La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de la justice d'une demande d'avis concernant un projet de décret modifiant le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 8, 10 et 20 à 29 ;
Vu la loi n° 2017-55 du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes ;
Vu le décret n° 2018-232 du 30 mars 2018 pris pour l'application à la Commission nationale de l'informatique et des libertés de la loi n° 2017-55 du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes ;
Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu le rapport de Mme Marie-Laure DENIS, présidente, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a été saisie pour avis par le ministère de la justice d'un projet de décret modifiant le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après loi « informatique et libertés »), telle que modifiée par l'article 33 de la loi n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure.
Les modifications apportées à la loi « informatique et libertés » par l'article 33 de loi n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure s'inscrivent dans un objectif de simplification et de clarification des procédures dont dispose la Commission pour prononcer les mesures correctrices en cas de manquement aux dispositions du règlement général sur la protection des données (règlement UE 2016/679 du 27 avril 2016, ou RGPD) et de la loi « informatique et libertés » ou à d'autres dispositions dont le contrôle relève de sa compétence (notamment l'article L. 34-5 du code des postes et communications électroniques). La loi a en particulier créé, à côté de la procédure actuelle de prononcé d'une mesure correctrice, désormais dite « procédure ordinaire », une « procédure simplifiée » caractérisée par le fait que la mesure est prononcée par un seul commissaire de la formation restreinte et en principe sans audience. La Commission considère qu'une telle adaptation était nécessaire pour permettre une instruction satisfaisante des réclamations qu'elle reçoit, dans un contexte d'augmentation constante et substantielle du volume des plaintes qui lui sont adressées, et participe dès lors d'une meilleure garantie des droits des personnes concernées à l'égard du traitement de données à caractère personnel.
La Commission rappelle qu'elle est à ce jour confrontée à un volume d'environ 14 000 demandes par an, portant sur des catégories d'acteurs, des secteurs et des types de manquements extrêmement variés, alors qu'elle n'en recevait que 7 700 l'année de l'adoption du RGPD. La procédure de sanction actuelle n'était plus adaptée au traitement d'un tel volume de réclamations et ne permettait pas à la Commission de pouvoir mener à bien sa mission d'instruction de l'ensemble des plaintes dont elle est saisie. La Commission accueille donc très favorablement cette évolution du cadre procédural de son action répressive, ainsi que ses modalités de mise en œuvre proposées par le projet de décret.
Outre l'instauration d'une procédure simplifiée de sanction, pour les dossiers les moins complexes et de faible gravité, les modifications apportées à la loi « informatique et libertés » viennent également, d'une part, préciser et clarifier les pouvoirs du président de la Commission en explicitant la faculté qui est la sienne de rappeler un responsable du traitement ou un sous-traitant à ses obligations légales, ce qui est une expression du pouvoir de « rappeler à l'ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du règlement », visé à l'article 58(2)b du RGPD et, d'autre part, permettre de prononcer une mise en demeure à l'encontre d'un responsable du traitement ou d'un sous-traitant sans avoir nécessairement à exiger de leur part de justifier de leur mise en conformité dans le délai imparti et à procéder à l'examen des justificatifs fournis suite au prononcé de cette mise en demeure. Sur ces deux points, la Commission estime que la loi se suffit à elle-même et approuve donc que le décret ne contienne pas de dispositions d'application.
Le projet de décret vient par ailleurs assouplir utilement le régime de la mise en demeure, en mettant fin à la limite de six mois en ce qui concerne le délai d'exécution laissé à un responsable de traitement ou à un sous-traitant pour se mettre en conformité. La Commission avait en effet constaté que certaines mises en demeure nécessitent un long délai de mise en conformité, sans qu'il apparaisse nécessaire à ce stade de saisir la formation restreinte. Enfin, le décret précise qu'en cas de mise en demeure, l'identité d'un plaignant ne doit pas être communiquée au responsable de traitement ou au sous-traitant concerné par la mise en demeure, sauf si cela est nécessaire pour mettre fin aux manquements constatés, notamment lorsque la plainte pour sur l'exercice d'un droit.
