En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 15/11/2017
    Cloud Expo Europe Paris 2017

    Cloud Expo Europe, Paris 2017, c'est le grand rassemblement d'experts dédiés au Cloud. Parmi les…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Conscio_Bannière

Vers un possible durcissement des sanctions de la CNIL ?

Jalios_Digital Summit 2017_pave

Laurent Badiane, associé, et Charlotte de Dreuzy, avocate du département IP/IT du cabinet KGA Avocats reviennent sur les pouvoirs de contrôle et sanctions de la CNIL : bilan de l’année 2016 et programme pour 2017.

Le 27 mars 2017, la Commission Nationale Informatique et Libertés (CNIL) a publié son rapport d’activité pour 2016[1]. Elle y fait notamment le bilan des contrôles opérés et des sanctions prononcées sur 2016, tout en présentant son programme de contrôles pour 2017.

A l’aune des modifications introduites par la Loi pour une République Numérique[2] et par le Règlement européen sur la protection des données (RGPD)[3], ce rapport (i) révèle une légère baisse du nombre de contrôles pour 2016, dont on peut légitiment affirmer qu’elle sera passagère, et (ii) conduit à s’interroger sur un possible durcissement des sanctions de la CNIL dont les pouvoirs ont été sensiblement renforcés.

Une légère baisse des contrôles de la CNIL en 2016

Le rapport d’activité de la CNIL révèle, qu’en 2016, 430 contrôles ont été opérés par la CNIL dont 101 en ligne, soit une légère baisse par rapport à 2015[4] où le nombre de contrôles opérés par l’autorité s’élevait à 510.

Le rapport d’activité de la CNIL précise que sur les 430 contrôles opérés :

– 60 % ont été effectués à son initiative notamment au vu de l’actualité ;

– 20% résultent du programme annuel décidé par les membres de la Commission ;

–  15 % s’inscrivent dans le cadre d’instruction de plaintes ;

–  5% sont réalisés dans le cadre des suites de mises en demeure ou procédures de sanctions.

A noter également qu’un nombre important des contrôles opérés en ligne ont révélé des failles de sécurité, plus particulièrement dans le secteur du e-commerce.

La CNIL a d’ores et déjà annoncé que son programme de contrôles pour 2017 porterait sur :

–  La confidentialité des données de santé traitées par les sociétés d’assurance ;

–  Les fichiers de renseignement ;

–  Les télévisions connectées (« Smart TV »).

On rappellera qu’en dehors de ce programme de contrôles fixé par la Commission, d’autres opérations de contrôles pourront également être menées sur l’initiative de la CNIL ou suite à des plaintes (7 703 plaintes en 2016).

Si pour 2016 les contrôles opérés par la CNIL ont légèrement diminué, on peut de manière certaine affirmer que cette tendance va s’inverser dans le contexte de l’application prochaine des dispositions du RGPD. En effet, le passage à une logique de responsabilisation des entreprises avec un renforcement de leurs obligations et l’allègement du rôle de contrôle à priori de la CNIL, vont conduire cette dernière à opérer davantage de contrôles de la conformité à posteriori.

De surcroît, le passage à des procédures de contrôle harmonisées au niveau européen prévu par le RGPD, en cas de traitements de données transnationaux, va changer considérablement les conditions d’intervention de la CNIL en matière répressive.

En effet, à compter du 25 mai 2018, les autorités de protection des données co-décideront de la conformité ou au contraire de la sanction à prononcer à l’encontre de l’organisme contrôlé ou mis en cause. Concrètement, l’autorité nationale du pays où se trouve l’établissement principal de l’organisme contrôlé, devra proposer les mesures ou décisions pour la mise en conformité ou sanction de l’organisme. Les autres autorités disposeront d’un délai de 4 semaines pour approuver cette décision ou soulever des objections.

Si les contrôles de la CNIL vont avoir tendance à se renforcer, qu’en est-il des sanctions prononcées par cette autorité ?

Vers un durcissement des sanctions de la CNIL ?

Aujourd’hui, les sanctions prononcées par la CNIL peuvent prendre les formes suivantes :

–  Un avertissement, qui peut être rendu public ;

–  Une sanction pécuniaire qui peut être rendue publique notamment dans la presse ;

–  Une injonction de cesser le traitement ;

–  Le retrait d’une autorisation accordée par la CNIL.

Le rapport d’activité de la CNIL révèle qu’en 2016, la CNIL a prononcé uniquement 13 sanctions dont 4 sanctions financières rendues publiques et 9 avertissements dont 4 ont été rendus publics.

