Des pouvoirs accrus pour la Cnil sont en discussion à la fois au parlement français et au parlement européen.
Principe de proportionnalité et caractère dissuasif des sanctions du RGPD
Le RGPD (1) impose aux autorités de contrôle de prononcer des amendes administratives qui dépendent des circonstances de chaque cas individuels, tout en étant proportionnées et dissuasives, donnant ainsi des pouvoirs accrus pour la Cnil.
Les amendes administratives doivent être imposées en supplément ou à la place des mesures prévues au point a à fa et h du paragraphe 1b de l’article 53.
Les éléments à prendre en compte pour définir le montant de l’amende administrative sont les suivants :
Les cas d’amendes administratives du RGPD
L’article 79 de la proposition de règlement européen définit trois cas d’amendes administratives. Il faut appliquer le plus haut montant entre le montant et le pourcentage de chiffre d’affaires.
Premier cas : Amende administrative pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel de l’exercice précédent, en cas de non-respect (2) :
- des articles 8 (consentement des enfants),
10 (traitements ne nécessitant pas d’identification),
23 (privacy by design / privacy by default),
24 (responsables conjoints de traitement),
25 (représentants des responsables de traitement établis hors UE),
26 (sous-traitants),
27 (traitements effectués sous l’autorité du responsable de traitement et du sous-traitant),
28 (registre des activités du traitement),
29 (coopération avec l’autorité de contrôle),
30 (sécurité du traitement),
31 (notification à l’autorité de contrôle d’une violation de données),
32 (communication à la personne concernée d’une violation de données),
33 (analyse d’impact),
34 (consultation préalable),
35 (délégué à la protection des données),
36 (fonction du délégué à la protection des données),
37 (missions du délégué à la protection des données),
39 (certification),
39 bis (organisme et procédure de certification) ; - des obligations de certification prévue aux articles 39 et 39 bis du RGPD ;
- des obligations incombant à l’organisme chargé du suivi des codes de conduite en vertu de l’article 38 bis du RGPD.
Deuxième cas : Amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires total annuel mondial de l’exercice précédent, en cas de non-respect :
- des principes de traitement définis aux articles 5, 6, 7 et 9 du RGPD ;
- des droits des personnes concernées prévues aux articles 12 à 20 du RGPD ;
- des obligations relatives aux transferts de données à destination d’un pays tiers ou une organisation internationale prévues aux articles 40 à 44 du RGPD ;
- de toutes les obligations adoptées par l’État membre au titre du chapitre IX du RGPD ;
- d’un ordre de limitation temporaire ou définitive d’un traitement ou la suspension de flux transfrontières visés aux articles 53 1 ter ou ne pas permettre un accès en violation de l’article 53 1 du RGPD ;
Troisième cas : Amende administrative de maximum 20 000 000 € ou 4 % du chiffre d’affaires annuel mondial en cas de non-respect d’un ordre de l’autorité de contrôle conformément à l’article 53 1 ter du RGPD.
Il convient de noter que les Etats membres doivent déterminer des sanctions pénales applicables en cas de manquement aux dispositions du RGPD en particulier pour les manquements qui ne sont pas l’objet d’amendes financières.
Pouvoirs accrus pour la Cnil dans le projet de loi pour une République numérique
Si la proposition du RGPD devrait être votée au printemps 2016, il convient de noter que l’Assemblée nationale a récemment adopté en première lecture le projet de loi pour une République numérique (4).
Cette petite loi anticipe l’adoption prochaine du RGPD, et participe ainsi à réaliser les objectifs du futur règlement de renforcement des pouvoirs des autorités.
La finalité affichée des mesures envisagées par le projet de loi pour une République numérique est effectivement clairement d’améliorer l’efficacité et la crédibilité du processus répressif, en renforçant les procédures et les sanctions pouvant être prononcées par la Cnil.
Les mesures destinées à accroître les pouvoirs de la Cnil prévus dans le projet de loi pour une République numérique consistent notamment à :
- permettre à la Cnil de fixer le délai imparti à un responsable de traitement pour se mettre en conformité avec la loi à 24 heures en cas d’extrême urgence, au lieu de cinq jours au moins actuellement ;
- autoriser la Cnil à prononcer une sanction pécuniaire sans mise en demeure préalable dans certaines circonstances alors qu’aujourd’hui la sanction financière ne peut intervenir qu’après mise en demeure ;
- élargir le champ du référé judiciaire ;
- autoriser la Cnil à ordonner qu’une personne sanctionnée informe de cette sanction l’ensemble des personnes concernées ;
- permettre à la Cnil de prononcer une sanction qui ne peut excéder 20 millions d’euros ou, dans le cas d’une entreprise, 4 % du chiffre d’affaires annuel total au niveau mondial réalisé lors de l’exercice précédant l’exercice au cours duquel le manquement a été commis, si ce montant est plus élevé. Toutefois, pour la méconnaissance du chapitre IV ainsi que des articles 34 (respect de la confidentialité des correspondances électroniques privées) à 35 (compétences et organisation du territoire concernant l’offre numérique) de la loi, le montant maximal est de 10 millions d’euros ou, s’agissant d’une entreprise, de 2 % du chiffre d’affaires annuel total au niveau mondial réalisé lors de l’exercice précédant l’exercice au cours duquel le manquement a été commis, si ce montant est plus élevé.
Il convient de noter que le projet de loi pour une République numérique intègre, comme le RGPD, le principe de proportionnalité du montant de la sanction pécuniaire par rapport à la gravité des manquements commis et aux avantages tirés de ces manquements. A cet effet, les éléments pouvant être pris en considération par la formation restreinte, sont ceux prévus par la proposition de règlement européen à savoir le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la Commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la Commission.
Compte tenu du caractère accéléré de la procédure retenue pour l’adoption de la loi pour une République numérique, des pouvoirs accrus pour la Cnil pourraient être mis en place avant l’adoption du RGPD.
Lexing Alain Bensoussan Avocats
Lexing Publicité et Marketing électronique
(1) Proposition de règlement général sur la protection des données, Doc. n°5455/16 du 28-1-2016, Dossier 2012/0011 (COD).
(2) Art. 79, 2 bis, de la proposition de règlement du 28-1-2016.
(3) Art. 79, 3, de la proposition de règlement du 28-1-2016.
(4) Projet de loi pour une République numérique, Doc. Sénat n° 325 (2015-2016). Texte adopté par l’Assemblée nationale le 26-1-2016 et transmis au Sénat.