1

L’évolution des missions des autorités de contrôle

< Rapport d'information >

Le renforcement des missions des autorités de contrôle intervient dans le cadre de la « nouvelle ère dans la régulation », suivant les termes de Mme Isabelle Falque-Pierrotin, présidente de la CNIL lors de son audition par la commission des Lois ( 81 ). En effet, le règlement consacre un « changement de paradigme » pour les autorités de régulation en particulier et le traitement des données des personnes physiques en général. À la logique des formalités préalables est substituée une démarche de responsabilisation des acteurs et des droits des individus, dont le respect s’impose aux responsables de traitement et sous-traitants, qui peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

Compte tenu de la suppression des formalités préalables, le contrôle a priori des traitements de données sera sensiblement simplifié : les responsables de traitements n’auront plus à effectuer de déclarations (82). Les traitements les plus sensibles devront faire l’objet d’une étude d’impact sur la vie privée par les responsables de traitements, avant d’être soumis, dans certaines conditions, aux autorités de contrôle, afin qu’elles puissent, le cas échéant, s’opposer au traitement ou demander des garanties supplémentaires.

Celles-ci auront donc un rôle essentiel d’accompagnement des responsables de traitement, comme l’a rappelé Mme Isabelle Falque-Pierrotin lors de l’audition précitée : « Le règlement européen marque une nouvelle étape dans la régulation concernant la protection des données personnelles. Il ne fait que confirmer une tendance que nous avions déjà anticipée en termes de changement de métier depuis quatre ans : de plus en plus, notre rôle est d’accompagner la mise en conformité des acteurs publics et privés. » (83)

De même, dans les éléments transmis à la mission, la CNIL souligne l’importance du volet « mise en conformité » du règlement pour les autorités de contrôle qui devront répondre à de nombreuses demandes de conseils : « Cette dimension de l’activité a connu une forte progression ces dernières années, et correspond plus aux mutations de l’univers numérique. Face à des technologies très évolutives, mais aussi aux enjeux de cybersécurité, les entreprises sont de plus en plus amenées à solliciter la CNIL “ au fil de l’eau ”, et à lui adresser des demandes de conseils. D’ores et déjà, la CNIL reçoit plusieurs milliers de demandes de conseils par an, et sa permanence téléphonique traite 140 000 appels par an de particuliers ou de professionnels. »

Enfin, comme il a été évoqué précédemment, les autorités de régulation pourront prononcer des amendes administratives qui peuvent s’élever, selon la catégorie de l’infraction, de 2 % à 4 % du chiffre d’affaires annuel mondial d’une entreprise , et à 10 ou 20 millions d’euros pour les autres organismes (article 83 du règlement). Ces dispositions visent à renforcer l’effet dissuasif des sanctions que celles-ci peuvent prononcer, dont le niveau était jusqu’à présent modéré : ainsi jusqu’à la loi du 7 octobre 2016 pour une République numérique, la CNIL ne pouvait prononcer que des amendes d’un montant maximum de 150 000 euros ( 84 ).

Ce montant des sanctions tient compte de l’évolution du poids économique des données personnelles et de l’importance économique qu’ont pris certains acteurs de l’économie numérique, pour lesquels une sanction de 150 000 euros n’était pas suffisamment dissuasive.

< Rapport d'information >