Sanction pécuniaire prononcée par la CNIL à l’encontre de l’ADEF

SANCTION PÉCUNIAIRE PRONONCÉE PAR LA CNIL À L’ENCONTRE DE L’ADEF

Article rédigé le 21 mai 2019 par Dan Scemama

Validation d’une sanction pécuniaire prononcée par la CNIL à l’encontre de l’ADEF pour défaut de sécurité sans mise en demeure préalable

CE, 10ème– 9èmechambres réunies, 17 avr. 2019, n° 423559

 

Dans la présente affaire, le Conseil d’Etat statut sur un recours contentieux en annulation d’une décision rendue par la CNIL[1], laquelle a prononcé à l’encontre de l’Association pour le développement des foyers (ADEF), en sa qualité de responsable de traitement, une sanction pécuniaire d’un montant de 75 000 euros et ordonné la publication de sa décision pour une durée de 2 ans à compter de ladite publication.

En effet, la CNIL a été alertée du défaut de sécurité du formulaire en ligne de demande de logement de l’ADEF ; ce dernier permettait à des tiers non autorisés d’accéder à des documents téléchargés par les bénéficiaires de logements, contenant des données à caractère personnel (il s’agissait de bulletins de salaire, d’avis d’imposition et de justificatifs d’identité), au moyen d’une modification des liens URL.

Suite à la mise en œuvre d’un premier contrôle (en ligne), la CNIL a demandé à l’ADEF d’apporter des mesures correctrices aux défaillances de sécurité constatées ; toutefois, à l’occasion d’un second contrôle (sur place), la CNIL a constaté que l’ADEF n’a pas remédié aux défauts de sécurité reprochés.

De ce fait, la présidente de la CNIL a engagé une procédure de sanction à l’encontre de l’ADEF et lui inflige, sans mise en demeure préalable, une sanction pécuniaire de 75 000 euros et demande la publication de sa décision.

L’ADEF décide alors de contester cette décision rendue par la CNIL devant le Conseil d’Etat (compétent pour statuer en premier et dernier ressort sur les décisions rendues par la CNIL) sur le fondement des articles R 311-1 4° et R 421-1 du Code de la justice administrative (CJA).

 

Dans sa décision, le Conseil d’état estime en substance que :

  • la décision rendue par la CNIL est suffisamment motivée (en fait et en droit),
  • la sanction pécuniaire de 75 000 euros est proportionnée au regard de la nature et de la gravité du manquement constaté,
  • la sanction complémentaire de publication de la décision de sanction est proportionnée au regard de la gravité du manquement et de la quantité de données à caractère personnel en cause, et
  • la CNIL peut sans mise en demeure préalable sanctionner un responsable de traitement dès lors que les manquements qui lui sont reprochés ne sont pas susceptibles d’être régularisés.

 

Sur ce dernier point, depuis l’entrée en vigueur de la loi du 7 octobre 2016 pour une République numérique, modifiant l’article 45 II. de la loi du 6 janvier 1978 (dite « Informatique et libertés »), la formation restreinte de la CNIL peut adresser une mise en demeure préalable à un responsable de traitement, qui ne respecte pas les obligations issues de ladite loi et du RGPD (Règlement général sur la protection des données), « si le manquement constaté est susceptible de faire l’objet d’une mise en conformité » ; il en résulte a contrarioque si le manquement n’est pas susceptible de faire l’objet d’une mise en conformité, la CNIL peut directement prononcer une sanction, sans mise en demeure préalable.

Il est intéressant de constater que le Conseil d’état apporte dans la décision commentée une précision sur ce qu’il faut entendre par un manquement « (in)susceptible de faire l’objet d’une mise en conformité », selon ce dernier, il s’agit d’un manquement « soit qu’ils soient insusceptibles de l’être, soit qu’il y ait déjà été remédié »[2]. De même, la CNIL dans sa décision attaquée précisait que la mise en demeure « ne peut par construction avoir d’effet que pour l’avenir et non pour le passé »[3](autrement dit, une mise en demeure ne permet pas de remédier à un manquement passé puisqu’il a déjà eu lieu).

 

Il en résulte que la CNIL peut adresser directement une sanction pécuniaire à un responsable de traitement dès lors que :

  • le manquement est « insusceptible de faire l’objet d’une mise en conformité», pour l’avenir ou rétroactivement (c’est-à-dire, qu’une mesure correctrice ne peut permettre de corriger un manquement passé ou futur), et/ou
  • une mesure correctrice, insuffisante pour remédier au manquement, a déjà été mise en œuvre.

Aussi, dans une décision récente « Google » restée emblématique, la CNIL rappelle encore que le pouvoir de ne pas prononcer de mise en demeure préalable relève du Président de la CNIL qui décide « de l’opportunité des poursuites »[4].

 

Par conséquent, il peut être tirés plusieurs enseignements à l’aune de l’ensemble de ces décisions, il est nécessaire de :

  • prévoir, en interne, une procédure de détection et d’alerte de tout manquement (même éventuel) relatif à la sécurité des données à caractère personnel traitées afin de pouvoir mettre fin le plus rapidement possible audit manquement,
  • mettre en place les mesures correctrices appropriées de nature à mettre fin au(x) manquement(s) reproché(s) lorsqu’une procédure de contrôle est engagée par la CNIL ; en effet, il faut éviter de présenter dans la précipitation des mesures correctrices incomplètes ou insuffisantes à la CNIL, et
  • mettre en œuvre, de manière générale, des mesures techniques et organisationnelles conformes aux prescriptions de l’article 32 du RGPD, une procédure de notification auprès de la CNIL (cf. art. 33 du RGPD) et, le cas échéant, auprès des personnes concernées (cf. art. 34 du RGPD) en cas de violation de données à caractère personnel.

 

On comprend alors que le développement de cette méthode du prononcé de sanction « directe » par la CNIL a pour objet d’éviter qu’un responsable de traitement ait une attitude passive consistant à s’abstenir de prendre des mesures correctives et d’attendre que lui soit éventuellement adressé une mise en demeure.

Somme toute, le pouvoir de sanction directe de la CNIL a probablement encore de beaux jours devant lui, de surcroît, dans un contexte où la nouvelle présidente de la CNIL entend passer, à compter de l’année 2019, d’une logique de « prévention » à une logique de « répression [5]».

 

 


[1]Délib., n° SAN-2018-003 du 21 juin 2018.

[2]Ibid.

[3]Délib., n° 2018-003 du 21 juin 2018 ; v. aussi : Délib., n°SAN-2018-002 du 7 mai 2018.

[4]Délib., n°SAN-2019-001 du 21 janvier 2019.

[5]https://www.acteurspublics.com/2019/04/15/rapport-annuel-cnil-2018-toujours-plus-de-plaintes