Home / Actualités / La CNIL prononce des amendes sans mise en demeure...

La CNIL prononce des amendes sans mise en demeure préalable

CE, 4 novembre 2020, n°433311

26/01/2021

Une décision du Conseil d’Etat du 4 novembre 2020 confirme le risque de sanctions financières immédiates prononcées par la CNIL (CE, 4 novembre 2020, n°433311).

En matière d’amendes administratives pour non-respect de la législation relative à la protection des données à caractère personnel, le Conseil d’Etat donne le ton : "Il résulte clairement [des dispositions de la loi Informatique et Libertés] que le prononcé d'une sanction par la formation restreinte de la CNIL n'est pas subordonné à l'intervention préalable d'une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL". La CNIL dispose donc de toute latitude pour agir.

Constat de non-conformité : la CNIL engage une procédure de sanction sans mettre le contrevenant préalablement en demeure

Lors du contrôle des locaux et systèmes informatiques d’une société de gestion immobilière le 7 septembre 2018 intervenus à la suite d’une plainte, la CNIL a constaté plusieurs manquements à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (Loi "Informatique et Libertés") et particulièrement un défaut de sécurisation des données. Il était en effet possible d’accéder à des milliers de documents d’utilisateurs et de les télécharger depuis le site internet de la société (informations relatives à l’identité, l’état civil, la fiscalité, la carte Vitale, des données bancaires, financières et de sécurité sociale).

Cinq jours après ces premiers constats, la CNIL relève lors d’un nouveau contrôle que la société, pourtant informée de l’existence de ce défaut de sécurité et de sa gravité, n'y a pas remédié. La présidente de la CNIL engage une procédure de sanction à l'encontre de la société qui aboutit à une délibération n°2019-995 du 28 mai 2019 de la formation restreinte de la CNIL. Celle-ci inflige à la société une amende de 400 000 euros et rend cette sanction publique pour une durée de deux ans.

La société a formé un recours devant le Conseil d’Etat pour contester les conditions du prononcé de cette sanction. Le Conseil d’Etat devait déterminer si l'ancien article 45 de la Loi Informatique et Libertés (devenu l’article 20) obligeait la CNIL à mettre en demeure la société avant de prononcer une sanction dans le cas où le manquement était susceptible d’être régularisé. Au-delà du contexte de l’affaire en cause, l’enjeu est particulièrement important : sans obligation de mise en demeure, la CNIL n’a plus besoin d’envoyer une mise en demeure avant de sanctionner un contrevenant, et ce dernier ne peut plus éviter la sanction par une régularisation du manquement.

L’évolution de la procédure de mise en demeure préalable à la sanction de la CNIL : une formalité obligatoire devenue facultative

Entre 2004 et 2016, la mise en demeure préalable du responsable de traitement était obligatoire : la CNIL ne pouvait prononcer d’amende que si le responsable de traitement ne se conformait pas à ses obligations dans le délai qui lui avait été imparti (CE, 19 juin 2017, n° 396050). Puis, de 2016 à 2018, la mise en demeure préalable est devenue facultative dans l’hypothèse où le manquement constaté ne pouvait pas être régularisé dans le cadre d'une mise en demeure. La CNIL pouvait alors directement prononcer une amende.

En l’espèce, la société se fondait sur cette rédaction pour justifier qu’elle aurait dû recevoir une mise en demeure. Toutefois, l’entrée en vigueur du règlement général sur la protection des données à caractère personnel (RGPD) le 25 mai 2018 a en réalité changé la donne, rendant la mise en demeure totalement facultative. La nouvelle évolution du texte permet à la CNIL d’imposer des amendes sans mettre en demeure le contrevenant, et la délibération attaquée en est une parfaite illustration, la CNIL y indiquant qu’elle dispose de "l'opportunité des poursuites pour déterminer, en fonction des circonstances de l'espèce, les suites à apporter à des investigations".

Dans un arrêt en date du 4 novembre 2020, (CE, 4 novembre 2020, n°433311), le Conseil d’Etat confirme ce raisonnement en considérant que la CNIL n’a aucune obligation de prononcer une mise en demeure, quand bien même le manquement aurait pu être régularisé ; elle peut dès lors prononcer une sanction. Le Conseil d’Etat laisse donc toute latitude à la CNIL pour décider des suites à donner lorsqu’elle constate une violation de la législation en matière de protection des données à caractère personnel. 

Le renforcement acté de la stratégie répressive de la CNIL

La CNIL s’est d’ores-et-déjà emparé de la solution du Conseil d’Etat en s’y référant de manière expresse le 7 décembre 2020 dans une nouvelle décision infligeant deux amendes de 40 et 60 millions d’euros à deux sociétés pour non-respect de leurs obligations en matière de cookies.

Ainsi, la CNIL semble désormais prendre son rythme de croisière et user pleinement des prérogatives qui lui sont dévolues et dont la combinaison peut s’avérer fortement dissuasive pour tout contrevenant :

  • l’absence d’obligation de mise en demeure préalable en cas de constat d’infraction au RGPD ;
  • le prononcé d’amendes dont le plafond a été réhaussé, pouvant atteindre 20 millions d’euros, ou, dans le cas d'une entreprise, 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Technologie, Media et Communication dans notre cabinet d’avocats :

Si les avancées technologiques constituent de formidables opportunités, elles sont également un vecteur de risques pour les entreprises. Dans cet environnement évolutif, notre cabinet d’avocats met à votre disposition sa fine compréhension des nouvelles technologies, son expertise reconnue en matière de propriété intellectuelle ainsi que sa parfaite maîtrise du droit des contrats.

cabinet avocats CMS en France

A propos de notre cabinet d'avocats

expertise tmc 330x220

Expertise : Technologie, Media et Communication

nous contacter 330x220

Nous contacter

Avocats

Benezeth Benjamin
Benjamin Benezeth
Juriste
Paris
Anne Laure Villedieu
Anne-Laure Villedieu
Associée
Paris