une autorité indépendante par le Parlement, votre commission a adopté l'amendement COM-33 de votre rapporteur et supprimé l'article 1er bis.

Article 2 (Art. 13 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Compétences des personnalités qualifiées nommées par les présidents de l'Assemblée nationale et du Sénat

L'article 2 du projet de loi vise à uniformiser les compétences requises de certaines personnalités qualifiées nommées au sein de la CNIL.

Il prévoit que les deux personnes désignées respectivement par le Président de l'Assemblée nationale et le Président du Sénat soient désormais, comme les trois personnalités nommées par décret, nommées en raison de leur qualification « pour leur connaissance du numérique ou des questions touchant aux libertés individuelles ».

La composition de la CNIL

La CNIL se compose de 18 membres :

- 4 parlementaires (2 députés et 2 sénateurs, désignés respectivement par l'Assemblée nationale et par le Sénat de manière à assurer une représentation pluraliste) ;

- 2 membres du Conseil économique, social et environnemental ;

- 6 représentants des hautes juridictions (2 conseillers d'État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des comptes) ;

- 5 personnalités qualifiées désignées par le Président de l'Assemblée nationale (1 personnalité), le Président du Sénat (1 personnalité) et en Conseil des Ministres (3 personnalités) ;

- Le président de la Commission d'accès aux documents administratifs.

Elle comprend en outre le Défenseur des droits, avec voix consultative.

Le mandat des membres est de 5 ans (pour les parlementaires, il est d'une durée égale à leur mandat électif), renouvelable une fois.

Le Président est nommé par décret du Président de la République parmi les membres pour une durée de 5 ans.

Au bénéfice d'un amendement rédactionnel COM-34, votre commission a adopté l'article 2 ainsi modifié.

Article 2 bis (art. 15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Délégation de certaines missions au secrétaire général et publicité de l'ordre du jour des réunions plénières de la CNIL

Introduit en commission par l'Assemblée nationale à l'initiative de la rapporteure de la commission des lois, l'article 2 bis du projet de loi a pour objet de permettre au Président de la CNIL, lorsqu'il en a lui-même reçu délégation de la formation plénière du collège, de subdéléguer au secrétaire général l'exercice de la mission d'information des auteurs de plaintes ou réclamations des suites données à celles-ci.

Votre commission a adopté un amendement COM-35 de son rapporteur visant à :

- supprimer la mention, ajoutée en séance par l'Assemblée nationale à l'initiative de la rapporteure de la commission des lois, qui prévoyait que l'ordre du jour des réunions plénières soit rendu public. Certes louable, cette exigence de transparence est manifestement de nature réglementaire. Elle aurait dès lors mieux sa place soit dans le décret relatif au fonctionnement de la CNIL, soit dans le règlement intérieur de l'autorité, et pourrait d'ailleurs être aisément satisfaite par un simple changement des pratiques ;

- ajouter à la liste des attributions pouvant être déléguées par la formation plénière de la CNIL au président ou au vice-président délégué celles relatives aux conseils du régulateur sur les études d'impact et aux autorisations de clauses contractuelles aux fins de transferts prévues par le RGPD ; ces décisions sont en effet, comme s'en sont ouverts les services de la CNIL à votre rapporteur, susceptibles de donner lieu à des volumes très élevés de sollicitations ;

- encadrer la possibilité pour le président et pour le vice-président délégué de la commission de déléguer leur signature (dans des conditions fixées par décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés), pour répondre aux nécessaires souplesses organisationnelles.

Votre commission a adopté l'article 2 bis ainsi modifié.

Article 3 (art. 17 et 18 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Conditions de délibération de la formation restreinte de la CNIL chargée des sanctions

Introduit à la demande du Conseil d'État, l'article 3 du projet de loi a pour objet de rehausser au niveau législatif certaines des garanties d'impartialité exigées par la jurisprudence constitutionnelle lors de l'exercice du pouvoir de sanction des autorités administratives indépendantes.

L'exercice du pouvoir de sanction de la CNIL

Dotée dès l'origine d'un pouvoir normatif et de contrôle propre, la CNIL ne pouvait cependant procéder qu'à des avertissements et des dénonciations au parquet (conformément à l'article 40 du code de procédure pénale), les manquements les plus graves aux principes de la loi Informatique et libertés ayant été érigés en infractions pénales.

Depuis 200430(*), l'autorité s'est également vu octroyer la faculté de prononcer des sanctions administratives, notamment pécuniaires. Afin de respecter l'exigence31(*) de séparation entre les fonctions de poursuite et d'instruction, d'une part, et les pouvoirs de sanction, d'autre part, la CNIL qui se réunit en principe en formation plénière, possède un organe spécial chargé de prononcer ces sanctions.

Réunie à cet effet sur convocation du président de la CNIL, la formation restreinte de la CNIL est composée de six membres élus par la commission en son sein et qui ne peuvent participer à l'exercice de certaines attributions (traitement des réclamations et des plaintes, dénonciations des infractions, exercice des pouvoirs de contrôle). Un commissaire du Gouvernement assiste à toutes les délibérations de la commission réunie en formation plénière ou en formation restreinte.

Dans l'exercice de son pouvoir de sanction, la CNIL est soumise aux exigences qui découlent de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales : les délibérations de la formation restreinte doivent notamment respecter les principes d'impartialité et d'indépendance ainsi que les droits de la défense32(*).

