Quel contrôle le Conseil d’État peut-il exercer sur les sanctions prononcées par la Commission nationale de l’informatique et des libertés (Cnil) ? Deux décisions rendues le 17 avril 2019 permettent de mieux percevoir le rôle et les pouvoirs du Conseil d’Etat lorsque des entités font appel des sanctions de la formation restreinte de la Cnil.

La première décision porte sur la sanction prononcée le 7 mai 2018 à l’encontre de la société Optical Center (Conseil d’État, 17 avril 2019,  n°422575). La seconde concerne l’Association pour le développement des foyers (ADEF), dont la sanction a été prononcée le 21 juin 2018 (Conseil d’État, 17 avril 2019, n°423559).

Des manquements à l’obligation de sécurité

Dans les deux affaires, rappelons que la formation restreinte de la Cnil a sanctionné les entités pour manquement à leur obligation d’assurer la sécurité des données traitées.

Plus précisément, était en cause un défaut de sécurité dû à la prévisibilité d’URL permettant d’accéder à des documents contenant des données à caractère personnel, et à l’absence de mécanisme d’authentification. La formation restreinte a souligné que le manquement était dû à l’absence de « mesures élémentaires de sécurité ». La société avait fait l’objet d’une sanction pécuniaire de 250 000 euros, tandis que l’association a fait l’objet d’une sanction pécuniaire de 75 000 euros.

Pour en savoir plus sur les faits et les délibérations de la formation restreinte dans ces dossiers, vous pouvez vous reporter à nos précédents articles portant sur la société Optical Center et l’ADEF.

Faire appel de sanctions de la Cnil

L’appel d’une décision de la Cnil doit être interjeté dans les deux mois à compter de la notification. Le Conseil d’État est saisi, dans le cadre d’un recours dit de pleine juridiction. Dans ce type de recours, le Conseil d’État peut non seulement annuler ou valider la décision administrative qui lui est soumise, mais également la modifier ou encore lui en substituer une nouvelle.

Saisi d’un appel portant sur une délibération de la Cnil, le Conseil d’État peut donc notamment revenir sur la qualification des manquements retenus par la Cnil, modifier les termes d’une injonction de mettre en conformité un traitement, ou encore moduler le montant de la sanction pécuniaire prononcée.

A noter que le simple fait d’interjeter appel de la décision de la formation restreinte ne suspend pas l’effectivité de celle-ci. Il reste impératif de l’exécuter, par exemple en s’acquittant de l’amende administrative prononcée ou en mettant le traitement en conformité. Pour bénéficier d’un effet suspensif, un référé administratif doit être introduit (en l’occurrence, un référé-suspension ou un référé-liberté). Cette procédure spécifique ne permet pas de trancher au fond les dossiers, mais consiste à demander au juge de se prononcer à titre temporaire sur certains éléments ou de suspendre certains effets de la décision.

Le Conseil d’État, juge de la proportionnalité des sanctions

Dans les deux affaires, le Conseil d’État ne revient pas sur les manquements retenus par la formation restreinte de la Cnil. Il confirme la décision de la formation restreinte en indiquant dans les deux cas que le défaut de sécurité identifié aurait pu être évité par la mise en place de mesures de sécurité simples.

Dans les deux dossiers qui lui sont soumis, le Conseil d’Etat fait une appréciation de la proportionnalité de la sanction à l’espèce. Il estime que pour la société, la Cnil n’a pas fait « une juste appréciation des circonstances de l’espèce », tandis que pour l’association, le Conseil d’Etat indique que la formation restreinte « n’a pas infligé une sanction disproportionnée ». Cette analyse conduit le Conseil d’Etat à réduire de 50.000 euros le montant de la sanction pécuniaire prononcée par la formation restreinte de la Cnil à l’encontre de la société, et à valider celle visant l’association.

Le Conseil d’État souligne la réactivité de la société. Il estime en effet qu’en prononçant une sanction pécuniaire d’un montant de 250.000 euros « sans prendre en compte la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée ».

A l’inverse, concernant l’association, le Conseil d’État souligne « la nature et la gravité du manquement », qu’il aurait été possible de « prévenir par des mesures simples de sécurité », ainsi que les « moyens importants » dont disposait l’association, et le « délai avec lequel elle a apporté les mesures correctrices ».

