Pour terminer ce tutoriel, nous allons étudier deux aspects différents d’une même instance : la Commission Nationale Informatique et Libertés, qui est française, mais doit nécessairement avoir un équivalent dans chaque pays où le RGPD est en vigueur. Cette commission existait déjà, mais elle va devoir faire peau neuve et adapter ses méthodes de travail pour être conforme à la nouvelle réglementation.
Le renouveau de la CNIL
Allègement de la CNIL, renforcement du G29
Nous l’avons vu, avec le RGPD, la CNIL n’est plus un acteur central du contrôle des données personnelles ; c’est maintenant l’entreprise qui gère toute sa conformité de A à Z sous la supervision d’un DPD. Pour ces raisons, la CNIL a choisi de s’effacer de plus en plus au profit du G29, qui regroupe toutes les CNIL européennes, l’objectif étant bien évidemment une concordance des décisions européennes dans le cadre d’une concordance des lois européennes.
Un nouveau système de guichet unique est en cours de mise en œuvre et permet aux entreprises, ainsi qu’à la CNIL, de ne s’adresser qu’à un seul acteur concernant les données qu’elles traitent dans toute l’Union. Ce système pose la notion d’établissement principal, qui est généralement l’établissement où se situe le siège social de l’entreprise, mais il peut concerner une filiale qui aurait une indépendance complète quant au traitement de données. Cet établissement principal est très important au niveau du RGPD, car il définit l’autorité de contrôle avec laquelle l’entreprise aura à traiter lors de ses demandes, mais aussi des divers contrôles qui seront effectués.
Au titre de ce principe de guichet unique, l’autorité locale de contrôle conserve toutefois des droits de sanction, mais aussi de nombreux rôles qui ne sont pas transférés à l’Europe ; la CNIL conserve en premier lieu son rôle de conseil, auprès des entreprises, mais aussi des autorités publiques et du grand public ; en effet, il est nécessaire de fournir à l’ensemble des acteurs des outils et des référentiels afin qu’ils puissent facilement se mettre en conformité avec le nouveau Règlement ; par exemple, elle met en ligne sur son site un petit programme à télécharger permettant d’effectuer facilement des analyses d’impact.
Ensuite, la CNIL à un rôle en amont, qui consiste à suivre l’évolution des technologies et à réfléchir sur les nouvelles problématiques éthiques qui pourraient être mises en œuvre ; à cet effet, elle mets en place un laboratoire des nouvelles technologies pour étudier les nouveautés, et lance parfois des débats publics pour prendre en compte l’avis du plus grand nombre de personnes, comme son débat sur les algorithmes, dont les réponses ont été publiées le 06 juin 2017.
Diminution des procédures obligatoires…
Alors qu’auparavant, les procédures auprès de la CNIL étaient obligatoires, préalablement à tout traitement de données (hors exceptions de la loi ancienne), le principe d’« accountability » lui restreint énormément son champ d’action. Il y a tout de même deux situations où la CNIL reste maître du jeu : celles dans lesquelles le règlement prévoit effectivement des autorisations que devra donner la CNIL, c’est le cas pour les autorisations de transfert, hors procédures dérogatoires, ou lorsque ce seront des arrangements administratifs entre autorités publiques qui n’auront pas de valeur contraignante (oui, c’est possible).
La deuxième possibilité, qui reste une grosse inconnue pour le moment, ce sont les marges de manœuvre laissées aux États, qui pourront rajouter des dispositions dans leurs lois nationales (en France, la loi de 1978). Ces marges de manœuvre sont toutefois limitées à certains domaines, comme le traitement des données de santé ou des données génétiques, données biométriques ou l’utilisation du numéro de sécurité sociale.
Hormis ces deux cas, qui comme nous l’avons vu ne sont pas clairement définis, les entreprises ne sont plus tenues dans les autres domaines de contacter l’autorité de contrôle, tout se passe en interne, même si le recours a priori à la CNIL reste autorisé, et même fortement conseillé dans certains cas où le doute subsiste ; la structure fait alors appel, par l’intermédiaire de son DPD, à la CNIL afin de la conseiller dans la mise en œuvre d’un traitement.
…remplacées par de nouveaux contrôles
D’un autre côté, la CNIL gagne de nombreux pouvoirs de sanctions, qui seront donc appliqués a posteriori ; ces pouvoirs sont maintenant très importants, à commencer par la possibilité de contrôle des registres de traitement, des diverses analyses d’impact, des PSSI, et autres dispositifs de preuve – de fond ou de forme, de la conformité.
En plus de cette possibilité de contrôle, la CNIL se voit dotée d’un pouvoir de sanction bien plus important qu’avant, pour deux raisons : tout d’abord, il s’applique hors de l’Union Européenne (extraterritorialité), et concerne ainsi bien plus de traitements et d’entreprises. La seconde raison est le renforcement des sanctions administratives pouvant être prononcées : jusqu’à 4 % du chiffre d’affaires mondial d’une entreprise ou 150 000 €, le montant le plus élevé étant retenu.
On entre aujourd’hui dans une nouvelle phase où la protection des données doit vraiment être prise au sérieux ; pour autant, la CNIL devrait modérer ses sanctions, particulièrement au niveau des entreprises n’ayant pas eu le temps de se mettre en conformité, le plus important étant de montrer des signes de tentatives actives de protection des données, pas tant d’être immédiatement en conformité. Il y a toutefois fort à parier que les entreprises qui se fichaient hier des sanctions de la CNIL, et n’écoutaient pas ses avertissements, seront punies rapidement et d’un montant dissuasif ; il y a donc effectivement un nouveau mode de politique de sanction, vers lequel l’Europe veut tendre.