En 2017, selon les chiffres transmis à votre rapporteur, la CNIL a procédé à 79 mises en demeure et prononcé 14 sanctions : 9 pécuniaires, dont 6 publiques, et 5 avertissements, dont 2 publics.

L'article 3 du projet de loi prévoit, d'une part, que le commissaire du Gouvernement, s'il peut être présent aux séances de la formation restreinte compétente pour prononcer des injonctions ou imposer des sanctions, ne puisse plus assister au délibéré qui les suit et, d'autre part, que soient également exclus de ce délibéré les agents de la commission (à la seule exception de ceux chargés du secrétariat de la séance).

Il inscrit ainsi au niveau législatif, en les clarifiant, certains éléments de procédure applicables devant la formation des sanctions qui figuraient jusqu'ici au niveau réglementaire33(*).

Alors que le projet de loi, dans la logique du RGPD, renforce les pouvoirs de sanction de la CNIL (et élève considérablement le montant des amendes administratives qu'elle peut prononcer) et face au risque de voir, dès lors, se renforcer la contestation de la validité juridique de ses décisions, il semble particulièrement pertinent à votre rapporteur d'affermir les garanties procédurales des délibérations de la formation restreinte de la CNIL.

Votre commission a adopté l'article 3 sans modification.

Article 4 (art. 44 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Modalités d'exercice des pouvoirs de contrôle de la CNIL

L'article 4 du projet de loi précise et complète certaines modalités d'exercice des pouvoirs de contrôle dont dispose la CNIL.

En l'état du droit, ces pouvoirs de contrôle sont énoncés dans leur généralité à l'article 11 de la loi Informatique et libertés. L'autorité peut ainsi « procéder ou faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions ».

À ce titre, l'article 44 de la même loi, au sein de son chapitre VI (« le contrôle de la mise en oeuvre des traitements »), détaille les modalités d'exercice des différents types de contrôles que peuvent réaliser les membres et agents de la CNIL pour vérifier le respect des obligations qui incombent aux responsables de traitement : sur place, sur pièces, par audition ou en ligne.

Les pouvoirs de contrôle de la CNIL

En 2017, selon les chiffres transmis à votre rapporteur, la CNIL a réalisé 341 contrôles : 256 contrôles sur place (dont 47 concernaient la vidéoprotection), 65 contrôles en ligne, 16 contrôles sur pièces et 4 auditions.

Le droit de visite dans les locaux professionnels dont disposent les membres et agents habilités de la CNIL est triplement encadré : par son objet (il doit être limité à l'exercice des missions de la CNIL), dans le temps (les contrôles s'effectuent uniquement de 6 heures à 21 heures, règles qui s'inspirent directement de celles applicables aux perquisitions judiciaires) et dans l'espace (ils concernent tout lieu « à usage professionnel » servant à la mise en oeuvre d'un traitement de données à caractère personnel, à l'exclusion des parties affectées au domicile privé, pour protéger les lieux d'habitation, conformément à une jurisprudence constante du Conseil constitutionnel).

En outre, au titre des garanties procédurales, sont instaurées deux obligations d'information préalable : celle du procureur de la République, d'une part, et celle du responsable des lieux qui doit, d'autre part, être informé de son droit d'opposition à la visite (en cas d'opposition du responsable des lieux, ou en cas d'urgence, la visite est autorisée par le juge des libertés et de la détention sous l'autorité et le contrôle duquel elle s'effectue alors).

Sont également ouverts aux membres et agents de la CNIL, au titre de leurs pouvoirs de contrôle :

- un droit de communication et copie des documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support (ils peuvent ainsi accéder aux programmes informatiques et aux données, et en demander la transcription) ;

- un droit de recueillir tout renseignement et justification utiles, sur place ou sur convocation (en audition) ;

- et, depuis 2014, un droit de procéder à des constatations à partir d'un service de communication au public en ligne (c'est-à-dire « consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d'un tiers, le cas échéant, en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations [et les] retranscrire »), faculté particulièrement utile, selon la CNIL, lorsque lui sont signalées des failles de sécurité dans des traitements de données librement accessibles sur Internet.

Les personnes interrogées dans le cadre des vérifications faites par la CNIL sont tenues de fournir les renseignements demandés par celle-ci pour l'exercice de ses missions « sauf dans les cas où elles sont astreintes au secret professionnel » (article 21 de la loi Informatique et libertés).

Des règles spécifiques encadrent, lors des contrôles, la communication de données médicales (via un médecin). Certains traitements de sûreté réalisés par l'État peuvent, en outre, échapper entièrement à ces contrôles34(*).

Les pouvoirs de contrôle peuvent être exercés à l'égard des traitements dont les opérations sont mises en oeuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d'un autre État de l'Union européenne.

L'entrave à l'exercice des missions de la CNIL constitue une infraction pénale : faire obstacle au droit de visite des locaux professionnels autorisés par le juge des libertés et de la détention ou au droit de communication (refus, dissimulation, altération) est passible d'un an d'emprisonnement et de 15 000 euros d'amende (article 51 de la loi Informatique et libertés).

L'article 58 du RGPD dote désormais chaque autorité de contrôle de pouvoirs d'enquête précisément listés, qui comprennent notamment un droit de communication35(*) et un droit d'accès aux locaux36(*). En outre, au titre des marges de manoeuvre laissées à chaque État membre, la loi peut prévoir que l'autorité de contrôle dispose de pouvoirs supplémentaires à ceux prévus par le règlement (mais dont l'exercice ne doit pas entraver le bon fonctionnement de la coopération entre autorités européennes). Enfin, l'article 90 du règlement prévoit une marge de manoeuvre permettant aux États membres de définir comment s'opère la conciliation des obligations de secret professionnel avec ces pouvoirs de contrôle.

