La Commission nationale de l’informatique et des libertés (CNIL) est aujourd’hui régulièrement mise sur le devant de la scène, qu’il s’agisse d’évoquer ses recommandations ou les mises en demeure et autres sanctions, qui visent aussi bien des acteurs publics que des acteurs privés, à l’instar de la sanction récente à l’encontre de Google à hauteur de 100 millions d’euros d’amende administrative. Cependant la CNIL fait aujourd’hui face à un nombre important de plaintes et ne peut délivrer qu’un nombre limité de sanctions. Pour faire face à ce défi et pouvoir sanctionner efficacement aussi bien les GAFAM que les petites structures (TPE/ PME ou certaines mairies notamment) en cas de non conformité, un projet de loi, récemment adopté en conseil des ministres et soumis au vote des parlementaires dans le courant de l’été prévoit de renforcer les pouvoirs de sanction de la CNIL.
I/ Les mesures envisagées par le projet de loi 4D
Ce renforcement des pouvoirs de sanction de la CNIL est envisagé dans le “projet de loi relatif à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l’action publique”, dit “4D”. Si le texte porte notamment sur les transports ou l’urbanisme, son article 51 prévoit de modifier la loi Informatique et libertés. Partant du constat qu’en ne permettant “d’adopter environ cinquante mises en demeure et une dizaine de sanctions par an, les procédures de traitement des plaintes apparaissent désormais inadaptées”, le projet de loi prévoit la création de procédures simplifiées, pouvant être mises en oeuvre par le président de la CNIL.
En effet, sous l’empire du droit positif, la CNIL peut décider de mettre en demeure un responsable de traitement ou un sous traitant, puis, elle peut décider de mettre en oeuvre une procédure de sanction, au terme de laquelle une amende administrative pouvant représenter un montant allant jusque 4% du chiffre d’affaires annuel mondial d’une entreprise ou 20 millions d’euros peut notamment être prononcée (il existe également d’autres sanctions extra pécuniaires).
Le projet de loi 4D envisage ainsi de permettre à la présidente de la CNIL de rappeler au responsable de traitement ses obligations (ce en plus des autres mesures prévues à l’article 20 de la loi de 1978). Par ailleurs, la présidente de la CNIL pourrait, dans le cas où la formation restreinte de la CNIL a été saisie, “enjoindre au mis en cause de produire les éléments demandés par la Commission, en cas d’absence de réponse à une précédente mise en demeure”, injonction qu’il pourrait assortir d’une astreinte pouvant atteindre les 100 euros par jour de retard.
En ce qui concerne maintenant la procédure pouvant amener à une sanction, le projet de loi prévoit de créer une procédure simplifiée. Là encore, c’est le président de la CNIL qui serait à l’initiative. Cette procédure pourrait être mise en oeuvre dans le cas où les manquements constatés seraient de faible gravité et où l’affaire ne présenterait pas “de difficulté particulière, eu égard à l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu’elle présente à trancher”.
Dans le cas où cette procédure simplifiée déboucherait sur une amende administrative, celle-ci ne saurait excéder un montant de 20 000 euros.
On peut d’ores et déjà constater qu’il ne s’agit pas ici de faire trembler les GAFAM ou les grandes entreprises. Il est plutôt question d’offrir à la CNIL des moyens pour faire face au nombre croissant de plaintes qu’elle doit traiter, en lui permettant notamment de réduire le temps et les effectifs qu’elle alloue au traitement de certaines affaires qui ne présentent pas de difficultés majeures. Cependant, si l’intention peut sembler louable et bénéfique en ce qu’il s’agit de pousser certains organismes de petite taille à se mettre en conformité, ce renforcement des pouvoirs de la CNIL n’est pas exempt de possibles critiques.
II/ Les questions soulevées par ce texte
Le Conseil d’État a rendu le 6 mai 2021 un avis sur le projet de loi 4D, dans lequel plusieurs points intéressants ont été soulevés. En effet, si les juges du Palais-Royal ne contestent pas l’état de fait dont il est question dans l’étude d’impact relative au projet de loi , à savoir le fait qu’il est “devenu nécessaire de fluidifier et de simplifier le déroulé des procédures de sanction devant la CNIL”, ils relèvent néanmoins ce que cette étude d’impact ne dit pas. Il est ainsi indiqué que “l’étude d’impact omet cependant de relever que la source principale des difficultés rencontrées par la CNIL vient de la très grande insuffisance des effectifs qu’elle est en mesure de consacrer à l’examen des plaintes et à d’éventuelles sanctions”. En effet, si créer une procédure simplifiée et prévoir dans le même temps d’aménager les sanctions qui peuvent être prononcées peut constituer une réponse à l’augmentation du nombre de cas dont la CNIL a et aura à connaitre, ce n’est qu’un élément de la réponse. Sans moyens suffisants, une telle procédure risquerait de représenter un palliatif, une rustine, ou, à tout le moins, une avancée théorique qu’il faudrait compléter par davantage de moyens en pratique afin qu’elle soit efficace.
D’autre part, le Conseil d’État s’inquiète également de “l’articulation entre procédure simplifiée et procédure normale” qui devrait être clarifiée et, plus important encore, du “respect des droits de la défense lorsque la voie de la procédure simplifiée a été choisie”. A cet égard, on notera qu’il est prévu à l’article 51 du projet que le responsable de traitement ou le sous traitant mis en cause “peut présenter des observations écrites et demander à être entendu” dans le cadre de la mise en oeuvre de cette procédure simplifiée. Cela représente une évolution par rapport à la seule possibilité de présenter des “observations orales” qui était offerte dans une ancienne version du texte reprise dans un article du Cabinet Vigo.
Aussi, ce possible renforcement des pouvoirs de sanction de la CNIL pose de nombreuses questions avant même qu’il ne fasse l’objet d’une discussion puis d’un vote par les parlementaires. On ne doutera pas que d’autres questions se poseront en pratique dans le cas où ce projet deviendrait loi.
Enfin, si l’étude d’impact relative au projet de loi 4D met l’accent sur le fait que cette procédure simplifiée a vocation à s’appliquer à toutes les entreprises (et aux collectivités territoriales) sans tenir compte de leur taille, (l’étude précisant en effet que “seules la gravité des manquements et la complexité des dossiers, et non, par exemple, la taille de l’entreprise ou son chiffre d’affaires, conditionnent le recours à cette procédure”) l’on ne peut s’empêcher de penser que, comme le fait remarquer le Cabinet Vigo “une telle procédure simplifiée vise ostensiblement les très petites ou petites entreprises ou organismes”. Cette procédure aura un effet dissuasif bien plus important en ce qui regarde les petites structures qu’en ce qui concerne les grandes entreprises qui ne s’inquièteront a priori guère d’un risque d’amende administrative pouvant atteindre 20 000 euros.
Aussi, dans l’hypothèse où ce projet de loi et les mesures qu’il prévoit relatives aux pouvoirs de sanction de la CNIL deviendraient du droit positif (sachant que des obstacles peuvent encore lui barrer la route, à l’instar non seulement du vote des parlementaires mais également du contrôle possible du texte par le Conseil constitutionnel en cas de saisie), la CNIL verrait ses pouvoirs renforcés et, sous réserve d’en avoir les moyens, pourrait s’atteler à un contrôle et une sanction plus efficace des manquements de faible gravité des petites structures.
