…ou comment convaincre son management d’accorder les moyens nécessaires à la mise en place d’une politique efficace de gestion des données.
L’effectivité d’un droit se mesure-t-elle à l’aune de la crainte qu’inspirent les sanctions pesant sur ceux qui l’ignorent ? L’augmentation exponentielle du plafond des sanctions administratives en cas de manquement à la législation relative aux données personnelles gagne à être lue à travers le prisme de cette conception dissuasive de la justice. Si une entreprise ne pouvait, il y a encore quelque mois, être condamnée qu’à une sanction administrative maximale de 150 000 euros (300 000 euros en cas de récidive), elle encourt désormais une amende jusqu’à 3 millions d’euros. Elle risquera surtout, à compter du 25 mai 2018, que soient prononcées à son encontre des sanctions pouvant atteindre jusqu’à 4 % de son chiffre d’affaires mondial annuel.
Le droit des données personnelles a autrefois pu sembler aux entreprises, en raison de sa technicité et de la faiblesse du montant des sanctions, comme ne devant être qu’une préoccupation secondaire. Considérant que le risque encouru était compensé par les bénéfices croissants tirés de l’utilisation des données, elles évitaient de se poser la question de la conformité de leurs traitements à la loi. Elles doivent aujourd’hui reconsidérer leur position.
Des sanctions administratives redoutables
Sanctions plus élevées, pouvoirs d’investigation élargis, coopération entre autorités renforcée : c’est un véritable changement de paradigme qui a été amorcé pour la CNIL.
Lointaine est désormais l’époque du scandale SAFARI qui justifia de la création de la CNIL dans un climat de crainte d’une informatisation incontrôlée des services de l’Etat. A l’heure du Big data, les données personnelles sont partout, et surtout au cœur de la stratégie des entreprises qui les monnayent telle une matière première. Dans ce contexte, la CNIL s’est dotée de pouvoirs coercitifs adaptés au poids des opérateurs économiques qu’elle régule. Ces trois dernières années se sont révélées particulièrement prolifiques.
La loi du 17 mars 2014 relative à la consommation a renforcé son pouvoir d’enquête en lui permettant d’effectuer des contrôles en ligne. L’objectif était clair : mettre sous son joug les géants américains du numérique procédant à des traitements en France. Cette tendance se retrouve au niveau de l’UE où, sous l’impulsion du G29, des enquêtes visant ces mêmes entreprises sont simultanément lancées dans plusieurs Etats. A cet égard, la coordination entre autorités est facilitée par un système d’entraide en matière de contrôles et de sanctions. La coopération a même été étendue, dans certains cas, aux relations entre la CNIL et ses homologues hors UE.
La loi du 7 octobre 2016 pour une République numérique a constitué un jalon supplémentaire. La CNIL s’est ainsi vue autorisée à prendre toute sanction sans mise en demeure préalable, lorsque le manquement ne peut faire l’objet d’une mise en conformité. La publicité des décisions, voulue comme une sanction à part entière, a également été renforcée et peut désormais être couplée à l’obligation d’informer à ses frais chacune des personnes concernées de la sanction prononcée.
Le Règlement européen du 27 avril 2016 est enfin celui qui dote la CNIL des pouvoirs les plus efficaces. Si la révolution majeure reste l’augmentation des sanctions pécuniaires, ces sanctions pourront également désormais être prononcées à l’encontre des sous-traitants. En outre, la sanction assise sur le chiffre d’affaires mondial annuel risque, lorsque l’entreprise concernée est une filiale, d’être calculée à partir de celui de son groupe.
Dans un tel rapport de force, la marge de manœuvre des acteurs économiques devient ténue. Comme pour les procédures de sanctions existantes devant d’autres AAI, ils devront veiller à ce que les garanties procédurales de l’article 6 de la CEDH soient respectées. Le principe du contradictoire est régulièrement évoqué, mais c’est surtout la question de l’impartialité qui fait débat. Si le Conseil constitutionnel (CC) a reconnu que la séparation des fonctions de poursuite et de sanction était indispensable, il a considéré qu’elle pouvait n’être que fonctionnelle. Ce principe a été consacré par la loi du 20 janvier 2017 fixant un statut général des AAI.
