Les nouvelles missions de la CNIL se résument en quatre mots :
Accompagner (et à certains égards former) ;
Contrôler (plus et plus souvent)
Sanctionner (plus fort)
Coopérer (avec l’environnement du RGPD )
C’est-à-dire tout ce que l’on demande à une Autorité Administrative Indépendante ( A.A.I) en responsabilité d’un domaine désormais régi par les normes de la compliance.
1.Une mission d’accompagnement renforcée (art. 8)
A l’égard des responsables de traitement
La CNIL a pour mission d’encourager l’élaboration de codes de conduite, de les approuver mais également d’homologuer et de publier des méthodologies de référence (MR) en matière de recherche dans le domaine de la santé.
Six méthodologies de référence ont ainsi été élaborées ou mises à jour par la Commission :
MR 001 : relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé avec recueil du consentement de la personne concernée ;
MR 002 : relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro;
MR 003 : relative au traitement des données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé ne nécessitant pas le recueil du consentement de la personne concernée ;
MR 004 relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches n’impliquant pas la personne humaine, des études et évaluations dans le domaine de la santé,
MR 005 :relative aux traitements de données nécessitant l’accès par des établissements de santé et des fédérations aux données du PMSI et des résumés de passage aux urgences centralisées et mises à disposition sur la plateforme sécurisée de l’ATIH ;
MR 006 :relative aux traitements de données nécessitant l’accès pour le compte des personnes produisant ou commercialisant des produits mentionnés au II de l’article L. 5311-1 du code de la santé publique aux données du PMSI centralisées et mises à disposition par l’ATIH par l’intermédiaire d’une solution sécurisée.
En vue d’assurer la sécurité des systèmes et de régir les traitements de données biométriques, génétiques et de santé, la CNIL doit encore se concerter avec les organismes représentatifs pour établir des règlements types et peut prescrire des mesures techniques et organisationnelles supplémentaires. Sur ce point, le règlement type “Biométrie au travail” est en cours de discussion et devrait être le premier à être publié par la Commission.
C’est également elle, en collaboration avec le Comité européen de la protection des données, qui peut être saisie d’une demande d’approbation de règles d’entreprises contraignantes en cas de flux transfrontaliers de données.
Enfin, la loi du 6 janvier 1978 telle que modifiée par l’ordonnance du 12 décembre 2018 indique que la CNIL a la possibilité d’établir une liste des traitements susceptibles de créer un risque élevé pour les droits et libertés et nécessitant de ce fait la réalisation d’une analyse d’impact et une consultation préalable de ses services. A ce sujet, il faut noter la délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise. Bien que quatorze catégories de traitement soient visées dans ce document, il ne s’agit pas d’une liste exhaustive des traitements soumis à la réalisation d’une analyse d’impact et le responsable devra se reporter à la liste des critères dégagés par le Groupe de l’article 29 (devenu le Comité européen de la protection des données) dans ses lignes directrices du 4 avril 2017 pour déterminer au cas par cas si une analyse d’impact doit être menée. Pour parfaire ce dispositif, la CNIL prévoit de publier une liste des traitements non soumis à une telle analyse.
A l’égard des personnes concernées
Classiquement, l’une des missions de la CNIL est de traiter la réclamation, la pétition ou la plainte dont elle a été saisie. Le texte précise qu’elle est tenue d’examiner ou d’enquêter sur l’objet de la réclamation et d’informer l’auteur de celle-ci de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable. Il s’agit alors d’une mission continue. S’agissant de l’instruction des réclamations par la CNIL, on peut noter l’instauration d’un délai de 3 mois, au terme duquel le silence de la CNIL vaut rejet (D. n° 2005-1309, 20 oct. 2005, art. 6-2, créé par D. n° 2018-687, 1er août 2018). Dans le cas d’une demande manifestement infondée ou excessive, la CNIL peut aussi exiger le paiement de frais raisonnables ou refuser de donner suite à une demande.