Le droit européen permet dès lors de maintenir inchangées la plupart des dispositions nationales actuelles relatives aux pouvoirs de contrôle.

Des modifications dans certaines modalités d'exercice de ces pouvoirs sont cependant proposées et justifiées, selon le Gouvernement, par la nécessité de renforcer l'effectivité des contrôles de la CNIL dans un contexte juridique marqué par la suppression des formalités préalables obligatoires.

À ce titre, le projet de loi transmis par l'Assemblée nationale :

- précise le type de locaux dans lesquels la CNIL peut procéder à des contrôles sur place en étendant cette possibilité à l'ensemble de ceux qui ne sont pas affectés, en tout ou en partie, au domicile privé. La limitation actuelle des contrôles aux seuls locaux « à usage professionnel » se prêtait en effet, selon le Conseil d'État, à des difficultés d'interprétation (lorsque les matériels servant aux traitements de données à contrôler étaient installés, par exemple, dans un couloir, dans un espace mixte ou partagé avec d'autres utilisateurs) ;

- précise les conditions dans lesquelles le secret peut être opposé aux contrôles de la CNIL ; seul peut désormais être opposé aux membres et agents de la CNIL le secret professionnel applicable aux relations entre un avocat et son client, le secret des sources des journalistes ou le secret médical. Dans ce dernier cas, la communication de données médicales relevant de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de service de santé ne pourra être requise que sous l'autorité et en la présence d'un médecin ;

- autorise, afin de les prémunir du risque de contestations fondées sur la violation du principe de loyauté dans la collecte des preuves, le recours à une identité d'emprunt dans le cadre des contrôles par la CNIL des services de communication au public en ligne. À cet égard, votre commission a adopté un amendement COM-17 de M. Raynal, sous amendé pour des raisons rédactionnelles par votre rapporteur (COM-91), proscrivant à peine de nullité, les actes des agents ayant recours à une identité d'emprunt puissent constituer une incitation à commettre une infraction.

Adoptant en outre l'amendement de clarification rédactionnelle COM-36 de votre rapporteur, votre commission a adopté l'article 4 ainsi modifié.

Article 5 (art. 49 et art. 49-1 à 49-5 [nouveaux] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Procédure de coopération entre la CNIL et d'autres autorités de contrôle de l'Union européenne

L'article 5 du projet de loi précise les modalités de coopération entre la CNIL et les autres autorités de l'Union européenne lors de procédures de contrôle, soit lorsque la CNIL est « chef de file » d'un contrôle associant d'autres autorités, soit en tant qu'« autorité concernée » associée aux contrôles menés par une autre autorité.

1. Des possibilités de coopération entre autorités nationales restées limitées et mal adaptées aux traitements transfrontaliers

En l'état du droit, l'article 28 de l'ancienne directive de 1995 prévoit que « chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre État membre ».

À ce titre, l'article 49 de la loi Informatique et libertés37(*), qui transpose ces dispositions, permet déjà à la CNIL d'exercer certains de ses pouvoirs, sur sollicitation d'un de ses homologues européens : elle peut communiquer à ses homologues les informations qu'elle détient, procéder à des vérifications voire, si les conditions en droit interne sont réunies et en respectant toutes les garanties des parties, prononcer des sanctions à la demande d'une autorité exerçant des compétences analogues dans un autre État membre de l'Union européenne (sauf si le traitement de données relève de la souveraineté de l'État).

La directive de 1995 ne réservait aucune disposition spécifique au cas d'un responsable de traitement présent sur le territoire de plusieurs États membres, précisant seulement qu'il lui appartenait alors de « prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable »38(*).

Le « G 29 » (groupe de l'article 29) :
une plateforme de coopération souple entre autorités européennes

La CNIL est membre du « G 29 » ou « groupe de l'article 29 » (car instauré par l'article 29 de l'ancienne directive de 1995) qui rassemble les représentants de chaque autorité indépendante de protection des données nationales, le Contrôleur européen à la protection des données (compétent en la matière pour les institutions européennes) et la Commission européenne.

Il s'agit d'une plateforme de coopération qui a pour mission d'examiner toute question portant sur la protection des données personnelles, de contribuer à leur mise en oeuvre homogène. Le groupe établit un rapport annuel sur l'état de protection de ces données dans l'Union européenne et dans les pays tiers, et fournit des avis d'expert auprès de la Commission européenne (par exemple sur l'adéquation des niveaux de protection des données dans les pays tiers, et plus généralement sur toute législation de l'Union européenne ayant une incidence sur la protection des données à caractère personnel).

2. L'« européanisation » des procédures par le RGPD : vers un exercice coordonné et cohérent des pouvoirs des autorités nationales

Le RGPD approfondit et généralise la coordination entre autorités nationales et entend désormais instaurer une véritable gouvernance européenne de la protection des données. Il prévoit ainsi une procédure de coopération entre les différentes autorités nationales compétentes et des mécanismes pour assurer la cohérence de leurs actions et décisions.