Cette différence de position du Conseil d’Etat peut étonner, tant les faits d’espèce sont proches. Toutefois, on relève dans les délibérations de la formation restreinte des différences qui peuvent expliquer cette disparité.

Dans les deux dossiers, les entités avaient débattu le montant de la sanction proposé par le rapporteur. Ce dernier avait proposé un montant de 250 000 euros à l’encontre de la société, qui avait argué en vain de sa réactivité pour voir ce montant réduit. A l’inverse, la formation restreinte s’était écartée du montant de 150 000 euros proposé par le rapporteur à l’encontre de l’association, notamment pour prendre en compte sa réactivité et sa coopération avec les services de la Cnil, et n’avait prononcé qu’une sanction de 75 000 euros.

La proportionnalité des sanctions sous le RGPD

L’exigence de proportionnalité des sanctions est rappelée par l’article 83 du RGPD. Cet article liste une série de critères devant être pris en compte afin de s’assurer que les sanctions pécuniaires soient bien « proportionnées, dissuasives et effectives ».

La réactivité de l’entité n’est pas explicitement listée à l’article 83 du RGPD, mais il s’agit d’un élément déjà pris en compte par certaines autorités de contrôle. Notamment, l’autorité de contrôle du land de Baden-Württemberg (Allemagne) a prononcé en novembre 2018 une sanction de 20 000 euros à l’encontre d’un réseau social. Celui-ci avait subi une cyberattaque, violation de données qui avait révélé l’absence de mesures de sécurité adéquates. Toutefois, l’autorité de contrôle avait salué la réactivité de l’entité, les investissements importants réalisés après la violation et sa coopération exemplaire lors des procédures de contrôle. Elle avait souligné que cette attitude a contribué au prononcé d’une sanction relativement faible.

Vers une plus grande motivation des sanctions pécuniaires de la Cnil ?

Ces décisions du Conseil d’État soulèvent plusieurs questions quant à la posture future de la formation restreinte de la Cnil lors des procédures de contrôle. La formation restreinte va-t-elle être amenée à motiver plus précisément le montant des sanctions pécuniaires prononcées ? Si oui, quelle forme cette motivation prendra-t-elle ? Chacun des critères listés à l’article 83 du RGPD devra-t-il être repris et appliqué aux faits d’espèce, ou explicitement écarté ?

Rappelons que le Groupe de travail de l’article 29 (G29) avait adopté le 3 octobre 2017 des lignes directrices sur l’application et la fixation des amendes administratives. Si la Cnil décide d’ouvrir cette réflexion, elle devra tenir compte de cette interprétation. Elle pourrait également s’inspirer de ses homologues européennes.

Par exemple, la pratique de l’autorité de contrôle portugaise est de détailler le montant de l’amende administrative qu’elle prononce en distinguant les sommes correspondant aux différents manquements identifiés, comme illustré dans sa sanction d’octobre 2018 prononcée à l’encontre d’un hôpital pour manquement à son obligation de sécurité.  L’autorité de contrôle des Pays Bas, quant a elle publié le 14 mars 2019 une échelle indicative des amendes administratives, suite à l’entrée en application du RGPD. Celle-ci prévoit des sanctions allant jusqu’à 1 million d’euros, étant entendu que l’autorité demeure libre de dépasser ces montants dans la limite du cadre fixé par le RGPD si cela apparaît plus pertinent.

Le Comité européen de la protection des données (CEPD) a pour mission de veiller à l’application cohérente du RGPD. A ce titre, il a notamment pour mission d’élaborer des lignes directrices concernant l’application des mesures correctrices pouvant être mises en oeuvre par les autorités de contrôle ainsi que sur la fixation des amendes administratives (RGPD, article 70, 1. k) ). A l’avenir, le CEPD pourrait se saisir du sujet afin de s’assurer de l’harmonisation des sanctions pécuniaires prononcées par les autorités de contrôle européenne.

 

En l’attente d’une harmonisation au niveau européen, les entités françaises peuvent toujours se tourner vers le Conseil d’Etat si elles estiment que le montant de la sanction prononcée par la formation restreinte est disproportionné. Mathias Avocats peut vous assister dans cette démarche.