ARTICLES

Sanction de la CNIL pour défaut de sécurité des données à caractère personnel : pas besoin de mise en demeure si l’incident est passé


21 janvier 2019



Article 7 de la loi du 20 juin 2018 relative à la protection des données personnelles : 

Si la Cnil s’inscrit dans une démarche d’accompagnement des entreprises, c’est à la condition que celles-ci s’engagent dans une démarche proactive, conformément aux exigences posées par le RGPD et à l’inversion de la charge de la preuve qu’il consacre.

 

Dès lors, celles-ci doivent prendre en charge la sécurité des données personnelles qu’elles traitent, sans attendre pour cela d’être mises en demeure.

 

C’est ce qu’a appris à ses dépens la société Optical Center qui, à la suite d’une fuite de données, a été condamnée, sans mise en demeure préalable, au paiement de la somme de 250 000 euros (amende record à ce jour), sur le fondement de l’article 45, I de la loi Informatique et libertés (tel que modifié par l’article 64 de la loi du 7 octobre 2016 pour une République numérique).

 

Ce texte permettait en effet à la formation restreinte de la Cnil de prononcer une sanction « sans mise en demeure préalable et après une procédure contradictoire », « lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure ».

 

Or, dans la mesure où l’incident datait de plusieurs mois, il ne pouvait plus être l’objet d’une réparation, laquelle ne peut « avoir d’effet que pour l’avenir et non pour le passé », mais d’une sanction (Cnil, Délibération de la formation restreinte n° SAN-2018-002 du 7 mai 2018 prononçant une sanction pécuniaire à l’encontre de la société Optical Center).

 

Il est vrai que, de manière générale, une mise en demeure n’est exigée que si une exécution est encore possible (A. Quin, L’aménagement conventionnel de l’inexécution des obligations contractuelles, La compensation d’une obligation par une autre en cas d’inexécution, éd. ANRT, 2001).

 

De plus, comme le relève justement la Cnil, subordonner une sanction à une mise en demeure favoriserait la passivité du responsable de traitement qui pourrait, en cas de violation de données, « s’abstenir de prendre aucune mesure corrective et (…) attendre que lui soit éventuellement adressée une mise en demeure, le seul fait de s’y conformer faisant alors obstacle au prononcé d’une sanction ».

 

Cette solution n’est pas modifiée par le réforme opérée par l’article 7 de la loi du 20 juin 2018 relative à la protection des données personnelles puisque le nouvel article 45, III de la loi du 6 janvier 1978 permet à la formation restreinte de la Cnil de prononcer, « le cas échéant en complément d’une mise en demeure », après procédure contradictoire, l’une des sanctions suivantes :

 

  • un rappel à l’ordre ;
  • une injonction de mise en conformité du traitement, éventuellement assortie d’une astreinte pouvant aller jusqu’à 100 000 euros par jour de retard ;
  • une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation précédemment accordée ;
  • le retrait d’une certification ;
  • la suspension des flux de données adressés hors de l’UE ou à une organisation internationale ;

 

la suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes ; une amende administrative pouvant atteindre 10 millions d’euros ou, s’agissant d’une entreprise, 2% du chiffre d’affaire annuel mondial total de l’exercice précédent.

 

 Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris

 Mise en ligne:  21/01/2019

 





LES AVOCATS ALTA-JURIS