Le législateur européen a, ce faisant, entendu répondre à plusieurs objectifs :

- doter les régulateurs de pouvoirs de contrôle et de sanction à la mesure du champ d'application matériel et territorial désormais très étendu du règlement (application extraterritoriale) et répondre au défi que posait jusqu'ici aux autorités nationales la multiplication de vastes traitements transfrontaliers de données personnelles opérés par des géants du numérique implantés souvent hors du territoire de l'Union ;

- garantir une mise en application plus cohérente et uniforme des règles, favoriser une concertation entre autorités à l'échelon européen et harmoniser leurs pratiques ;

- réduire les coûts de la mise en conformité pour les grands opérateurs privés en privilégiant une logique de « guichet unique » (un seul régulateur national désigné comme interlocuteur, à charge pour lui de se coordonner avec ses homologues concernés), pour contrôler certains traitements transfrontaliers.

Procédure de coopération et mécanismes de cohérence

Par contraste avec l'ancienne directive de 1995, le RGPD consacre un chapitre entier et 17 articles à la coopération et aux mécanismes de cohérence (chapitre VII, art. 60 à 76).

Si chaque autorité de contrôle reste naturellement compétente sur le territoire de l'État membre dont elle relève (principe de compétence nationale), l'article 56 du règlement innove en introduisant un mécanisme de « guichet unique » prenant spécifiquement en compte le cas des traitements transfrontaliers : une seule autorité de contrôle, dite « chef de file », est alors compétente (en fonction généralement du lieu de l'établissement principal du responsable du traitement).

Le RGPD règle les modalités de coopération dans le traitement des réclamations et la prise de décision entre cette autorité « chef de file » et les autres autorités de contrôle concernées par un traitement transfrontalier (article 60), définit une obligation d'assistance mutuelle entre autorités européennes (article 61), autorise la réalisation d'opérations conjointes d'enquête entre autorités, auxquelles peuvent même participer des agents d'autres États membres (article 62). Un mécanisme destiné à contrôler la cohérence de l'application du règlement dans l'ensemble de l'Union européenne par les autorités de régulation est également instauré (article 63), qui repose sur les avis (article 64) et les décisions de règlement des litiges (article 65), y compris en urgence (article 66) d'un Comité européen de la protection des données (CEPD), organe indépendant rassemblant les représentants autorités nationales et le Contrôleur européen de la protection des données (articles 68 à 76).

3. L'intégration de la CNIL à ces futurs mécanismes de coopération européens

L'article 5 du présent projet de loi précise les règles procédurales relatives à l'exercice des pouvoirs de contrôle et de sanction de la CNIL lorsqu'elle coopère avec ses homologues européens :

- il préserve d'abord les rôles respectifs des différents organes de la commission (formation plénière, bureau, formation restreinte, président) dans les procédures de coopération (article 49 de la loi Informatique et libertés) ;

- il précise certains éléments de la procédure de coopération lors d'opérations conjointes menées dans le cadre du champ d'application du règlement ; en particulier, utilisant la marge de manoeuvre dont bénéficie chaque État pour définir les pouvoirs d'enquête qui peuvent être confiés aux agents étrangers associés aux opérations conjointes, et suivant les recommandations du Conseil d'État, il permet au président de la CNIL de les habiliter à exercer directement les pouvoirs de vérification et d'enquête, comme les agents de la CNIL39(*) (article 49-1 [nouveau] de la loi Informatique et libertés) ;

- il précise certains éléments de la procédure pour des traitements relevant des dispositions de la loi Informatique et libertés transposant la directive dans les domaines « police et pénal » (art. 49-2 [nouveau] de la loi Informatique et libertés) ;

- il détaille, enfin, les rôles des différents organes de la CNIL, soit lorsque la CNIL agit en tant qu'autorité « chef de file » (art. 49-3 [nouveau] de la loi Informatique et libertés), soit lorsqu'elle agit comme « autorité concernée » par un contrôle mené par un « chef de file » dans un autre État membre de l'Union européenne (art. 49-4 [nouveau] de la loi Informatique et libertés).

4. La position de la commission

Votre rapporteur rappelle que pour donner une application concrète à ces nouvelles possibilités théoriques de coopération entre autorités (contrôle conjoint, assistance mutuelle, dialogue entre autorités sur certains projets de décision) et pour participer dans de bonnes conditions aux travaux du comité européen de la protection des données), la CNIL devra impérativement être dotée de moyens humains suffisants.

Comme elle a déjà eu l'occasion de le souligner40(*), il en va non seulement de la crédibilité de l'action du régulateur, mais aussi du rayonnement, au niveau européen, des conceptions françaises de la protection des données de plus en plus concurrencées par des logiques juridiques inspirées du droit anglo-saxon.

Afin de permettre une meilleure « agilité » dans les modalités concrètes de fonctionnement de la CNIL, votre commission a adopté (outre un amendement de précision rédactionnelle COM-38) un amendement COM-37 de son rapporteur visant à donner à la CNIL certaines souplesses d'organisation (faculté de délégation de la plénière au bureau) pour participer avec la réactivité requise aux nouveaux mécanismes complexes de coopération entre autorités européennes.

Votre commission a adopté l'article 5 ainsi modifié.

Article 6 (art. 45, 46, 47 et 48 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; article 226-16 du code pénal) - Mesures correctrices et sanctions

L'article 6 du projet de loi réécrit les principaux articles de la loi Informatique et libertés relatifs aux pouvoirs de sanction de la CNIL afin de permettre à l'autorité de prendre l'ensemble des mesures correctrices prévues par le règlement (UE) 2016/679 ou par la directive (UE) 2016/680, et de compléter ainsi les sanctions déjà existantes.

