La loi Informatique et libertés révisée renforce, conformément au nouveau cadre européen sur la protection des données, les pouvoirs de contrôle et de sanction de la CNIL vis-à-vis des entreprises et protège davantage les particuliers.

  1 Les nouvelles missions de la CNIL, autorité de contrôle nationale
accompagnant la conformité

Des outils de droit souple pour accompagner la mise en conformité et prévenir les risques
Des recommandations, référentiels et lignes directrices

On a dit du RGPD qu’il avait un caractère hybride en ce que, à côté des obligations qu’il contient, il offre à la CNIL des outils de droit souple permettant de préciser la règle de droit pour aider à la mise en conformité du droit national au cadre européen.

Le recours au droit souple est en fait consacré comme un outil privilégié d’intervention des autorités de régulation pour définir précisément les obligations qui incombent aux acteurs concernés.

La CNIL perd ainsi son rôle de contrôle administratif préalable pour prendre le rôle d’accompagnement de la conformité, en utilisant ces outils que sont les recommandations, les référentiels, les lignes directrices, l’encouragement à l’élaboration de codes de conduite, ou de
  © Copyright Éditions Législatives 2018

certifications, l’idée étant de définir finalement les pratiques les plus adaptées à la prévention des risques que les traitements de données pourraient entraîner (LIL, art. 11, 2° a bis).

Certes dotés d’aucune force contraignante, ces outils permettent néanmoins d’orienter les comportements des responsables de traitement, de faciliter en conséquence la mise en conformité avec le nouveau texte et de moduler d’éventuelles sanctions.

Remarque : dans le rapport no 592 rédigé lors de l’élaboration du projet de loi, il est indiqué que « les autorités régulatrices pourront y recourir pour écarter des formalités superflues » et adapter leurs exigences au degré de risque identifié pour chaque type de traitement.

Exemple : ainsi, les recommandations, sans être juridiquement contraignantes, précisent les conditions d’application de la loi dans un secteur donné. Les responsables de traitement de données savent que les recommandations sont porteuses de l’interprétation de la loi effectuée par la CNIL et qu’ils ont donc tout intérêt à s’y conformer.

Les codes de conduite et les mesures correctrices

La loi du 20 juin 2018 reprend les dispositions de l’article 40 du RGPD en indiquant que la CNIL encourage l’élaboration de codes de conduite.

Ces codes permettent de définir les obligations qui incombent aux responsables de traitement et aux sous-traitants, compte tenu des risques inhérents aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques (LIL, art. 11, 2° a bis).
Ils doivent prendre en compte la spécificité des différents secteurs de traitement et les besoins spécifiques des micro, petites et moyennes entreprises (RGPD, art. 40, § 1).

Également perçues comme une mesure de prévention, les mesures correctrices à l’encontre des responsables de traitement qui ne respecteraient pas leurs obligations, permettent aussi d’accompagner avant toute sanction l’application des dispositions.
Les règlements types et les mesures techniques et organisationnelles
La CNIL établit et publie des règlements types, pour les données sensibles.

Remarque : celles-ci sont définies dans l’article 9 du RGPD comme celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale ainsi que les données génétiques, biométriques, les données de santé et celles sur la vie ou l’orientation sexuelle.

Ces règlements types permettent de cadrer pour les responsables de traitements de ces données personnelles sensibles, la sécurité des systèmes de traitements et de régir les traitements. A ce titre, la CNIL peut prescrire des mesures techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé et des garanties complémentaires en matière de traitement de données d’infractions.
  © Copyright Éditions Législatives 2018

La prise en compte de l’illectronisme ou de l’illettrisme juridique

A l’heure du « tout hyperconnecté » et du « tout numérique incontournable », la loi tient compte d’une autre réalité, celle des personnes dépourvues de toutes compétences numériques.

C’est ce que les parlementaires ont appelé l’illectronisme ou l’illettrisme numérique et qui se traduit dans l’article 11 de la loi de 1978 par une nouvelle mission de la CNIL qui doit ainsi « prendre en compte la situation des personnes dépourvues de compétences numériques » (LIL, art. 11 a bis).

