Les carences de la CNIL. A propos d'une décision récente (délibération du 15 juin 2017 - Sté BDE)
J'ai pris connaissance d'une décision de la CNIL qui m'a fait bondir. C'est celle-là: https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000035175069&fastReqId=1125364464&fastPos=3
Pour ceux qui n'auraient pas la patience de suivre le lien et de lire la délibération jusqu'au bout, je vous en résume la teneur: une société ne s'était pas conformée à la loi n° 78-17 du 6 janvier 1978 en mettant en œuvre (pas "implémenter", profitons-en pour faire un peu de français par la même occasion également) un dispositif de video-surveillance (pas "video-protection", profitons-en pour dénoncer la novlangue administrative) manifestement non conforme. Deux ans de procédure, une sanction de 1000 euros prononcée à l'encontre de la société en question.
Rappelons une évidence: que les entreprises et administrations adoptent dans leur très large majorité une approche basée sur les risques pour se mettre en conformité au droit des données personnelles (pas à la "Data privacy", profitons-en pour faire du droit, du vrai, pas de la "compliance"). En clair, elles mettent en balance ce que cela pourrait leur coûter en cas de mise en conformité détectée et sanctionnée (de manière administrative ou à l'occasion d'un procès) avec le coût d'une mise en conformité à cette réglementation. Et en fonction du risque, elles décident ou pas d'engager un processus plus ou moins rigoureux de mise en conformité. Bref, elles agissent de manière purement rationnelle car leur objet premier n'est pas de faire appliquer la réglementation (Souvenir du cours de droit constitutionnel de première année de droit: cela revient au Pouvoir exécutif, donc à l'administration) mais de réaliser ce que Maurice Hauriou appellerait leur "idée d'œuvre", bref leur objet social.
Ce fait est connu de tous dans le petit milieu de la réglementation des traitements de données personnelles. On n'oserait pas une seule seconde imaginer que la CNIL méconnaisse cet état de fait.
Donc concrètement, quand au bout de deux ans de procédure elle adopte une sanction de 1000 euros d'amende à l'encontre d'un contrevenant, quel est le résultat concret? Ce résultat est le suivant: vous pouvez méconnaître la réglementation informatique et libertés, c'est rentable.
Vous, chefs d'entreprise, vous pouvez en toute quiétude ne pas mettre en conformité votre système de vidéo-surveillance, à condition de provisionner environ 1 euro et cinquante centimes par jour (sur une durée de deux ans) en vue de faire face au paiement éventuel et hypothétique de la sanction administrative qui tombera peut-être un jour, et encore si la mise en conformité est détectée, et encore si la décision ne se trouve pas annulée par le Conseil d'Etat.
Bien évidemment, je suis un peu (beaucoup) de mauvaise foi en utilisant ces raccourcis: il est évident qu'une sanction administrative doit être nécessaire et proportionnée dans son montant comme dans ses conditions de publicité, que l'on doive respecter les droits de la défense etc etc.
Néanmoins, cette décision est à mon sens révélatrice de l'ineffectivité statistique de la règle de droit en matière de droit des données personnelles. Il faut dire qu'on fait face à un duo particulièrement explosif: la matière est d'une complexité parfois abominable et son champ d'application est absolument ubiquitaire. Dans ces conditions, il est totalement illusoire d'imaginer que la règle sera respectée, si ne veille sur son respect qu'un gendarme aussi laxiste que la CNIL.
Peut-on faire évoluer la situation? Peut-être par le droit. Attention, on sort du domaine de la "Data privacy" pour rentrer dans les règles de base du droit public. La CNIL est une autorité de police administrative spéciale. Cela signifie qu'elle veille à la protection d'un ordre public spécial distinct de l'ordre public général. Cela signifie en français non juriste qu'elle a la mission de concilier la liberté de traitement des données personnelles - liberté sans laquelle le secteur des activités numériques n'existerait pas - avec la protection des droits de l'Homme (Dignité, liberté et vie privée de la personne humaine, pour l'essentiel).
Dans le cadre de cette mission, la CNIL ne peut pas faire n'importe quoi. Comme le rappellent par exemple ses déboires récents devant le juge administratif, elle ne peut par exemple adopter de sanction qui ne soit pas proportionnée dans le temps (Conseil d'Etat, 28 septembre 2016, req. n°389448). Comme toute autorité de police administrative, elle entache son action d'illégalité si elle va au delà de ce que la loi l'autorise à faire. Elle fait dans ce cas ce que l'on appelle un excès de pouvoir.
Mais dépasser les limites légales à son action n'est pas le seul type de faute pouvant entacher l'action d'une autorité de police administrative. La jurisprudence administrative reconnaît également de manière constante qu'une autorité trop laxiste, qui n'assurerait qu'insuffisamment ses fonctions, peut voir sa responsabilité engagée devant le juge administratif pour "carence" à agir. Cela est vrai pour les autorités de police administrative générale (Conseil d'Etat, 28 novembre 2003, Commune de Moissy-Cramayel, req. n°238349) mais cela l'est tout autant pour les autorités de police administrative spéciale (voir par exemple, en matière de police de l'environnement, la décision du Conseil d'Etat du 27 juillet 2015, req. n°367484).
Or la CNIL est une autorité de police administrative spéciale. Et elle semble à mon sens faire peu de cas du respect effectif des droits et libertés des personnes concernées, par ses carences à agir en conformité avec sa mission statutaire. Je comprends qu'elle préfère inscrire son action dans le sillon bientôt quadragénaire d'une approche "pédagogique" et "compréhensive" à l'égard des contrevenants, mais à un moment ou à un autre, il faudra bien faire du droit. Ne serait-ce que pour protéger les droits fondamentaux des citoyens, une broutille.
Ce constat appelle une question simple: faudra-t-il attendre une action en justice pour que la CNIL se décide enfin à faire son travail complètement?
Communication digitale des Avocats et Professions libérales
7 ansMerci pour cet article qui décrit fort bien le raisonnement de certains chefs d'entreprise face au juriste rappelant le droit : "Entendu, c'est interdit. Quelle serait la sanction éventuelle ?". Dans un autre domaine du droit, la lutte contre le travail illégal se heurte aux mêmes enjeux quand les sanctions des tribunaux ne sont pas suffisamment dissuasives pour décourager la fraude... On comprend que les juges rechignent à infliger des peines de prison à cette délinquance économique mais les condamnations pécuniaires pourraient au moins être à la hauteur du préjudice fiscal et social.
Responsable Infrastructure - Support Client - SSI chez SKEMA Business School
7 ansLa CNIL peut également dénoncer au procureur de la République les infractions à la loi informatique et libertés prévues aux articles 226-16 et 226-24 du code pénal
⚖ DPO Externe (conseil RGPD) 🔐 Organisateur de la sécurité de votre SI 🏢 TPE/PME, Entrepreneur(e), Profession Libérale
7 ansLe montant de l'amende de 1000 € peut paraître faible mais il est aussi à nuancer au regard de la taille de l'entreprise défaillante : 3 salariés. Ceci montre en tout cas, que les TPE doivent aussi respecter la loi I&L, ce dont elles n'ont pas forcément conscience, malheureusement.
Consultant senior cyber et assimilé
7 ansBonjour, une question d'ignare en droit : la CNIL a-t-elle le pouvoir d'adresser l'amende ou doit-elle passer par un juge (je penche pour cette version, puisqu'il y a eu procès)? Dans cette seconde hypothèse, ces 1000€ étaient-ils la demande de la CNIL, ou uniquement la décision du juge ?
Contrôleur général économique et financier
7 ansEncore possible avec #gdpr ?