1. Un régime de sanctions récemment clarifié mais qui restait encore peu dissuasif

Les pouvoirs prévus au chapitre VII de la loi Informatique et libertés donnent à la CNIL les moyens de contraindre elle-même, par l'infliction de sanctions administratives, les responsables de traitement à mettre fin aux violations des règles de protection des données personnelles.

Ces mesures sont distinctes des sanctions pénales prononcées par les juridictions judiciaires auxquelles s'exposent également les responsables de traitement qui se rendent coupables d'infraction aux règles spécifiques régissant le traitement des données personnelles. En cas de manquement, leurs auteurs peuvent en outre s'exposer à l'engagement de leur responsabilité civile (et à certaines sanctions propres : nullité de certains actes et caractère illicite de la preuve obtenue en méconnaissance des obligations du responsable du traitement).

La procédure de sanction administrative distingue les pouvoirs d'instruction et de mise en demeure préalable reconnus au président de la CNIL, d'une part, et le prononcé des sanctions qui relève, lui, de la formation restreinte (art. 45, I), d'autre part41(*). Une procédure d'urgence est également prévue, qui permet à la formation restreinte de prendre des mesures provisoires adaptées (art. 45, II). Enfin, la CNIL peut, dans certains cas, saisir le juge des référés. La loi pour une République numérique du 7 octobre 2016 a clarifié le régime des sanctions pour établir une gradation des mesures susceptibles d'être édictées (en fonction de la nature du manquement et de l'urgence) et pour privilégier une logique pédagogique avec le prononcé de mises en demeure préalables ; leur articulation est retracée dans le tableau suivant.

Régime actuel des sanctions

Nature du manquement

Autorité responsable et mesures correctrices

Manquement aux obligations de la loi Informatique et libertés
(Art. 45, I)

Si possibilité d'une mise en conformité dans le cadre d'une mise en demeure :

(Président...)

Mise en demeure de faire cesser le manquement dans
un délai fixé
(24 h en cas d'extrême urgence)

(...puis formation restreinte)

Clôture
OU
Sanction :
- Avertissement
- Sanction pécuniaire
- Injonction de cesser le traitement ou retrait de l'autorisation

Si impossibilité d'une mise en conformité dans le cadre d'une mise en demeure :

(Formation restreinte)

Sanction :
- Avertissement
- Sanction pécuniaire
- Injonction de cesser le traitement ou retrait de l'autorisation

Violation des droits et libertés mentionnés à l'article 1er de la loi Informatique et libertés
(Art. 45, II)

(Formation restreinte saisie par le Président, en urgence)

Sanction :
- Avertissement
- Interruption du traitement (trois mois)
sauf traitements de souveraineté
- Verrouillage des données (trois mois)
sauf traitements de souveraineté

- Information du Premier ministre pour faire cesser la violation (si traitement de souveraineté)

Atteinte grave et immédiate aux droits et libertés mentionnés à l'article 1er de la loi Informatique et libertés (Art. 45, III)

(Président)

Référé, permettant à la juridiction compétente d'ordonner,
le cas échéant sous astreinte, toute mesure nécessaire

La formation restreinte peut notamment infliger une sanction pécuniaire dont le montant doit être proportionné à la gravité du manquement commis et aux avantages tirés de celui-ci. La formation restreinte prend alors notamment en compte « le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d'atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission » (art. 47).

Le montant maximal de la sanction pécuniaire pouvant être infligée a été porté à 3 millions d'euros (depuis la loi pour une République numérique du 7 octobre 2016), contre 150 000 € seulement auparavant.

La décision de sanction peut être rendue publique à l'initiative de la formation restreinte et faire l'objet d'un recours de pleine juridiction devant le Conseil d'État (article 46 de la loi Informatique et libertés).

En 2017, selon les chiffres transmis à votre rapporteur, la CNIL a procédé à 79 mises en demeure et prononcé 14 sanctions : 9 pécuniaires, dont 6 publiques, et 5 avertissements, dont 2 publics.

2. Des sanctions renforcées et des mesures correctrices adaptées à la nouvelle logique européenne de « responsabilisation » des acteurs

Le nouveau cadre juridique européen conduit à remplacer l'essentiel du contrôle opéré par les autorités de contrôle, via le régime des formalités préalables, par un système d'accompagnement et de contrôle continu des responsables de traitement de données personnelles. Par rapport à l'ancienne directive de 1995, le nouveau règlement adapte en conséquence la panoplie des moyens de régulation dont les autorités nationales disposent afin de les doter :

- de mesures correctrices plus variées et efficaces, en lien avec les nouveaux outils de droit souple dont le développement est encouragé par ailleurs ;

- et de sanctions financières réellement dissuasives en cas de violation des règles, dans un contexte marqué par le développement de traitements transnationaux opérés par des entreprises géantes aux moyens considérables.

Désormais, à ce titre, les autorités de contrôle peuvent notamment imposer des amendes administratives s'élevant jusqu'à 10 millions euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, chiffres doublés en cas de non-respect d'une injonction (article 83 du RGPD).

L'article 84 du règlement accorde en outre une marge de manoeuvre aux États membres, qui peuvent compléter le régime des sanctions applicables en cas de violation du règlement et garantir leur mise en oeuvre.