Une information adaptée est donc diffusée à leur intention mais également des normes de droit souples, notamment des lignes directrices, des recommandations ou référentiels, qui doivent répondre au mieux à leurs besoins et à leurs moyens.


La répartition des pouvoirs de sanction entre le président de la CNIL et la formation restreinte
Une répartition des pouvoirs de sanction
Responsabiliser les organismes mettant en œuvre des traitements de données personnelles en réduisant leurs déclarations et autorisations préalables, va de pair avec un renforcement des pouvoirs de contrôle et de sanctions de la CNIL.

Les débats parlementaires font état d’un changement de paradigme qui doit permettre « aux autorités de contrôle de concentrer davantage leurs actions sur la mission de sensibilisation et d’accompagnement des responsables de traitement et de disposer de moyens de contrôle et mesures correctrices plus conséquentes et dissuasives en cas de violation constatée des règles applicables ».

Une réorientation qui conduit à donner aux autorités de contrôle le pouvoir d’infliger des sanctions financières réellement lourdes en cas de violation des règles (LIL, art. 6), mais leur donne aussi davantage de crédibilité vis-à-vis des responsables de traitements.

La procédure de sanction devant la CNIL s’articule entre les pouvoirs d’instruction et de mise en demeure du président de la CNIL et les pouvoirs de sanction de la formation restreinte (LIL, art. 45 à 48), articulation qui est conforme aux principes constitutionnels d’indépendance et d’impartialité de l’article 16 de la Déclaration des droits de l’homme et qui doit être accompagnée d’un strict encadrement des motifs légaux de la sanction infligée.

Toutes les sanctions qui sont prononcées par la formation restreinte, sont prononcées à la suite d’une procédure contradictoire et sur la base d’un rapport établi par un membre de la CNIL qui n’appartient pas à la formation restreinte.
  © Copyright Éditions Législatives 2018

Remarque : dans un arrêt du Conseil d’État du 19 février 2008 (Sté Profil France), la juridiction administrative a considéré que la CNIL « eu égard à sa nature, à sa composition et à ses attributions, peut être qualifié [e] de tribunal au sens de l’article 6-1 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (CEDH) » et qu’en conséquence, elle est tenue, « lorsqu’elle se prononce sur des agissements pouvant donner lieu aux sanctions prévues par les dispositions des articles 45 et suivants de la loi du 6 janvier 1978 », de statuer « dans des conditions respectant le principe d’impartialité ».

Des mesures correctrices
La répression des manquements par un éventail de mesures
Pour compléter les mesures que la CNIL peut prendre à l’égard des responsables de traitement qui ne respecteraient pas leurs obligations, la loi du 20 juin 2018 donne à la CNIL la possibilité d’adopter des mesures « correctrices » et des sanctions (LIL, art. 49-4).

L’autorité de contrôle peut ainsi prononcer soit un simple avertissement (par le président), soit une mise en demeure (également par son président, éventuellement rendue publique par le bureau), soit avoir directement recours à une procédure contradictoire devant la formation restreinte de la CNIL, qui pourra alors graduer les sanctions possibles.

Remarque : le Conseil constitutionnel a été saisi le 16 mai 2018 sur ce point notamment. Les requérants soutenaient en effet « qu’en permettant qu’un même comportement donne lieu successivement à un avertissement ou à une mise en demeure de la part du président de la commission puis à des sanctions prises par la formation restreinte », le principe de proportionnalité des peines serait méconnu. Le Conseil constitutionnel a répondu que ni les avertissements ni les mises en demeure prononcées par le président de la commission ne constituent des sanctions ayant le caractère de punition, et par conséquent la circonstance qu’une sanction se cumule avec ces mesures « ne saurait être regardé comme constituant un cumul de sanctions » (Cons. const., 12 juin 2018, no 2018-765 DC).