La Commission relève que le projet de décret, outre les éléments mentionnés ci-dessus et des modifications d'ordre technique relatives aux délégations de signature, vient principalement préciser les modalités de mise en œuvre des procédures devant la formation restreinte de la CNIL, notamment celles introduites par les modifications législatives, en modifiant en particulier la section 3 du décret n° 2019-536 du 29 mai 2019, relative aux mesures correctrices, sanctions et astreintes. Ces modifications appellent plus particulièrement les observations suivantes de la Commission.
Sur les modifications relatives à la procédure ordinaire de sanction
En premier lieu, la Commission relève que les modifications proposées aux articles 39 et 40 du décret n° 2019-536 du 29 mai 2019 ont vocation à simplifier et assouplir la procédure ordinaire de sanction, en y introduisant davantage de flexibilité. La procédure de sanction actuelle, qui prévoit un cadre procédural unique à deux tours de contradictoire écrits, dans des délais d'un mois puis de quinze jours, apparaissait comme peu adaptée à la variété des cas instruits en vue du prononcé d'une mesure correctrice, pour lesquels une poursuite des échanges aurait pu parfois s'avérer nécessaire.
En ce sens, la Commission accueille très favorablement le fait que la conduite de cette procédure écrite préalable à la tenue de la séance soit à présent confiée au rapporteur, qui détermine le nombre de tours de contradictoire nécessaires à l'instruction du dossier et, lorsqu'il juge le dossier en l'état, en informe le mis en cause et le président de la formation restreinte pour que ce dernier inscrive le dossier à l'ordre du jour d'une séance. De même, la suppression du délai actuel de quinze jours laissé au rapporteur puis au mis en cause lors du second tour de contradictoire est nécessaire, car ce délai apparaît en pratique particulièrement inadapté aux cas complexes. Ainsi, le rapporteur et le mis en cause bénéficieront désormais d'un délai identique d'un mois pour produire leurs écritures respectives tout au long de la procédure contradictoire écrite, et ce délai pourra être prolongé sur demande du rapporteur ou du mis en cause, adressée au président de la formation restreinte.
Le décret précise par ailleurs que le rapporteur peut classer sans suite la procédure de sanction à tout moment, notamment s'il estime les manquements non constitués ou si le mis en cause n'a plus d'existence juridique. Ces précisions apparaissent utiles au regard de la pratique de la Commission et des débats auxquels ces dispositions ont pu donner lieu.
En deuxième lieu, la Commission accueille favorablement les modifications apportées au décret n° 2019-536 du 29 mai 2019, destinées à clarifier les différentes étapes procédurales applicables. Cela concerne notamment la conduite de l'instruction par le rapporteur désigné parmi les membres de la Commission dans le cadre de la procédure ordinaire de sanction, et en particulier la possibilité réservée à ce commissaire, en application du g du 2° du I de l'article 8 de la loi du 6 janvier 1978, de procéder aux vérifications et contrôles nécessaires à l'établissement de son rapport d'instruction. Le projet de décret prévoit en outre la possibilité pour le président de la Commission de désigner, en cas de déport ou d'indisponibilité du rapporteur, un nouveau rapporteur qui pourra poursuivre la procédure déjà engagée et reprendre à son compte le travail d'instruction mené par le rapporteur initialement désigné, sans qu'il soit nécessaire de réitérer les actes de procédure effectués antérieurement.
La Commission considère que ces précisions et clarifications sont à même de renforcer la sécurité juridique des procédures engagées, lorsqu'une mesure prévue au III de l'article 20 de la loi « informatique et libertés » est susceptible d'être prononcée, tout en garantissant leur caractère opératoire.