3. L'adaptation des mesures correctrices et des sanctions pouvant être prises par la CNIL

L'article 6 du projet de loi fait application de ces principes et détaille les mesures correctrices et les sanctions que la CNIL pourra désormais prendre. Conformément au nouveau cadre européen :

- il englobe indifféremment les responsables de traitement et leurs sous-traitants, désormais redevables des mêmes obligations et exposés aux mêmes mesures correctives ou de sanction ;

- il élargit les procédures de sanction pour prendre en compte les nouveaux outils de droit souple au développement desquels la CNIL est associée (retraits ou suspensions de certifications, d'agréments, « binding corporate rules », transferts, etc.) ainsi que les procédures de coopération en cas de traitements transfrontaliers ;

- il fixe désormais le maximum des sanctions pécuniaires pouvant être prononcées à 10 millions d'euros ou, dans le cas d'une entreprise, 2 % du chiffre d'affaires annuel mondial (le plus élevé des deux étant retenu), montant pouvant même être doublé dans certains cas.

La nouvelle architecture des mesures correctrices et des sanctions que la CNIL peut adopter est retracée dans le tableau suivant.

Régime à venir des mesures correctrices et des sanctions

Nature du manquement

Autorité responsable et mesures correctrices

Opération susceptible de violer le RGPD ou la loi Informatique et libertés
(Art. 45, I)

(Président)

Avertissement

Manquement aux obligations du RGPD ou de la loi Informatique et libertés

au choix

(Art. 45,
II )

(Formation restreinte saisie par le Président)
Sanction :
- Rappel à l'ordre
- Injonction de mettre en conformité le traitement ou de satisfaire aux demandes d'exercice de droits et astreinte (100 000 €/jour)
- Limitation, interdiction ou retrait d'autorisation du traitement (sauf traitements de souveraineté ou Directive)
- Retrait de certification
- Suspension de flux transfrontaliers ou de « BCR »
- Amende (10 M € ou 2 % du CA mondial, pouvant être doublée) sauf traitements de l'État

au choix

(Art. 45, III)

(Président - « peut également prononcer »)

Mise en demeure éventuellement publique de,
dans un délai fixé (24 h en cas d'extrême urgence) :
- mettre en conformité le traitement ou satisfaire
aux demandes d'exercice de droits
- communiquer à la personne concernée une violation de données à caractère personnel
(sauf traitements de souveraineté)

- rectifier ou effacer des données, limiter un traitement

Manquement aux obligations du RGPD ou de la loi Informatique et libertés entraînant une violation des droits et libertés mentionnés à l'article 1er + urgence (Art. 46, I)

(Formation restreinte saisie par le Président, en urgence)

Sanction :
- Interruption du traitement, y compris des transferts hors UE, trois mois (sauf sûreté de l'État ou défense ; et sauf régime directive pour l'État)
- limitation, trois mois (sauf sûreté de l'État ou défense ou régime directive pour l'État)
-suspension de certification/agrément
- suspension provisoire d'autorisation
dans le domaine de la santé

- Injonction de mettre en conformité le traitement (100 000 €/jour)

- Rappel à l'ordre

- Information du Premier ministre pour faire cesser la violation (si traitement de souveraineté ou si régime directive pour le compte de l'État)

Atteinte grave et immédiate aux droits et libertés mentionnés à l'article 1er de la loi Informatique et libertés (Art. 46, IV)

(Président)

Référé, permettant à la juridiction compétente d'ordonner, le cas échéant sous astreinte, toute mesure nécessaire

Votre rapporteur relève que, ce faisant, le Gouvernement a fait plusieurs choix, qui n'ont pas été remis en cause par l'Assemblée nationale, à savoir :

- conserver intactes, pour l'essentiel, les prérogatives dont disposaient précédemment chacun des organes de la CNIL (président, bureau, formation restreinte) en fonction de la gravité du manquement (manquement simple ou violation des droits et libertés mentionnés à l'article 1er de la loi Informatique et libertés) ;

- prévoir des mesures correctives et des sanctions s'appliquant de façon transversale à tous les traitements contrôlés par la CNIL, mais en ménageant de multiples exceptions en fonction du champ auquel les traitements sont soumis (ceux régis par le règlement, ceux relevant de la directive et ceux hors du champ d'application du droit de l'Union européenne) ou en excluant les traitements opérés pour le compte l'État ;

- utiliser la marge de manoeuvre reconnue aux États membres (article 84 du RGPD) pour compléter le régime des sanctions applicables en dotant la formation restreinte d'un nouveau pouvoir d'injonction assorti d'une astreinte de 100 000 € maximum par jour de retard.

4. La position de votre commission : privilégier la pédagogie dans l'enchaînement des procédures et préserver les collectivités territoriales

Tout en reconnaissant le caractère complet et efficace de l'éventail de nouvelles sanctions dont disposera la CNIL, votre rapporteur regrette néanmoins la complexité parfois inutile de la procédure, que beaucoup des entreprises et des collectivités auditionnées ont soulignée. Elle constate ainsi certaines redondances (le président de la CNIL a, par exemple, un pouvoir d'« avertissement » et de « mise en demeure », quand la formation restreinte peut prononcer symétriquement, elle aussi, un « rappel à l'ordre » et des « injonctions »), et note un manque de clarté dans l'enchaînement de ces procédures concurrentes.