Le simple avertissement
En première intention, le président de la CNIL va pouvoir avertir le responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer le règlement (LIL, art. 45, I), ce qui met les responsables et les sous-traitants sur un pied d’égalité et permet, conformément à l’esprit du RGPD, de responsabiliser l’ensemble des acteurs.

La mise en demeure, avant saisine de la formation restreinte
Ensuite, en deuxième intention, si le responsable du traitement ou le sous-traitant ne tient finalement pas compte de cet avertissement, on passe à une deuxième étape qui est celle de la mise en demeure par le président de la CNIL des deux acteurs récalcitrants (LIL, art. 45, II).
  © Copyright Éditions Législatives 2018

Comme toute procédure, c’est une procédure qui se veut pédagogique et permet au mis en demeure de se mettre en conformité avec ses obligations avec, à la clé, le rappel des mesures qu’il doit prendre.

Cette simple mise en demeure, avant la saisine de la formation restreinte (l’instance de sanction de la CNIL), n’est possible que si le manquement constaté est encore susceptible de faire l’objet d’une mise en conformité, le délai de cette mise en conformité pouvant être fixé à 24 heures en cas d’urgence.

Il pourra s’agir d’une mise en demeure de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, de mettre les opérations de traitement en conformité avec les dispositions applicables, de communiquer à la personne concernée une violation de données à caractère personnel (à l’exception des traitements qui intéressent la sûreté de l’État ou la défense), de rectifier ou d’effacer des données à caractère personnel, ou encore de limiter le traitement de ces données.
La publicité de la mise en demeure, une sanction pour la notoriété

Cette mise en demeure pourra être rendue publique, ce qui pour les opérateurs concernés a valeur de sanction, compte tenu de l’impact sur leur image, leur réputation et des conséquences éventuelles d’un tel déficit de notoriété (LIL, art. 45, II).

Et en cas de publicité de la mise en demeure, le président qui peut prononcer la clôture de la procédure de mise en demeure, fait également publier la décision de clôture.
Remarque : en 2017, la CNIL a prononcé 79 mises en demeure dont 6 publiques. Des sanctions en fonction de la gravité du manquement
La saisine de la formation restreinte : 7 mesures graduées

Enfin, le président peut également directement ou après avertissement, ou en complément d’une mise en demeure, saisir l’organe de sanction de la CNIL, en vue du prononcé de diverses sanctions en fonction de la gravité du manquement (LIL, art. 45, III).
Celles-ci au nombre de 7 sont les suivantes :

- le rappel à l’ordre ;
– l’injonction de mise en conformité du traitement ou de satisfaire aux demandes de la personne concernée par un traitement en vue d’exercer ses droits qui peut être assortie d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard, à compter de la date décidée par la formation restreinte ;
– la limitation temporaire ou définitive du traitement (sauf le traitement qui intéresse la sûreté de l’État ou la défense), son interdiction ou le retrait d’une autorisation ;
  © Copyright Éditions Législatives 2018


– le retrait de la certification, ou l’injonction à un organisme certificateur de refuser une certification ou de retirer la certification accordée ;

– la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;

– la suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes

– une amende administrative ne pouvant excéder 10 M€ ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu, montants doublés en cas de non-respect d’une injonction émise par une autorité de contrôle ou dans certains cas particuliers mentionnés au 5 et 6 de l’article 83 du RGPD (L. 20 juin, art. 7).

La publicité des sanctions
Là encore ces mesures peuvent être rendues publiques et être insérées dans des journaux aux frais des personnes sanctionnées (LIL, art. 47, 2e al.).

Remarque : en 2017, la formation restreinte a prononcé 14 sanctions, dont 9 sanctions financières et 6 publiques, et 5 avertissements et 2 publics.
© Copyright Éditions Législatives 2018

  2 Le champ d’application de la loi
Des marges de manœuvre laissées aux États
Le RGPD est applicable dans toutes ses dispositions et obligations depuis le 25 mai 2018 mais les États membres ont sur certains points une latitude pour le mettre en œuvre.

En effet dix articles de la loi exploitent les 57 marges de manœuvre permises par le RGPD, règlement sui generis qui, bien que d’application directe, compte plus de cinquante dispositions renvoyant au droit des États.