Ce faible nombre de sanctions s’explique par la logique de la Loi « Informatique et Libertés[5] » et son application par la CNIL qui repose avant tout sur la mise en conformité des organismes mis en cause. En effet, pour le prononcé des sanctions, la CNIL prend notamment en compte « le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission »[6]. En pratique, sont ainsi généralement sanctionnés les organismes qui persistent dans des comportements répréhensibles ou dont les manquements sont d’une particulière gravité.

On constatera néanmoins une légère hausse du nombre de sanctions prononcées par la CNIL en 2016 (13) par rapport à 2015 (10).

On rappellera que les pouvoirs de sanctions de la CNIL ont augmenté depuis le 9 octobre 2016 avec l’entrée en vigueur de la loi pour une République Numérique, en passant de 150 000 euros à 3 millions d’euros[7] et pourront aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial[8] pour les entreprises à compter du 25 mai 2018.

Si, comme on l’a vu, l’entrée en application du RGPD va nécessairement occasionner une augmentation du nombre de contrôles de la CNIL, on peut se demander si, pour autant, on doit s’attendre à un durcissement des sanctions ?

A cet égard, le RGPD, tout comme le prévoit déjà la Loi Informatique et Libertés, impose également à l’autorité Nationale de contrôle de tenir compte de plusieurs éléments pour décider du prononcé des sanctions administratives[9] (gravité et durée de la violation, violation délibérée, coopération avec l’autorité, etc.).  Cette logique de laisser un délai aux responsables de traitements pour se mettre en conformité avant de prononcer des sanctions devrait donc perdurer.

A cet égard et afin de limiter autant que possible le risque de sanctions, la CNIL a indiqué dans son rapport avoir pour objectifs de mettre à disposition des professionnels en 2017 des nouveaux outils de nature à les aider à se mettre en conformité avec les nouvelles obligations issues du RGPD, notamment des référentiels par secteur ou type d’activité.

La CNIL a par ailleurs rappelé que le RGPD comportant de très nombreux renvois au droit national, le Parlement devra impérativement adopter une nouvelle loi « informatique et libertés » pour tenir compte de ce nouvel environnement européen avant le 25 mai 2018, « sous peine de rendre très largement inapplicable le nouveau cadre de protection en France ».

 

 

 

[1] Rapport d’activité de la CNIL 2016 : https://www.cnil.fr/sites/default/files/atoms/files/cnil-37e_rapport_annuel_2016.pdf

[2] Loi n°2016-1321 du 7 octobre 2016 pour une République numérique

[3] Règlement Européen n°2016/679 du 27 avril 2016

[4] Rapport d’activité de la CNIL 2015 : https://www.cnil.fr/sites/default/files/atoms/files/cnil-36e_rapport_annuel_2015_0.pdf

[5] Loi n°78-17 du 6 juin 1978  relative à l’informatique, aux fichiers, et aux libertés dite « Loi Informatique et Libertés »

[6] Article 47 de la loi Informatique et Libertés

[7] Nouvel article 47 de la loi Informatique et Libertés (modifié par la loi pour une République Numérique du 7 octobre 2016)

[8] Article 83 du Règlement européen de protection des données personnelles

[9] Article 83 du Règlement européen de protection des données personnelles

Vers un possible durcissement des sanctions de la CNIL ?
Notez cet article

Laisser un commentaire

RGPD : sensibiliser les collaborateurs

Le nouveau règlement européen sur la protection des données (RGPD) s'appliquera le 25 mai 2018. Conscio Technologies propose un parcours de sensibilisation pour les collaborateurs.

Découvrir le programme de sensibilisation

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Focus sur le Délégué à la Protection de Données : Qui ? Pourquoi faire ? Quelles responsabilités ?

    Laurent Badiane, avocat associé, et Charlotte de Dreuzy, avocate du département IP/IT du cabinet KGA Avocats,…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Tribune - Le digital learning, pilier du télétravail

    Comment l'entreprise peut soutenir les salariés, afin qu'ils puissent, en toute autonomie, maîtriser les différents…

    > En savoir plus...
Etudes/Enquêtes
  • Intelligence artificielle : 77 % des organisations ont un projet pour 2018

    A l'occasion de Microsoft experiences' 17, à Paris, une étude IDC menée pour Microsoft auprès…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Usages et technologies : concrétisez la transformation digitale de votre métier

    > Voir le livre
  • Communications unifiées : la mobilité et la collaboration au cœur des métiers

    > Voir le livre
elo_processus pointe_skyscraper