Le projet de loi ouvre la possibilité en cas de manquement de faire l'objet soit d'un simple avertissement par le président de la CNIL, soit d'une mise en demeure (éventuellement publique) par le président de la CNIL, soit directement d'une procédure contradictoire de sanction devant la formation restreinte. Ce faisant, la rédaction du projet de loi :

- rompt avec la logique pédagogique, opportunément privilégiée lors de l'adoption de la loi République numérique, d'une gradation des outils de sanctions ;

- et pose un problème juridique d'égalité devant la loi et de proportionnalité des sanctions, en instaurant simultanément trois procédures dont il n'est pas précisé si elles sont alternatives ou cumulatives, aucun critère n'explicitant les raisons qui présideront au choix de l'une ou de l'autre procédure.

L'article 58 du RGPD, relatif aux sanctions, prévoyant que « l'exercice des pouvoirs conférés à l'autorité de contrôle (...) est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l'Union et le droit des États membres conformément à la Charte », ces observations ont conduit votre rapporteur à proposer à la commission un amendement COM-39, qu'elle a adopté, préservant intégralement les pouvoirs de l'autorité mais garantissant le respect des principes élémentaires du droit processuel national en rétablissant une gradation pédagogique dans l'enchaînement des mesures susceptibles d'aboutir à une sanction de la CNIL.

En outre, pour mieux répondre aux attentes et aux inquiétudes des collectivités territoriales et tenter de « dédramatiser » chez les petits acteurs locaux les efforts de mise en conformité avec le RGPD, votre commission a également adopté, sur proposition de son rapporteur, un amendement COM-40 exonérant les collectivités territoriales, au même titre que l'État, en raison des prérogatives de puissance publique et des missions de service public dont elles sont comme lui investies, tant de l'amende administrative (en application de l'article 83, paragraphe 7, du RGPD) que de l'astreinte (en modulant la marge de manoeuvre utilisée par le Gouvernement au titre de l'article 84 du RGPD).

Votre rapporteur rappelle l'extrême rareté des sanctions prononcées par la CNIL à l'encontre des collectivités territoriales : depuis près de 15 années que la CNIL dispose d'un pouvoir de sanction, elle a adopté en tout et pour tout seulement trois sanctions contre des collectivités : trois avertissements, dont un seul a été rendu public ; l'exemption proposée entend simplement traduire en droit cet état de fait, les collectivités restant soumises au prononcé de toutes les autres mesures correctives plus pédagogiques de la CNIL (et, bien sûr, dans les cas extrêmement graves, au prononcé de sanction pénales).

Également adoptés par votre commission, un amendement COM-42 de cohérence rédactionnelle est venu préciser les modalités de recouvrement et de liquidation des astreintes, et un amendement COM-45 harmoniser le champ des pouvoirs d'injonction entre la procédure normale et la procédure d'urgence.

En outre, devant le constat unanime qu'un grand nombre de responsables de traitement ne seront pas prêts le 25 mai 2018 pour assumer leurs nouvelles obligations issues du RGPD, que ces nouvelles obligations auront un coût élevé, difficilement supportable pour de petites structures, entreprises ou collectivités territoriales, et que l'aide actuellement apportée par la CNIL et par le secrétariat d'État à l'économie numérique est très loin de suffire, votre commission adopté un amendement COM-47 de son rapporteur proposant que le produit des sanctions pécuniaires et des astreintes prononcées par la CNIL serve à financer des actions destinées aux responsables de traitement publics et privés, afin de les aider à se conformer à la nouvelle réglementation. Il s'agit ainsi de poser un principe vertueux selon lequel « l'argent de la protection des données va à la protection des données ».

Adoptant enfin les amendements COM-41, COM-43, COM-44 de clarification rédactionnelle et COM-48 rectifié de coordination de votre rapporteur, votre commission a adopté l'article 6 ainsi modifié.


* 18 Communication de la Commission au Parlement européen et au Conseil « Une meilleure protection et de nouvelles perspectives - Orientations de la Commission relatives à l'application directe du règlement général sur la protection des données à partir du 25 mai 2018 » (COM(2018) 43 final - 24.01.2018).

* 19 Pour les autorités publiques et, dans le privé, pour certains acteurs traitant des données à « grande échelle » de façon régulière ou en cas de données sensibles.

* 20 Selon la CNIL, ces instruments lui permettront de convertir son patrimoine normatif actuel (autorisations uniques, normes simplifiées, etc.) en référentiels sectoriels susceptibles de produire des effets de droit gradués dans le nouvel environnement juridique : soit en se bornant à de simples guides permettant aux professionnels de s'orienter dans leurs démarches de conformité, soit à l'appui par exemple de l'élaboration de la liste des dispenses d'étude d'impact prévues à l'article 35 du RGPD (aux termes duquel « L'autorité de contrôle établit et publie une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise (...) L'autorité de contrôle peut aussi établir et publier une liste des types d'opérations de traitement pour lesquelles aucune analyse d'impact relative à la protection des données n'est requise. »)

* 21 En prévoyant un système à double niveau : la CNIL peut tout d'abord certifier elle-même des personnes, des produits, des systèmes de données ou des procédures de manière à reconnaître leur conformité au règlement européen et à la loi du 6 janvier 1978 ; elle peut également agréer des organismes certificateurs, sur la base de leur accréditation par l'instance nationale dédiée (le Comité français d'accréditation - COFRAC), à laquelle elle peut apporter des exigences supplémentaires.