Mais ces marges de manœuvre qui se traduisent concrètement par des précisions, des dérogations ou au contraire sur davantage de garanties encore que ne le prévoit le droit européen, peuvent être source d’incertitudes et de conflits de normes en cas de dispositions
© Copyright Éditions Législatives 2018

divergentes entre les législations nationales. C’est la raison pour laquelle le champ d’application des marges de manœuvre des États a été défini.

Les marges de manœuvre laissées aux États portent sur le champ d’application de la loi, le maintien de formalités préalables, les dérogations aux droits des personnes concernées et les modalités d’action de groupe des associations.

Le critère de résidence pour l’application de la loi nationale
Au titre des marges de manœuvres laissées aux États membres, l’article 10 de la loi du 20 juin 2018 fixe le champ d’application territoriale des règles françaises adaptant ou complétant le RGPD, en privilégiant un critère de résidence.

En principe, ce sont les règles nationales qui s’appliquent « dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France » (LIL, art. 5-1).

Par dérogation, lorsque sont concernés des
traitements de données personnelles réalisés à des fins journalistiques ou d’expression universitaire, artistique ou littéraire mettant en cause le droit à la liberté d’expression et d’information, le droit applicable sera celui dont relève le responsable de traitement lorsqu’il est établi dans l’Union européenne.
La précision dans la loi du critère d’application participe aussi de l’attractivité du territoire puisqu’il garantit une certaine sécurité juridique pour les responsables de traitement, qui peuvent ainsi connaître la loi applicable en cas de législation différente entre États membres. Il en est de même des personnes concernées par un traitement qui n’ont pas à s’interroger sur le droit applicable dans un autre État, lequel n’est bien souvent pas accessible dans leur langue. Et enfin ainsi que le souligne l’étude d’impact, une telle option est plus respectueuse de la souveraineté du droit national, puisque, dès lors qu’il s’agit d’une marge de manœuvre, les États membres appliquent leur droit lorsqu’il s’agit d’adapter ou de compléter les droits et obligations prévus par le règlement.

Remarque : l’article 5 de la loi n° 78-17 du 6 janvier 1978 prévoyait que le droit national s’applique lorsque le responsable est établi en France ou à défaut, en absence d’établissement en France ou dans l’Union européenne, lorsque le responsable recourt à des moyens de traitement sur le territoire français. Ces critères de détermination du droit applicable ne tiennent pas compte du lieu de résidence de la personne concernée.
© Copyright Éditions Législatives 2018

  3 Les voies de recours modifiées ou créées
L’action de groupe en réparation
Toujours dans le cadre des marges de manœuvres laissées aux États par le RGPD, l’article 25 de la loi du 20 juin 2018 étend l’action de groupe à la réparation des préjudices matériels et moraux (LIL, art. 43 ter, II, III, IV).

Cette action peut être exercée lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement, de même nature, aux dispositions de la loi de 1978 de la part d’un responsable de traitement ou d’un sous-traitant.
© Copyright Éditions Législatives 2018

Jusqu’à présent l’action de groupe en constatation d’un manquement du responsable de traitement ou de son sous-traitant ne prévoyait pas la possibilité de demander la réparation des préjudices subis. Or « il est paradoxal qu’une action dont l’objet se borne à la cessation d’un manquement ne puisse être engagée que si ce manquement a déjà causé un dommage ».

La loi du 20 juin 2018 élargit donc son champ d’application puisqu’en plus de tendre à la cessation d’un manquement à la loi nationale, l’action de groupe est étendue à la réparation des préjudices matériels et moraux subis en raison d’un manquement aux obligations incombant à un responsable de traitement ou à son sous-traitant.

En outre, il est également prévu que l’action de groupe pourrait être exercée en cas de manquement aux dispositions de la loi française, mais aussi du règlement européen.

