Article 6 (Mesures correctrices)

< Délibération CNIL >

L’article 6 du projet de loi traite des mesures correctrices visées au 2 de l’article 58 du Règlement que la CNIL peut prendre en cas de méconnaissance par le responsable de traitement et le sous-traitant de ses obligations issues de la loi ou du Règlement.

Il a ainsi pour objet de modifier les articles 45 à 48 de la loi du 6 janvier 1978 et de répartir ces mesures correctrices entre le Président de la CNIL et la formation restreinte. Il traite également des types de procédure en urgence et hors urgence. Il clarifie, dans le sens de l’article 83 du Règlement, les hypothèses dans lesquelles la formation restreinte peut prendre une sanction sans mise en demeure préalable. Le projet de loi procède ainsi à une adaptation nécessaire du droit national au Règlement, ce dernier comportant une liste unique de mesures correctrices sans préjuger de l’organisation interne de chaque autorité de contrôle nationale. La ventilation retenue par le projet de loi n’appelle de la part de la Commission que les observations suivantes.

- En premier lieu, la Commission relève que le 2° du II de l’article 45 de la loi modifiée dispose que la formation restreinte de la CNIL peut prononcer une injonction de mettre en conformité le traitement avec les obligations résultant de la présente loi ou du Règlement, assortie, sauf dans le cas où le traitement est mis en œuvre par l’Etat, d’une astreinte. La Commission considère que l’injonction sous astreinte constitue une mesure efficace permettant d’emporter des effets dissuasifs à l’égard de responsables de traitement ou de sous-traitants et de garantir l’effectivité de leurs obligations ainsi que des droits des personnes. L’usage de ce nouveau pouvoir devrait correspondre aux hypothèses mentionnées, s’agissant de l’Autorité de la concurrence, à l’article L. 464-2 du code de commerce et les conditions de recours à l’astreinte pourraient, le cas échéant, être précisées expressément dans le projet de loi.

Elle regrette, cependant, qu’une telle injonction avec astreinte ne soit pas également prévue afin de satisfaire aux demandes présentées par les personnes en vue d’exercer leurs droits (accès, opposition ou rectification notamment). Or, les deux tiers des plaintes dont est saisie la Commission chaque année portent sur l’exercice d’un droit et, dans de nombreux cas, un pouvoir d’injonction avec astreinte permettrait de satisfaire aux demandes des plaignants. Ce pouvoir d’injonction devrait être prévu pour garantir l’effectivité des droits conférés aux citoyens par le Règlement.

- En deuxième lieu, le 3° du III de l’article 45 de la loi modifiée dispose que le Président de la CNIL peut mettre en demeure de communiquer à la personne concernée une violation de données à caractère personnel à l’exception des traitements qui intéressent la sûreté de l’Etat ou la défense et ceux mentionnées à l’article 27. Une telle mesure peut donc en revanche être prononcée s’agissant des traitements visés au 2° du I de l’article 26 de la même loi, conformément à ce que prévoit le c° du II de l’article 47 de la Directive.

La Commission estime qu’afin d’être en mesure d’assurer le plus haut niveau de protection des droits, l’obligation de communiquer à la personne concernée une violation de données à caractère personnel devrait, par principe, s’étendre à tous les traitements sans exception. Elle considère en outre que l’enjeu d’information des personnes concernées est d’autant plus crucial que les conséquences d’une divulgation de données pour elles sont importantes, ce qui peut être le cas des traitements mentionnés à l’article 27 de la loi du 6 janvier 1978.

- En troisième lieu , il est prévu quatre types d’exception au titre des pouvoirs dont dispose la formation restreinte en application des articles 45 et 46 de la loi modifiée. L’articulation entre ces différentes exceptions et leurs modalités de mise en œuvre n’apparait pas toujours suffisamment cohérente.

La Commission relève tout d’abord que le 3° du II du projet d’article 45 prévoit la limitation temporaire ou définitive du traitement ou son interdiction, à l’exception des traitements qui intéressent la sûreté de l’Etat ou la défense visés au 1° du I de l’article 26 de la loi. La Commission en déduit que les mesures de limitation ou d’interdiction seraient applicables aux autres traitements relevant des articles des articles 26 et 27. En revanche, en application du 1° du I de l’article 46 tel que modifié par le projet de loi, la formation restreinte ne pourrait pas, pour ces mêmes traitements, prononcer une interruption provisoire de leur mise en œuvre en cas d’urgence et d’atteinte aux droits et libertés visés à l’article 1er de la loi.

Dans un souci de cohérence et pour assurer le plus haut niveau de protection des droits des personnes, la Commission considère que la formation restreinte devrait également pouvoir prononcer une interruption provisoire de la mise en œuvre desdits traitements lorsque les conditions sont réunies. A défaut, la formation restreinte disposerait en urgence de pouvoirs inférieurs à ses pouvoirs ordinaires.

Ensuite, le projet de loi dispose au 7° du I du projet d’article 46 que la formation restreinte peut informer le Premier ministre afin qu’il prenne des mesures correctrices s’agissant des traitements mentionnés aux I et II de l’article 26 de la loi du 6 janvier 1978. Il apparaît en revanche que l’information du Premier ministre est exclue s’agissant des traitements relevant de l’article 27 de la même loi. De la même manière, le 2° du I de l’article 46 de la loi modifiée prévoit la possibilité de limiter provisoirement le traitement de certaines données si le traitement n’est pas au nombre de ceux qui sont mentionnés au I et II de l’article 26. La Commission en déduit que la limitation provisoire des données est possible pour les traitements relevant de l’article 27.

Là encore, dans un souci de cohérence et pour assurer le plus haut niveau de protection des droits des personnes, la Commission considère que la formation restreinte devrait pouvoir, d’une part, informer le Premier ministre afin qu’il prenne des mesures correctrices s’agissant des traitements relevant de l’article 27 et, d’autre part, limiter provisoirement le traitement de certaines données de traitements mentionnés au I et II de l’article 26.

- En quatrième et dernier lieu, la Commission souligne l’intérêt qui s’attacherait à ce qu’une plus grande souplesse organisationnelle soit laissée à la formation restreinte. L’actuel article 13 de la loi du 6 janvier 1978 dispose que la formation restreinte est composée d’un Président et de cinq membres, sans ouvrir expressément au pouvoir réglementaire la possibilité de prévoir l’adoption de certaines décisions dans des formats plus resserrés. Or, le Règlement va conduire à un accroissement significatif du nombre et du type d’actes relevant de la compétence de la formation restreinte (formulation d’objections, saisine du CEPD notamment). Ces nouveaux objets de décision vont s’ajouter à un spectre d’ores et déjà très large d’affaires, allant de cas simples (refus de satisfaire à une demande individuelle d’exercice d’un droit) à des cas plus complexes (violations de données à grande échelle).

Dès lors, il apparaîtrait opportun de permettre soit au président de la formation restreinte seul, soit à une fraction resserrée de celle-ci, de prononcer certaines catégories de mesures, en particulier des sanctions de faible montant ou des décisions européennes de pure procédure.

Enfin, la Commission note que la nouvelle loi pourrait constituer une opportunité de modifier le nom de la formation restreinte (au profit de celui, par exemple, de formation des sanctions).

< Délibération CNIL >