Une mission de certification directe et indirecte
La CNIL peut décider de certifier les personnes, les produits, les systèmes de données ou les procédures qu’elle considère conformes aux dispositions légales. Elle peut également confier cette tâche à un organisme certificateur qu’elle aura agréé en amont, seule ou conjointement avec le Comité français d’accréditation (COFRAC). La certification délivrée ne saurait être supérieure à 3 ans.
Cette certification repose sur la production de référentiels à l’endroit d’une part, des organismes désireux de certifier des personnes, des produits, des systèmes de données et des procédures et d’autre part, des entités souhaitant obtenir une certification pour elles-mêmes ou pour leurs produits, systèmes de données et procédures. A ce jour, la CNIL a adopté deux référentiels, l’un pour fixer les critères applicables aux organismes qui souhaitent être habilités par la CNIL à certifier les compétences du délégué à la protection des données (délibération n° 2018-317 du 20 septembre 2018) et l’autre, pour déterminer les conditions de recevabilité des candidatures et la liste des 17 compétences et savoir-faire attendus pour être certifié en tant que délégué à la protection des données (délibération n° 2018-318 du 20 septembre 2018).
Une mission consultative élargie
La CNIL peut désormais être saisie de toute proposition de loi par le président de l’Assemblée nationale, le président du Sénat, les commissions compétentes de l’Assemblée nationale ou du Sénat ou le président d’un groupe parlementaire.
2. Une mission de contrôle facilitée (art. 19)
Le nouveau texte instaure une définition plus large des locaux auxquels les agents de la CNIL peuvent accéder,
la référence aux locaux à usage professionnel est supprimée.
il est désormais possible d’effectuer un contrôle dans les locaux affectés au domicile privé à la condition d’obtenir au préalable une autorisation du juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter
Le secret professionnel pouvant être opposé aux agents de la CNIL est restreint. Il s’applique uniquement aux informations couvertes par le secret applicable aux relations entre un avocat et son client et par le secret des sources des traitements journalistiques.
Une procédure spécifique est prévue pour les traitements impliquant le secret médical pour lesquels l’intervention d’un médecin est requise.
Les agents de la CNIL peuvent effectuer des contrôles en ligne sous une identité d’emprunt sans que cela ait de conséquence sur la régularité du contrôle. Dans ce cadre, les agents doivent simplement procéder à des constatations, sans jamais inciter à la commission d’une infraction. Les agents doivent alors dresser un procès-verbal des opérations en ligne réalisées, des modalités de consultation et d’utilisation des services de communication en ligne, des réponses obtenues et de leurs constatations.
Dans son dernier alinéa et par souci de préservation de l’indépendance du pouvoir judiciaire, l’article 19 de la loi reprend le RGPD en excluant du contrôle de la CNIL les traitements réalisés, dans l’exercice de leur fonction juridictionnelle, par les juridictions.
3. Un pouvoir de sanction renforcé (art. 20)
En l’absence d’urgence
L’article 20 de la loi modifiée s’articule autour de trois procédures applicables à l’encontre du responsable de traitement ou du sous-traitant :
la première consiste pour le président de la CNIL à prononcer un avertissement de façon préventive. Il suffit en effet que les opérations de traitements soient susceptibles de violer les dispositions légales pour la mettre en œuvre ;
la deuxième trouve à s’appliquer quand le manquement constaté est susceptible de faire l’objet d’une mise en conformité. Dans ce cas, le président de la CNIL peut prononcer une mise en demeure, rendue publique ou non, de procéder à des mesures correctrices dans le délai qu’il fixe ;
la troisième intervient en cas de manquement à une disposition légale, qu’une mise en conformité soit a priori possible ou non, et qu’un avertissement ou une mise en demeure ait été prononcé en amont ou non. Ici, la formation restreinte peut, après une procédure contradictoire, recourir à un panel de sanctions très large allant du simple rappel à l’ordre à une amende administrative pouvant atteindre, en fonction des violations, jusqu’à 10 millions d’euros et 2 % du chiffre d’affaires annuel mondial ou 20 millions d’euros et 4 % du chiffre d’affaires annuel mondial. Entre ces deux extrêmes, la CNIL peut prononcer une injonction de mettre en conformité le traitement sous peine de devoir payer une astreinte pouvant atteindre 100 000 € par jour de retard. Une limitation du traitement, son interdiction ou le retrait de l’autorisation qui avait permis sa mise en œuvre peuvent également être envisagés. La CNIL peut encore retirer une certification ou enjoindre à un organisme certificateur de refuser une certification ou de retirer une certification accordée. Elle peut enfin suspendre des flux transfrontaliers de données ou une décision d’approbation de règles d’entreprise contraignantes. Il faut ici observer que les traitements mis en œuvre par l’État restent, tout comme cela était le cas dans le dispositif précédent, globalement à l’abri de ces sanctions.