Le demandeur à l’action doit en informer la CNIL afin que celle-ci puisse effectivement exercer sa nouvelle faculté de présenter des observations devant toute juridiction.
Remarque : c’est la loi Hamon no 2014-344 du 17 mars 2014 sur la consommation qui a introduit en droit français l’action de groupe.

Elle permet à une association de défense des consommateurs représentative au niveau national et agréée en application d’agir devant une juridiction civile afin d’obtenir la réparation des préjudices individuels subis par des consommateurs placés dans une situation similaire ou identique et ayant pour cause commune un manquement d’un ou des mêmes professionnels à leurs obligations légales ou contractuelles. Jusqu’à présent réservée aux relations entre consommateurs et professionnels, la loi no 2016-1547 de modernisation de la justice du XXIe siècle du 18 novembre 2016 a instauré un cadre légal commun aux actions de groupe, afin de pouvoir l’étendre à d’autres matières que celui du droit de la consommation. Cinq domaines sont concernés, à savoir la lutte contre les discriminations, le droit du travail, l’environnement, la santé publique et les données personnelles numériques.

La possibilité de mandater une association pour exercer ses droits aux recours
Il est dorénavant possible pour une personne concernée par un traitement de mandater une association ou une organisation syndicale pour exercer une réclamation auprès de la CNIL, mais aussi de former un recours devant un juge contre la CNIL ou contre un responsable de traitement ou un sous-traitant (LIL, art. 43 quater).

La responsabilité d’un responsable de traitement ou d’un sous-traitant ne peut être engagée aux fins d’indemnisation, dans le cadre d’une action de groupe, que lorsque le fait générateur de la responsabilité est postérieur au 24 mai 2018.

Remarque : l’agrément préalable obligatoire des associations dont l’objet statutaire est la protection de la vie privée et des données personnelles pour qu’elles puissent introduire une action de groupe, comme c’est le cas en matière de consommation, d’environnement et de santé, n’a pas été retenu. (...)
  © Copyright Éditions Législatives 2018

   4 Les traitements pénaux des fichiers de police et de justice
Un nouveau chapitre dans la LIL spécifiques aux traitements pénaux
Un nouveau chapitre dans la LIL spécifiques aux traitements pénaux On le sait, la loi informatique et libertés telle qu’elle résulte de la transposition du nouveau cadre européen de protection des données personnelles est assez peu lisible puisque 3 niveaux de normes (RGPD, directive et droit national) s’y enchevêtrent.

Les traitements de données à caractère personnel en matière pénale sont, de par leur nature et leurs finalités, l’objet de nombreuses dérogations. Quant au transfert de telles données dans le cadre de la coopération judiciaire entre États membres, il obéit à de nombreuses conditions d’application parfois difficiles à mettre en œuvre.

En transposant dans un tout nouveau chapitre XIII de la loi informatique et libertés (LIL, art. 70- 1 à 70-27), les dispositions relatives aux traitements de données personnelles par la police et
© Copyright Éditions Législatives 2018

les autorités judiciaires en matière pénale, le législateur a souhaité regrouper de manière simple et lisible, les dispositions applicables à cette catégorie de traitements.

Le nouveau chapitre de la loi de 1978 recense les principes généraux applicables aux fichiers de police et justice, les obligations incombant aux autorités et responsables de ces traitements, les droits reconnus aux personnes concernées, assortis des restrictions susceptibles d’affecter leur portée ou leur exercice, ainsi que les conditions de transferts des données vers des États n’appartenant pas à l’Union européenne.

Sous réserve de quelques adaptations et limitations, les fichiers de police et de justice sont soumis aux principes généraux et droits applicables aux personnes concernées tels qu’ils sont prévus par le RGPD.
Les articles 70-1 à 70-27 s’appliquent par dérogation aux autres dispositions de la loi en vigueur jusqu’à présent.

Une analyse d’impact préalable au traitement en cas de risque élevé
Une nouvelle exigence européenne est inscrite dans la loi du 20 juin 2018 à l’article 30 : il s’agit de l’analyse d’impact, préalable au traitement éventuel qui transpose les articles 27 et 28 de la directive (LIL, art. 70-4).

