Faire face à un contentieux Informatique et libertés devant la Cnil

contentieux Informatique et libertés« Faire face à un contentieux Informatique et libertés devant la Cnil » est le thème du petit-déjeuner débat animé par Virginie Bensoussan-Brulé le 20 juin 2018.

La Commission nationale de l’informatique et des libertés a le pouvoir d’effectuer des contrôles sur place, sur pièces, sur audition ou en ligne auprès de l’ensemble des responsables de traitements (entreprises privées, associations, collectivités territoriales, administrations) et de leurs sous-traitants pour vérifier l’application de la réglementation sur la protection des données personnelles.

A l’issue de missions de contrôle ou sur plaintes, la Commission peut prononcer diverses sanctions à l’égard des responsables de traitements et de leurs sous-traitants qui auraient commis un manquement à la réglementation sur la protection des données personnelles.

Elle peut notamment prononcer une sanction pécuniaire pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu. Cette sanction peut être rendue publique.

La Commission peut également dénoncer au procureur de la République les infractions à la loi Informatique et libertés prévues aux articles 226-16 et 226-24 du Code pénal. Virginie Bensoussan-Brulé le 20 juin 2018

Un contentieux devant la Cnil représente un enjeu majeur pour les responsables de traitement concernés, compte tenu des risques financiers et en termes d’image.

Afin de faire face à un contentieux Informatique et libertés devant la Cnil, Virginie Bensoussan-Brulé vous aide à  :

  • Identifier les différentes infractions à la loi Informatique et libertés ;
  • Se préparer aux contrôles de la Cnil ;
  • Élaborer un plan d’action pour répondre aux mises en demeure et rapports en cas de procédure contentieuse Cnil ;
  • Savoir se défendre devant la formation restreinte de la Cnil ;
  • Comprendre le nouveau régime de responsabilité mis en place par le RGPD.

Ce petit-déjeuner débat s’est déroulé le 20 juin 2018 dans nos locaux situés immeuble Cap Etoile 58, boulevard Gouvion-Saint-Cyr 75017 Paris.

Inscription close




Les contrôles en ligne de la Cnil sous une identité d’emprunt

contrôles en ligne

La Cnil devrait bientôt disposer d’un nouveau pouvoir : réaliser des contrôles en ligne sous une identité d’emprunt, c’est ce que prévoit le projet de loi relatif à la protection des données personnelles (1).

Ce pouvoir vient enrichir les pouvoirs de la Cnil déjà en sa possession.

Les contrôles de la Cnil

Afin de s’assurer de la conformité de la mise en œuvre d’un traitement de données à caractère personnel avec la loi Informatique et libertés (2), et, à compter du 25 mai 2018, du Règlement général sur la protection des données à caractère personnel (RGPD), la Cnil dispose de différents moyens de contrôler les responsables du traitement.

Ainsi, la Cnil peut effectuer quatre types de contrôle :

  • les contrôles sur place : ceux-ci se déroulent dans les locaux du responsable du traitement ;
  • les contrôles sur convocation : ils s’effectuent dans les locaux de la Cnil, après convocation du responsable du traitement ;
  • les contrôles sur pièces : qui consistent à demander la communication de tout renseignement ou document utile ;
  • les contrôles en ligne : qui permettent à un agent de la Cnil de contrôler les données disponibles sur un service de communication au public en ligne et de retranscrire ces données.

A la suite de ces contrôles, un procès-verbal est dressé et communiqué au responsable du traitement contrôlé.

Le RGPD prévoit que des opérations conjointes pourront être effectuées par plusieurs autorités européennes de protection des données.

Les contrôles en ligne

La loi n° 2014-344 du 17 mars 2014 relative à la consommation, dite « loi Hamon », créée la possibilité pour les agents de la Cnil de procéder à des contrôles en ligne. Les données contrôlées à cette occasion sont les données disponibles au public, mises à disposition par le responsable du traitement. Il s’agit de données accessibles à toute personne en se rendant sur un site internet.

Les contrôles en ligne permettent à la Cnil de s’assurer du respect des règles relatives à la protection des données personnelles par un hébergeur de données personnelles en ligne et à l’absence de faille de sécurité sur le site internet concerné.

