2

Mettre en place une procédure de coopération en matière de sanction avec les autorités de contrôle des États membres

< Rapport d'information >

L’européanisation des procédures et des décisions change considérablement les conditions d’intervention de la CNIL en matière répressive.

Si le règlement prévoit les mécanismes de coopération et de décision, il ne comporte aucune disposition sur les règles procédurales, qui relèvent de la seule compétence des États membres.

La diversité des législations nationales en matière de protection des données à caractère personnel et de sanction en cas de non-respect des obligations légales est telle qu’il était difficile de définir dans le règlement, de manière précise, les procédures applicables. En outre, l’ampleur et la complexité des négociations du règlement rendaient difficile de prévoir des règles détaillées permettant de procéder à une harmonisation également sur ces aspects.

Le règlement lui-même prévoit des cas où les amendes administratives n’existeraient pas : « si le système juridique d’un État membre ne prévoit pas d’amendes administratives, le présent article peut être appliqué de telle sorte que l’amende est déterminée par l’autorité de contrôle compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soient effectives et aient un effet équivalent aux amendes administratives imposées par les autorités de contrôle. » (paragraphe 9 de l’article 83).

Il faut donc, dans toutes les lois nationales, concevoir des procédures qui permettent d’assurer la séparation des pouvoirs d’instruction et de sanction, mais aussi le respect des droits de la défense et du contradictoire.

Mme Falque-Pierrotin, présidente de la CNIL a rappelé l’enjeu de cette réforme lors de son audition par la commission des Lois : « La procédure de sanction, actuellement fixée dans la loi informatique et libertés, doit être profondément revue à l’aune du règlement européen. Elle doit donc être ajustée avant mai 2018 pour que nous puissions, dès le 1 er juin 2018, prendre des sanctions communes avec nos homologues européennes. Si l’une des autorités nationales européennes n’est pas prête au 1er juin 2018, le dispositif commun de sanctions ne pourra pas fonctionner. » ( 106 )

Deux types d’outils peuvent préciser les règles applicables en la matière :

les lignes directives adoptées par le G29. Ce dernier a ainsi adopté des premières lignes directrices sur l’autorité chef de file, les étapes procédurales devant le comité européen de protection des données, l’articulation avec les autres procédures de coopération (assistance mutuelle et opération conjointe) parfois préalables à la production d’une décision conjointe, la nature des informations à échanger, les destinataires des informations ;

les dispositions nationales.

Selon les éléments transmis par la CNIL à la mission, la loi devra prévoir trois cas de figure :

– le cas où la CNIL est seule compétente (traitement de données mis en œuvre uniquement en France et ne concernant que des résidents sur le territoire français) ;

– le cas où le traitement concerne plusieurs pays européens dont la France et où l’établissement principal est situé en France, ce qui fait de la CNIL l’autorité « chef de file » ;

– le cas où le traitement concerne plusieurs pays européens dont la France et où l’établissement principal est situé dans un autre pays de l’Union, ce qui fait de la CNIL une autorité amenée à se prononcer sur les propositions de l’autorité chef de file.

Pour chacune de ces trois hypothèses, la loi – et subsidiairement le décret – devra définir :

– les modalités de contrôle opérationnelles sur le territoire français ;

– les modalités de contrôle conjoint, que la CNIL accueille des contrôleurs d’autres autorités ou qu’elle désigne des contrôleurs pour aller opérer des contrôles conjoints chez ses voisins européens. Cette disposition devra notamment fixer les procédures « d’incorporation » des contrôleurs des autres autorités dans les procédures nationales (habilitations, étendue des pouvoirs, etc.) ;

– les procédures d’échange d’information avec les autres autorités, selon que la CNIL est chef de file ou pas ;

– les procédures applicables devant la formation restreinte, et notamment les modalités de respect du principe du contradictoire dans un environnement de codécision : modalités de tenue de l’audience (invitation ou pas des homologues de la CNIL aux audiences de la formation restreinte), possibilité de recours à des services de communication électronique, etc ;

– les modalités de prise de décision (proposition de décision faite par la CNIL chef de file ; ou prise de position de la formation restreinte de la CNIL sur les propositions d’autres autorités ; communication d’une éventuelle objection pertinente et motivée) ;

– les modalités de notification et de représentation auprès du CEPD ;

– les modalités de publicité de la décision : le règlement européen ne prévoit pas la publicité de la décision et renvoie sur ce point aux États membres le soin de définir les éventuelles sanctions complémentaires.

– les modalités de notification, éventuellement après l’avis du CEPD.

< Rapport d'information >