Les formes et principes de recours
Dans cette section, nous allons voir comment, en tant que personne, il est possible de s’opposer à une utilisation illégale de ses données.
Le recours gracieux
La première méthode de recours est appelée recours gracieux, et consiste en fait à s’adresse d’abord à l’entreprise concernée et effectuant le traitement de données ; ce recours est utile particulièrement dans les cas où certaines informations quant à l’application du RGPD ne sont pas précisées sur le site, comme les coordonnées du responsable de traitement, ou lorsqu’une fonctionnalité nécessaire est inexistante ou inutilisable, par exemple, si l’on ne peut pas supprimer ses informations personnelles d’un site.
Ce recours est déconseillé dans les cas où une réponse négative vous a déjà été apportée par un traitement humain, c’est-à-dire dans les cas où une personne physique, et non un algorithme, vous a refusé, pour des motifs légitimes ou non, l’application d’un droit du RGPD. Quelques exceptions sont à marquer toutefois, comme le cas du recours hiérarchique, qui est un cas particulier du recours gracieux, et qui consiste à réitérer une demande, ou à contester un refus face au supérieur hiérarchique de la personne ayant pris la décision.
Le recours hiérarchique est d’utilité moindre dans le cas du RGPD, mais si un employé de l’entreprise vous refuse l’exécution d’un droit, vous pouvez toujours tenter de contacter le responsable du traitement pour l’informer du problème, ou éventuellement contacter le DPD si la situation est grave, afin qu’il remette l’entreprise sur les bons rails. Ce droit peut aussi être utilisé dans le cadre du travail, si vous souhaitez obtenir des informations sur vos données, vous pouvez tenter de contacter le patron, ou un supérieur pour éviter d’envenimer la situation en faisant appel à la CNIL.
Hors procédures de recours, il est bien entendu nécessaire de tenter les voies prévues par le service pour faire respecter ses droits, avant d’envoyer toute plainte à la CNIL – par exemple, inutile d’envoyer une plainte si vous n’avez jamais tenté d’envoyer un courrier avant : il faut faire preuve de bonne volonté. Pour vous aider à rédiger vos courriers à destination des différents acteurs du traitement, la CNIL propose un catalogue de modèles sur son site Internet.
Le recours à la CNIL
Lorsqu’une infraction au RGPD est dûment constatée par un utilisateur, il est recommandé d’avertir la CNIL, et cela même si vous n’êtes pas entièrement sûr qu’un droit a été bafoué – évitez toutefois les plaintes farfelues, évidemment non-fondées ou diffamatoires, vous pourriez avoir des ennuis, en plus d’en avoir causé à la CNIL… Pour adresser une plainte légitime, vous pouvez passer soit par un formulaire en ligne, soit par courrier postal à l’adresse :
1 2 3 4 5 | CNIL Service des plaintes 3 Place de Fontenoy TSA 80175 75334 Paris cedex 07 |
Suite à cette plainte, la CNIL jugera s’il est nécessaire ou non d’effectuer des contrôles dans la structure concernée, puis vérifiera votre plainte et, en fonction de la gravité, la commission pourra prononcer, selon les cas :
- une mise en demeure (avertissement), qui est en quelque sorte un premier avertissement : l’entreprise concernée devra s’y conformer dans un délai imparti ; cette sanction est prononcée par le président de la CNIL, après une procédure contradictoire et la sanction peut être rendue publique afin de faire de la mauvaise publicité à la structure ou non ;
- une sanction pécuniaire (sauf pour les traitements effectués par l’État) jusqu’à 4 % du chiffre d’affaires de l’entreprise, qui est aussi prononcée à l’issue d’une procédure contradictoire, et peut être contestée devant le Conseil d’État ;
- une injonction de cesser le traitement, c’est-à-dire une interdiction temporaire ou définitive de traiter un certain type de données ;
- le retrait d’un label ou d’une certification obtenue par la structure concernée.
En tout cas, l’autorité de contrôle auprès de laquelle la réclamation a été introduite est tenue d’informer l’auteur de la réclamation de l’état d’avancement et de l’issue éventuelle de sa réclamation ; aussi, elle doit l’informer de la possibilité d’un recours juridictionnel, que nous verrons juste après.
Le recours juridictionnel
Pour terminer, parlons rapidement du droit au recours effectif devant la juridiction compétente, qui vous permet, si vous êtes sûrs de la violation du Règlement, d’assigner en justice l’entreprise ayant réalisé le traitement (ou l’État, dans une juridiction administrative). Cette procédure est contradictoire, et peut mener à des frais importants, contrairement au recours auprès de la CNIL : des frais d’avocats peuvent être nécessaires, et la partie adverse, si elle gagne, peut vous demander un remboursement des frais du procès, je vous conseille donc de bien vérifier la loi et de faire preuve de prudence lors du recours à la justice.
Un deuxième type courant de recours juridictionnel est la plainte déposée contre une autorité de contrôle, par une entreprise ou un particulier, qui ont droit au recours face à une décision juridiquement contraignante uniquement – et pour les mises en demeures. Ce recours peut aussi être déposé, dans les deux mois, face à une autorité de contrôle ne donnant aucune nouvelle quant à l’avancement du recours, elle doit par contre être effectuée devant la cour compétente dans le pays dans lequel se situe l’autorité de contrôle ayant rendu la décision litigieuse.
Une courte partie, comme vous avez pu le constater, qui réponds quelque part pour les entreprises à la question « Quels sont les risques ? », et pour les utilisateurs à la question « Comment exercer mes droits ? » ; deux questions importantes, qui pourraient être approfondies par la consultation directe du Règlement.