* 22 Ajout issu d'un amendement adopté par l'Assemblée nationale.

* 23 À titre d'exemple, aux Pays-Bas, où cette mission existe déjà, l'autorité néerlandaise reçoit en moyenne 6 000 à 7 000 notifications par an.

* 24 Par rapport à la population actuelle de 5 000 correspondants informatique et libertés (CIL), la CNIL anticipe un nombre de 20 000 à 25 000 délégués à la protection des données, selon ses estimations communiquée à votre rapporteur.

* 25 Aux termes de l'article 52 (Indépendance), § 4, « Chaque État membre veille à ce que chaque autorité de contrôle dispose des ressources humaines, techniques et financières ainsi que des locaux et de l'infrastructure nécessaires à l'exercice effectif de ses missions et de ses pouvoirs, y compris lorsque celle-ci doit agir dans le cadre de l'assistance mutuelle, de la coopération et de la participation au comité. »

* 26 Aide sociale à l'enfance, gestion et contrôle du revenu de solidarité active (RSA), gestion et contrôle de l'allocation personnalisée à l'autonomie (APA), commande publique et marchés publics, contrôle de la CVAE, gestion du patrimoine des collèges, FSL, télémédecine, convention avec des particuliers pour le Plan départemental des itinéraires de promenade et de randonnée (PDIPR), etc.

* 27 Aux termes de l'article 57 (Missions) : « 1. [...] chaque autorité de contrôle, sur son territoire [...] c) conseille, conformément au droit de l'État membre, le parlement national, le gouvernement et d'autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement ».

* 28 Aux termes de l'article 58 (Pouvoirs) : « 3. Chaque autorité de contrôle dispose de tous les pouvoirs d'autorisation et de tous les pouvoirs consultatifs suivants : [...] émettre, de sa propre initiative ou sur demande, des avis à l'attention du parlement national, du gouvernement de l'État membre ou, conformément au droit de l'État membre, d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel ».

* 29 Aux termes de l'article 36 (Consultation préalable) : « 1. Le responsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données [...] indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque. [...] 4. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national, ou d'une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement. »

* 30 Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* 31 Lorsqu'il confie un pouvoir de sanction à une autorité administrative indépendante, le législateur doit lui-même prévoir des garanties de nature à assurer le respect des « principes d'indépendance et d'impartialité indissociables de l'exercice de pouvoirs de sanction par une autorité administrative indépendante », qui impliquent notamment de séparer « les fonctions de poursuite et d'instruction et les pouvoirs de sanction » (Conseil constitutionnel, décision n° 2012-280 QPC du 12 octobre 2012).

* 32 Solution dégagée dès 2008 (Conseil d'État, 19 février 2008, n° 311974, Profil France), et constamment réaffirmée depuis : « la formation restreinte de la CNIL, lorsqu'elle est saisie d'agissements pouvant donner lieu à l'exercice de son pouvoir de sanction, doit être regardée comme décidant du bien-fondé d'accusations en matière pénale au sens de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ; [il] s'ensuit, et alors même qu'elle n'est pas une juridiction au regard du droit interne, que le moyen tiré de ce qu'elle aurait statué dans des conditions qui ne respecteraient pas le principe d'impartialité rappelé à l'article 6 de la convention peut, eu égard à la nature, à la composition et aux attributions de cet organisme, être utilement invoqué à l'appui d'un recours formé devant le Conseil d'État à l'encontre de sa décision » (Conseil d'État, 12 mars 2014, n° 353193, Pages jaunes).

* 33 « (...) La formation restreinte statue hors la présence du rapporteur et du commissaire du Gouvernement. / Un agent des services de la commission, faisant office de secrétaire de séance, peut être désigné par le président de la formation restreinte. Il assiste au délibéré de la formation restreinte, sans y prendre part. Il relève de la seule autorité du président de la formation restreinte dans le cadre de ces fonctions » (art. 77 du décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés).

* 34 À cet égard, seuls les agents et membres habilités au secret de la défense, conformément au code de la défense, ont accès aux documents contenant des informations relevant de ce régime (cf. article 19 de la loi Informatique et libertés : « [...] Ceux des agents qui peuvent être appelés à participer à la mise en oeuvre des missions de vérification mentionnées à l'article 44 doivent y être habilités par la commission ; cette habilitation ne dispense pas de l'application des dispositions définissant les procédures autorisant l'accès aux secrets protégés par la loi »).

* 35 «[Droits] a) [d']ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement ou du sous-traitant, de lui communiquer toute information dont elle a besoin pour l'accomplissement de ses missions » et « e) [d']obtenir du responsable du traitement et du sous-traitant l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l'accomplissement de ses missions ».

* 36 « f) obtenir l'accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l'Union ou au droit procédural des États membres. »

* 37 Issu de la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui transposait l'article 28 de la directive 95/46/CE du 24 octobre 1995.

* 38 Voir a du 1 de l'article 4 de la directive de 1995.

* 39 Plusieurs garanties sont prévues : demande préalable de l'autre autorité à la CNIL, décision particulière du président de la CNIL, réservée à ceux des membres ou agents de l'autorité de contrôle concernée qui présentent des garanties comparables à celles requises des agents de la CNIL, les contrôles auxquels participeront ces agents habilités restant exercés sous l'autorité de la CNIL.

* 40 Voir le commentaire de l'article 1er.

* 41 Voir le commentaire de l'article 3.