En effet, en raison du nombre important de données à caractère personnel collectées à cette occasion et de la facilité qu’ont les responsables de traitement à obtenir ces données par ce biais, il était nécessaire d’adapter les pouvoirs de la Cnil.

Les internautes ne prenant pas toujours garde aux données personnelles qui leurs sont demandées de fournir en ligne et répondant favorablement aux demandes de collecte d’information qui ne sont pas toujours nécessaires à la finalité du traitement.

Néanmoins, les responsables du traitement avaient connaissance de ce contrôle et pouvaient identifier les agents de la Cnil. Ce ne sera bientôt plus le cas.

Des contrôles en ligne effectués sous un nom d’emprunt

Le projet de loi relatif à la protection des données personnelles modifie l’article 44 de la loi Informatique et libertés et permet aux agents de la Cnil d’effectuer des contrôles en ligne sous une identité d’emprunt, sans que celle-ci n’ait une incidence sur la régularité de la procédure.

Pour le contrôle de services de communication au public en ligne, les membres et agents mentionnés au premier alinéa du I peuvent réaliser toute opération nécessaire à leur mission sous une identité́ d’emprunt. L’utilisation d’une identité́ d’emprunt est sans incidence sur la régularité́ des constatations effectuées conformément à l’alinéa précédent. Un décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés précise les conditions dans lesquelles ils procèdent dans ces cas à leurs constatations. »

En pratique, ils pourront donc utiliser une adresse électronique autre que celle de la Cnil ainsi qu’un pseudonyme pour effectuer des contrôles sur internet.

Un décret viendra préciser les conditions dans lesquelles se dérouleront ces contrôles.

Ce système n’est pas nouveau. Il est déjà mis en place par l’Autorité des marchés financiers (AMF) pour permettre aux agents chargés des enquêtes d’effectuer leur contrôle sous une identité d’emprunt (3) ainsi que pour les contrôles effectués par l’Autorité de la concurrence et la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) (4).

A la suite de ce contrôle, sera dressé un procès-verbal expliquant les éléments contrôlés, les modalités et le résultat. Le responsable du traitement est donc informé a posteriori de l’enquête.

Virginie Bensoussan Brulé
Debora Cohen
Lexing Contentieux numérique

(1) Projet de loi relatif à la protection des données personnelles (Texte adopté en 1ère lecture par l’Assemblée nationale le 13-02-2018).
(2) Loi 78-17 du 6-1-1978, art. 11.
(3) Code monétaire et financier, art. L.621-10-1.
(4) Code de commerce, art. L.450-3-2, II.




Panorama des infractions Informatique et libertés en France

Panorama des infractions Informatique et libertés en FranceLa réglementation Informatique et libertés prévoit des infractions pénales pour non-respect de certaines obligations.

C’est d’abord dans la loi du 6 janvier 1978 que se trouvent des infractions Informatique et libertés puisque son chapitre VIII s’intitule « Dispositions pénales ».

Est ainsi puni d’un an d’emprisonnement et de 150 000 euros d’amende le fait d’entraver l’action de la Cnil et ce, en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités, en refusant de leur communiquer, en dissimulant ou en faisant disparaître les renseignements et documents utiles à leur mission, ou en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tels qu’ils étaient au moment de la demande ou qui ne présentent pas ce contenu sous une forme directement accessible (1).

L’article 50 de cette même loi renvoie à la partie législative du code pénal pour un panorama plus complet des infractions Informatique et liberté, contenues dans une section 5, « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques », regroupant les articles 226-16 à 226-24.

Toutes ces infractions sont punies de 5 ans d’emprisonnement et de 300 000 euros d’amende pour les personnes physiques. Quant aux personnes morales, elles encourent 1,5 millions euros d’amende (2), ainsi qu’une interdiction d’exercer (à titre définitif ou pour une durée maximale de 5 ans), l’exclusion des marchés publics (à titre définitif ou pour une durée maximale de 5 ans), l’interdiction d’émettre des chèques ou d’utiliser des cartes de paiement (pour une durée maximale de 5 ans) et l’affichage de la décision prononcée ou la diffusion de celle-ci (3).