Enfin, une sanction spécifique est prévue pour les organismes de certification ou les organismes chargés du respect d’un code de conduite qui auraient manqué à leurs obligations ou n’auraient pas respecté les dispositions légales en matière de protection des données puisque ces derniers peuvent faire l’objet d’un retrait d’agrément.
En cas d’urgence
L’éventail des sanctions possibles a été élargi. :
L’injonction de se mettre en conformité sous astreinte de 100 000 € par jour et le rappel à l’ordre ont été repris, marquant un parallèle avec les sanctions envisageables en l’absence d’urgence.
S’y ajoutent les possibilités de suspendre provisoirement une certification, un agrément délivré à un organisme certificateur ou une autorisation de mettre en œuvre un traitement dans le domaine de la santé.
Dans le cadre d’un traitement transfrontalier et en présence de circonstances exceptionnelles, la loi se réfère à l’article 66 du RGPD pour permettre à la CNIL de prendre des mesures provisoires ayant un effet sur le territoire national, sans mettre en œuvre le mécanisme de contrôle de la cohérence. Le texte fait ici référence à quatre mesures : l’interruption provisoire de la mise en œuvre du traitement, la limitation du traitement, la suspension provisoire d’une certification ou d’un agrément délivré à un organisme certificateur. Dès lors qu’elle prononce l’une de ces mesures, la formation restreinte de la CNIL est tenue d’une obligation d’information à l’égard des autorités de contrôle des États tiers concernées et du Comité européen de la protection des données. Elle doit ainsi les tenir informés de la teneur des mesures prises et de leurs motifs. Il s’agit ici d’une reprise pure et simple du texte européen. Il en est de même de l’obligation faite à la formation restreinte de demander un avis d’urgence ou une décision contraignante d’urgence au Comité de la protection des données quand elle estime qu’une mesure définitive est requise ou qu’une autorité de protection tierce n’a pas pris de mesure appropriée dans un cas où il était urgent d’intervenir pour protéger les droits et libertés fondamentaux des personnes concernées. Dans ce dernier cas, la procédure est engagée à la demande du président de la CNIL et se déroule selon les modalités prescrites par l’article 66, § 3 et § 4 du RGPD.
l’amende administrative
Au-delà de l’augmentation considérable de son montant maximal, passant de 3 millions d’euros sous l’empire de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique à 20 millions ou 4 % du chiffre d’affaires annuel mondial avec le RGPD et les textes d’adaptation, il faut constater que les critères pris en compte pour fixer ce montant se sont étoffés.
En plus des critères déjà connus, la Commission doit désormais prendre en compte la nature et la durée de la violation compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi.
La CNIL peut se référer au degré de responsabilité du responsable de traitement ou du sous-traitant eu égard aux mesures techniques et organisationnelles adoptées, aux violations précédemment commises, au respect des mesures déjà prononcées à leur encontre, à l’application de codes de conduite ou de mécanismes de certification approuvés ou à toute autre circonstance aggravante ou atténuante. C’est dans cette dernière considération qu’est incluse la prise en compte d’un avantage tiré de la violation qui existait déjà dans la loi du 6 janvier 1978 sous sa mouture pré-RGPD. Si la liste des critères pris en compte s’est incontestablement allongée textuellement, il faut observer que la CNIL utilisait déjà un faisceau d’indices au moment de prononcer une amende administrative de sorte qu’il n’y a pas en ce domaine de rupture par rapport à l’existant, mais plutôt une continuité.