Devant la CNIL, l’effectivité de telles garanties apparaît d’autant plus vitale que l’exclusivité de la compétence du Conseil d’Etat pour connaître des recours prive les entreprises sanctionnées du double degré de juridiction. La contestation de la conventionalité de la procédure fera alors bien souvent office d’ultime recours.
Des sanctions pénales à ne pas oublier
Avant 2004, les sanctions pénales étaient les seules prévues en cas de violation de la Loi informatique et libertés (LIL). Relativement sévères (cinq ans d’emprisonnement et 300 000 euros d’amende pour les personnes physiques, 1,5 million pour les personnes morales), elles répriment toute atteinte aux droits de la personne résultant des fichiers ou des traitements informatiques, constitutive d’un délit en vertu des articles 226-16 et suivants du code pénal.
A en croire des décisions désormais anciennes du CC, de telles sanctions pourraient se cumuler à celles de la CNIL, dès lors que le montant total prononcé ne dépasse pas le montant le plus élevé de l’une des sanctions encourues. Dans le même sens, la LIL prévoit que lorsque la CNIL «a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal n’ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s’impute sur l’amende qu’il prononce». Cette entorse au principe du «non bis in idem» semble aujourd’hui a priori difficilement conciliable avec la dernière jurisprudence du CC selon laquelle un délit d’initié ne peut faire l’objet d’une double poursuite par l’AMF et la justice pénale.
S’agissant de la coopération, la CNIL peut être appelée à formuler des observations devant le juge pénal. Elle informe sans délai le procureur des infractions dont elle a connaissance. Cependant, elle a toujours estimé disposer d’un large pouvoir d’appréciation à cet égard. Le rythme de ses dénonciations semble d’ailleurs avoir diminué depuis qu’elle a été dotée de pouvoirs de sanctions propres.
Plus encore, le contentieux pénal est resté rare. On recense peu de décisions et les amendes prononcées sont de montants limités. Si ce désintérêt relatif du juge pénal est en partie lié à la concurrence de la compétence de la CNIL, il s’explique également par son manque d’expertise et de moyens. A surveiller toutefois si le regain actuel d’intérêt pour les données personnelles aura pour effet de le motiver à prendre lui aussi sa part du gâteau…
Le regain des sanctions civiles
Selon l’article 82 du Règlement, «toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi». Si cet article rappelle que le droit commun de la responsabilité civile s’applique en matière de données personnelles, son importance ne doit toutefois pas être négligée.
Pour en mesurer la portée, il doit être appréhendé au regard du renforcement de la maîtrise par l’individu du devenir de ses données qui irrigue désormais la réglementation. Dans un contexte d’exploitation économique croissante des données, enclencher une prise de conscience du consommateur et lui offrir des garanties suffisantes a été une priorité au titre du Règlement. Cela se traduit par l’apparition de droits nouveaux : information accrue, consentement renforcé, droit à la portabilité des données ou à la limitation du traitement, etc. Le droit à un «recours juridictionnel effectif» pour la réparation du préjudice subi s’inscrit dans cette même dynamique.
A cet égard, la possibilité récemment offerte en France aux individus placés «dans une situation similaire» d’agir dans le cadre d’une action de groupe a constitué une nouvelle étape. Si, à ce jour, une telle action demeure limitée à la seule cessation du manquement et n’envisage pas la réparation du préjudice, il n’est pas exclu que celle-ci puisse être ouverte à l’avenir, à la lumière de ce que permet d’ailleurs déjà l’action de groupe dans d’autres domaines. Même limitée, l’action de groupe s’avère redoutable pour la réputation de l’entreprise.
La personne concernée peut du reste toujours obtenir réparation du préjudice subi par un recours individuel devant les juridictions judiciaires (voire répressives en cas de délit). Ici encore, le régulateur a accordé des garanties : la possibilité d’obtenir réparation entière de son préjudice tant matériel que moral auprès soit du responsable de traitement soit du sous-traitant, dès lors qu’ils sont tous deux responsables de la violation.
Dans ces conditions, le contentieux civil des données personnelles constituera bientôt une arme de choix pour la personne concernée, et devrait ainsi être amené à prendre une tout autre ampleur.