Formations et audits Informatique et Libertés

Des professionnels en conformité Informatique et Libertés : formation, audit, formalités cnil, contrôle cnil et l’application Data Privacy Manager dédiée au CIL

Dictionnaire juridique

Réforme de l’organisation et des pouvoirs de la CNIL

Publicité des sanctions de la CNIL

Vous êtes ici : Accueil > Actualités

lundi 18 avril 2011

Les lois organique et ordinaire relatives au Défenseur des droits du 29 mars dernier ont des conséquences juridiques immédiates sur l’organisation, les contrôles et les sanctions de la CNIL.

Pour rappel, le Défenseur des droits est chargé de :

  • défendre les droits et libertés dans le cadre des relations avec les administrations de l’Etat, les collectivités territoriales, les établissements publics et les organismes investis d’une mission de service public
  • défendre et de promouvoir l’intérêt supérieur et les droits de l’enfant
  • lutter contre les discriminations directes ou indirectes
  • veiller au respect de la déontologie par les personnes exerçant des activités de sécurité

A ce titre, le Défenseur des droits ou son représentant est membre de la CNIL avec voix consultative. Il est associé, à sa demande, aux travaux de la commission.

Election du président de la CNIL

La fonction de président de la commission est dorénavant incompatible avec toute activité professionnelle, tout mandat électif national, tout autre emploi public et toute détention, directe ou indirecte, d’intérêts dans une entreprise du secteur des communications électroniques ou de l’informatique.

Par conséquent, son président actuel, le sénateur du Nord Alex Türk, dont la présidence saluée à droite comme à gauche de l’échiquier politique a été marquée par le renforcement des moyens et des contrôles de la CNIL, ne pourra pas se représenter à la prochaine élection du président de la commission, qui sera organisée au cours de la première quinzaine de septembre 2012 [1].

Mise en œuvre des contrôles de la CNIL

La commission peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d’obtenir des copies de tous documents ou supports d’information utiles à ses missions.

Déroulement des contrôles de la CNIL

Lors d’un contrôle sur place, le responsable des locaux professionnels privés est informé de son droit d’opposition à la visite des agents habilités de la CNIL.

Dès lors qu’il exerce ce droit, le contrôle ne peut se dérouler qu’après une autorisation du juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés ses locaux (un décret en Conseil d’État fixera les conditions d’encadrement par le juge).

Toutefois, en cas d’urgence et sur autorisation préalable du juge des libertés et de la détention, le contrôle sur place de la CNIL peut avoir lieu sans que le responsable des locaux en ait été informé et sans qu’il puisse s’y opposer.

La visite s’effectue alors sous l’autorité et le contrôle du juge des libertés et de la détention qui l’a autorisée, en présence de l’occupant des lieux ou de son représentant qui peut se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des agents de la CNIL chargées de procéder au contrôle.

L’ordonnance du juge mentionne qu’il peut être saisi à tout moment d’une demande de suspension ou d’arrêt du contrôle sur place, et que celle-ci peut faire l’objet d’un appel devant le premier président de la cour d’appel.

Les sanctions de la CNIL

Il revient à la formation restreinte de la CNIL [2] de prononcer les sanctions à l’encontre des responsables de traitements qui ne respectent pas les obligations découlant de la loi Informatique et Libertés.

A fin de respecter les règles du procès équitable [3], les membres de la formation restreinte ne peuvent pas participer à l’exercice des attributions de la commission relatives à la réception des plaintes et aux phases d’enquête et d’instruction des contrôles. L’élection des nouveaux membres de la formation restreinte aura lieu le 28 avril prochain.

A l’issue des contrôles, la formation restreinte de la CNIL peut prononcer, après une procédure contradictoire, un avertissement à l’égard du responsable d’un traitement qui n’a pas respecté les obligations découlant de la loi Informatique et Libertés. Cet avertissement a le caractère d’une sanction.

Le président de la CNIL peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu’il fixe. En cas d’urgence, ce délai peut être ramené à cinq jours.

Si le responsable du traitement ne se conforme à la mise en demeure qui lui a été adressée, la formation restreinte peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes :

  • Une sanction pécuniaire de 150 000 € [4] (à l’exception des cas où le traitement est mis en œuvre par l’État) ;
  • Une injonction de cesser le traitement (lorsque celui-ci relève du régime de la déclaration auprès de la CNIL), ou un retrait de l’autorisation accordée par la CNIL.

De plus, lorsque la mise en œuvre d’un traitement ou l’exploitation des données traitées a porté atteinte à l’identité humaine, aux droits de l’homme, à la vie privée, ou aux libertés individuelles et publiques, la formation restreinte peut, après une procédure contradictoire, engager une procédure d’urgence (qui sera définie par décret en Conseil d’État), pour :

  • Décider l’interruption de la mise en œuvre du traitement, pour une durée maximale de trois mois (à l’exception des cas où le traitement est de ceux mis en œuvre par l’État à l’article 27, ou pour le compte de l’Etat pour la sûreté, la défense et la sécurité publique, ou la recherche et la constatation des infractions pénales) ;
  • Prononcer un avertissement ;
  • Décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, (à l’exception des cas où le traitement est mis en pour le compte de l’Etat pour la sûreté, la défense et la sécurité publique, ou la recherche et la constatation des infractions pénales) ;
  • Informer le Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est mis en œuvre pour le compte de l’Etat pour la sûreté, la défense et la sécurité publique, ou la recherche et la constatation des infractions pénales.

La publicité des sanctions de la CNIL

La formation restreinte peut rendre publiques les sanctions qu’elle prononce. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu’elle désigne aux frais des personnes sanctionnées.

Enfin, le président de la CNIL peut demander au bureau [5] de rendre publique la mise en demeure qu’il a prononcée à l’encontre d’un responsable de traitements.

Nicolas Samarcq
Juriste – Conseil en conformité CNIL

[1La durée du mandat de président est de cinq ans.

[2La formation restreinte de la CNIL est composée d’un président et de cinq autres membres élus par la commission en son sein. Les membres du bureau (le président et les deux vice-présidents de la CNIL) ne sont pas éligibles à la formation restreinte.

[3Article 6-1 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

[4En cas de récidive : 300 000 € dans la limite de 5% du chiffre d’affaires.

[5Le président et les deux vice-présidents de la CNIL.

Nos partenaires

Réalisation : Clic Story ®

Plan du site