4. Une coopération étendue (art. 24)
Avec le délégué à la protection des données
Avec le décret du 1er août 2018, le droit d’alerte du correspondant informatique et libertés disparaît au bénéfice d’une obligation de coopération du délégué avec la CNIL (RGPD, art. 39, § 1, d)). Cette modification semble aller dans le sens de la pratique car il pouvait s’avérer délicat pour un correspondant de signaler les manquements constatés dans la structure qui l’avait désigné.
Avec les juridictions
Avec l’entrée en application de la loi du 20 juin 2018, la CNIL peut présenter des observations devant toute juridiction à l’occasion d’un litige impliquant l’application de la réglementation en matière de données personnelles. Ce faisant, elle coopère au service de la justice en apportant son expertise.
Une nouvelle voie s’ouvre également à elle en matière de flux transfrontaliers de données fondés sur une décision d’adéquation de la Commission européenne. La CNIL peut ici saisir le Conseil d’État pour qu’il ordonne soit la suspension d’un transfert de données, soit la prolongation de la suspension d’un tel transfert. La CNIL doit alors assortir sa requête d’une demande de question préjudicielle à la Cour de justice de l’Union européenne (CJUE) en vue d’apprécier la validité de la décision d’adéquation et des actes de la Commission européenne ayant fondé le flux de données litigieux. Cette disposition fait directement écho à l’arrêt “Schrems” (CJUE, 6 oct. 2015, aff. C-362/14, Schrems) dans lequel la CJUE avait invalidé la décision de la Commission européenne autorisant les transferts de données dans le cadre des principes du “Safe Harbor”.
Avec les organes institutionnels
La loi donne à la CNIL pour mission de sensibiliser les médiateurs de la consommation et les médiateurs publics pour une meilleure application des textes en matière de protection des données dans leur champ d’intervention.
Avec les autorités de protection de l’UE
Il s’agit ici du cas d’un traitement transfrontalier pour lequel une coopération des diverses autorités de protection européennes concernées est mise en œuvre. La loi du 6 janvier 1978 dans sa nouvelle mouture reprend sur ce point les dispositions édictées par le RGPD. Elle impose à la CNIL de mettre en œuvre les procédures de coopération et d’assistance mutuelle et de réaliser des opérations conjointes le cas échéant.
Concernant ces opérations de contrôle conjointes, le texte précise que, pour celles opérées sur le territoire français, des membres ou agents de la CNIL doivent être présents aux côtés des membres et agents des autres autorités de contrôle concernées participant à l’opération. Le président de la CNIL peut même habiliter un agent étranger présentant des garanties comparables à celles attendues d’un agent de la CNIL pour exercer ses pouvoirs de vérification et d’enquête.
Dans l’hypothèse où la CNIL agit en qualité d’autorité chef de file, elle est tenue d’apporter toute information utile aux autres autorités de contrôle concernées. Elle doit dans ce cadre mettre ces autorités en mesure d’assister à l’audition du responsable de traitement ou du sous-traitant mis en cause. A défaut, elles doivent pouvoir prendre connaissance d’un procès-verbal dressé à la suite de l’audition.
Dans l’hypothèse où la CNIL n’agit pas en tant qu’autorité chef de file mais en tant qu’autorité concernée, deux procédures sont mises en place pour soulever une objection pertinente et motivée à l’encontre de la mesure projetée par l’autorité chef de file. Le choix de la procédure dépend en réalité du type de mesure projetée :
soit celle-ci consiste en un avertissement ou une mise en demeure applicable uniquement quand le manquement constaté est susceptible de faire l’objet d’une mise en conformité (art. 20, I et II) ; dans ce cas c’est le président de la CNIL qui décide d’émettre une objection pertinente et motivée ;
soit la mesure relève de celles prises après une procédure contradictoire qu’il y ait eu ou non avertissement ou mise en demeure préalable (art. 20, III) ; dans ce cas le président de la CNIL doit saisir la formation restreinte pour émettre une objection pertinente et motivée.
Dans l’hypothèse enfin où la CNIL devrait coopérer avec l’autorité de protection d’un État non-membre de l’Union européenne, une convention organisant les relations entre elles devrait être préalablement conclue et faire l’objet d’une publicité au Journal officiel.
Eric DELFLY