Ces infractions répondent à des matérialités diverses, dont notamment :

  • la mise en œuvre de traitements sans respecter les formalités légales préalables ou de traitements ayant fait l’objet d’une injonction de cesser ou d’un retrait d’autorisation, ces deux premières infractions étant caractérisées y compris en cas de simple négligence. L’effacement de tout ou partie des données faisant l’objet du traitement ayant donné lieu à l’infraction peut alors être ordonné (4) ;
  • le non-respect des normes simplifiées ou d’exonération établies par la Cnil pour les traitements ne nécessitant, selon la loi de 1978, qu’une simple déclaration (5) ;
  • la mise en œuvre, hors les cas où la loi de 1978 l’autorise, de traitements incluant parmi les données en cause le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (6) ;
  • la mise en œuvre de traitements sans avoir pris les mesures utiles pour préserver la sécurité des données (7) ;
  • le fait, pour un fournisseur de services de communications électroniques, de ne pas procéder à la notification d’une violation de données à caractère personnel à la Cnil ou à l’intéressé (8) ;
  • le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite (9) ;
  • le fait de procéder à des traitements concernant une personne physique malgré son opposition, lorsque ce traitement répond à des fins de prospections, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes (10) ;
  • hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans consentement exprès, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle ou à l’identité de genre de celles-ci. Est également réprimé ainsi le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté (11). Ces restrictions sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en œuvre ne se limite pas à l’exercice d’activités exclusivement personnelles (12) ;
  • la conservation et le traitement de données à caractère personnel au-delà de la durée prévue, sauf si elle est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi (13) ;
  • le détournement de leur finalité, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, classement, transmission ou toute autre forme de traitement, de ces informations (14) ;
  • le fait de porter, sans autorisation, à la connaissance d’un tiers n’ayant pas la qualité pour les recevoir, pour toute personne ayant recueilli des données à caractère personnel à l’occasion de leur enregistrement, classement, transmission ou toute autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée (15). La peine est diminuée si cette infraction est commise par imprudence ou négligence et s’élève alors à 3 ans d’emprisonnement et 100 000 euros d’amende ;
  • la mise en œuvre d’un transfert de données à caractère personnel faisant l’objet ou destinées à faire l’objet d’un traitement vers un Etat n’appartenant pas à l’Union européenne, hors les cas prévus par la loi et les mesures prises par la Commission européenne et la Cnil (16). L’effacement de tout ou partie des données faisant l’objet du traitement ayant donné lieu à l’infraction peut alors être ordonné (17).

Ce panorama des infractions Informatique et liberté doit être complété par les infractions contenues dans la partie réglementaire du code pénal, dans une section 6, « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques », regroupant les articles R625-10 à R625-13.

Toutes ces infractions sont punies de l’amende prévue pour les contraventions de 5e classe (soit 1500 euros (18)). En cas de récidive, et selon les prescriptions des articles 132-11 et 132-15 du Code pénal (19), le maximum de la peine d’amende encoure est portée à 3 000 euros pour les personnes physiques et à 30 000 euros pour les personnes morales.

Est réprimé ainsi :

  • le fait, pour le responsable d’un traitement automatisé de données à caractère personnel, de ne pas informer la personne concernée de façon satisfaisante, la liste des informations devant être délivrées se trouvant dans l’article R625-10 du Code pénal ;
  • le fait de ne pas faire droit aux demandes des personnes concernées exercées au regard de la loi de 1978 (20).

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Loi 78-17 du 6-1-1978, art.51
(2) Selon l’article 131-8 du Code pénal, auquel renvoie l’article 226-24
(3) Selon l’article 226-24 du Code pénal, qui renvoie partiellement à l’article 131-9
(4) C. pén. art. 226-22-2
(5) C. pén. art. 226-16-1-A
(6) C. pén. art. 226-16-1
(7) C. pén. art. 226-17
(8) C. pén. art. 226-17-1
(9) C. pén. art. 226-18
(10) C. pén. art. 226-18-1
(11) C. pén. art. 226-19
(12) C. pén. art. 226-23
(13) C. pén. art. 226-20
(14) C. pén. art. 226-21
(15) C. pén. art. 226-22
(16) C. pén. art. 226-22-1
(17) C. pén. art. 226-22-2
(18) C. pén. art. 131-13
(19) Auxquels renvoie l’article R625-13 du Code pénal
(20) Selon les articles R625-11 et R625-12 du Code pénal