En fait, si la plupart des formalités préalables auprès de la CNIL sont supprimées, le règlement conserve néanmoins des formalités pour les traitements présentant « un risque élevé pour les droits et libertés des personnes physiques ».
Cette analyse d’impact du risque devra être adressée à la CNIL en même temps que la demande d’avis pour les traitements mis en œuvre pour le compte de l’État, qui restent en effet soumis à autorisation par un acte réglementaire pris après avis de la CNIL.

Le régime de déclaration préalable est donc remplacé par l’obligation de mener une analyse de l’impact des opérations de traitement sur la protection des données personnelles, si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, notamment parce qu’il porte sur des données sensibles.

L’analyse est obligatoire dans 3 cas :
– lorsque le traitement consiste en une « évaluation systématique et approfondie d’aspects personnels (...), qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques » ;
– lorsque sont traitées « à grande échelle » des données sensibles, qui révèlent l’origine raciale ou ethnique, les opinions politiques, religieuses ou philosophiques, l’appartenance syndicale, des données génétiques, biométriques ou concernant la santé, la vie sexuelle ou l’orientation
  © Copyright Éditions Législatives 2018

sexuelle d’une personne, ou des données relatives aux condamnations pénales et aux infractions ;
– lorsque le traitement procède à « la surveillance systématique à grande échelle d’une zone accessible au public ».
La consultation préalable de la CNIL en cas de risque élevé
Au vu de l’analyse effectuée et lorsque celle-ci conclut que « le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque », la consultation préalable de la CNIL par le responsable de traitement ou son sous-traitant est obligatoire.

Elle devra également être consultée si le traitement, en raison de l’utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et droits des personnes.

La CNIL précise sur son site qu’un « risque sur la vie privée » est un scénario décrivant un événement redouté et toutes les menaces qui permettraient qu’il survienne, tel qu’un accès non autorisé, une modification non désirée ou une disparition de données, et ses impacts potentiels sur les droits et libertés des personnes.
Le risque est estimé en termes de gravité et de vraisemblance et la gravité doit uniquement être évaluée pour les personnes concernées. Par exemple, en cas de vol d’un ordinateur d’un médecin contenant des données médicales, le risque serait grave pour les patients.

Remarque : en fait, tout traitement portant sur des données dites sensibles serait nécessairement considéré comme susceptible d’engendrer un risque élevé.

Le contenu de l’analyse d’impact L’analyse d’impact contient :

– une description générale des opérations de traitement envisagées ;

– une évaluation des risques pour les droits et
libertés des personnes concernées ;

– les mesures envisagées pour faire face à ces risques ;

– les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect des prescriptions de la directive.

L’interdiction de réutilisation des données à des fins autres
Les traitements ultérieurs à des fins autres que les finalités de la directive sont interdits, sauf si des dispositions législatives ou réglementaires nationales ou le droit de l’Union le permet (LIL, art. 70-5).

En cas de transfert à un tiers des données d’un traitement soumis à des conditions spécifiques, l’autorité compétente devra informer le destinataire des données de ces conditions et de l’obligation de les respecter. Si cette transmission a lieu vers un tiers dans un État membre de
  © Copyright Éditions Législatives 2018

l’Union européenne ou dans le cadre de la coopération judiciaire en matière pénale ou policière au sein de l’Union, ces conditions spécifiques ne pourront pas être différentes de celles applicables aux transferts de données similaires à l’intérieur de l’État dont relève l’autorité compétente qui transmet les données.
  © Copyright Éditions Législatives 2018

Bulletin spécial "Protection des
  données personnelles"
Nouvelle loi Informatique et libertés telle que modifiée par la loi du 20 juin 2018 relative à la protection des données personnelles

> Une présentation des dispositions d'adaptation communes au règlement et à la directive
> Les marges de manœuvres permises par le RGPD et le champ d'application de la loi française

> Un tableau de présentation des dates d'entrée en vigueur des différentes dispositions de la loi
EN SAVOIR PLUS
    © Copyright Editions Législatives 2018.

Magic Home Service