En troisième lieu, les modifications apportées à l'article 41 du décret, qui permettent au rapporteur de s'adjoindre le concours de personnes extérieures à la Commission, doivent contribuer à accroître la capacité à instruire et porter devant la formation restreinte un nombre plus conséquent d'affaires susceptibles de faire l'objet d'une mesure correctrice. Ce concours de personnes extérieures, désignées par le président de la Commission, notamment parmi les magistrats et membres de la juridiction administrative, et devant répondre aux mêmes exigences en matière de déontologie et de conflit d'intérêts que les agents permanents, participera au renforcement des ressources de la Commission afin de mener à bien ses missions au bénéfice de la protection des personnes. La Commission relève que plusieurs autorités administratives indépendantes, comme l'Autorité de la concurrence ou encore l'Autorité des marchés financiers, bénéficient déjà de cette possibilité. Ces personnes constitueront bien des « agents de la Commission » au sens de la loi du 6 janvier 1978, pour le traitement des dossiers qui leur seront confiés. Au-delà du concours de ces personnes extérieures, la Commission rappelle la nécessité de bénéficier de moyens et ressources suffisants pour mener à bien l'ensemble de ses missions.
Sur les modifications relatives à la procédure simplifiée de sanction
La Commission rappelle que les modifications apportées à la loi « informatique et libertés », qui introduisent la procédure de sanction simplifiée, précisent d'ores et déjà le cadre et les éléments procéduraux applicables. La procédure simplifiée de sanction ainsi établie permet de confier le traitement des affaires les moins complexes au seul président de la formation restreinte ou à un membre de cette formation désigné par lui, qui se prononcera sur la base d'un rapport établi par un agent de la Commission, en principe sans séance orale. Les mesures correctrices susceptibles d'être prononcées dans ce cadre sont adaptées à la nature des dossiers auxquels cette procédure de sanction simplifiée a vocation à s'appliquer, qui présentent, d'une part, un faible niveau de gravité et, d'autre part, une simplicité des questions de fait ou de droit qu'ils soulèvent. Les mesures pouvant être prononcées se limitent ainsi à un rappel à l'ordre, à une injonction sous astreinte dans la limite de 100 euros par jour de retard et à une amende ne pouvant excéder 20 000 euros. La Commission rappelle que ces mesures ne peuvent être rendues publiques.
En premier lieu, la Commission estime pertinent que le projet de décret renvoie aux dispositions de la procédure ordinaire pour les autres modalités de mise en œuvre de la procédure simplifiée.
La Commission note également les précisions utiles apportées par le projet de décret aux conditions et modalités d'habilitation des agents et des personnes extérieures pouvant être désignés comme rapporteur dans le cadre de la procédure simplifiée, dont le concours permettra également d'accroître la capacité de la Commission à instruire les cas concernés par cette procédure simplifiée de sanction.
En second lieu, la Commission accueille favorablement les modalités précisées dans le projet de décret permettant d'assurer l'information du président de la Commission et du mis en cause quant aux suites données au recours à la procédure simplifiée, que le projet de décret précise. En particulier, lorsque le président de la formation restreinte, ou le membre qu'il a désigné à cet effet, considère qu'il n'est pas adapté de recourir à la procédure simplifiée ou interrompt cette procédure, le président de la Commission pourra désigner un rapporteur parmi ses membres et l'instruction pourra se poursuivre selon la procédure ordinaire, l'ensemble des pièces antérieures demeurant au dossier, permettant ainsi d'assurer la continuité de la procédure.
Sur les autres pouvoirs du président de la formation restreinte
La loi n° 2022-52 du 24 janvier 2022 a entendu simplifier le traitement des affaires dans lesquelles un responsable de traitement ou un sous-traitant n'a pas répondu à une mise en demeure préalable, en introduisant une procédure d'injonction de produire, assortie s'il y a lieu d'une astreinte journalière, qui pourra le cas échéant être liquidée par décision du seul président de la formation restreinte. Le décret fait de cette procédure une procédure autonome, ce que la Commission approuve. La mesure sera précédée d'une procédure de contradictoire enserrée dans un délai de quinze jours, sans séance.
Cette simplification procédurale permettra d'alléger significativement la procédure auparavant applicable, qui nécessitait de désigner un rapporteur parmi les membres de la Commission, qui devait mener la procédure contradictoire écrite selon les modalités et délais applicables à la procédure de sanction ordinaire avant de présenter son rapport devant la formation restreinte lors d'une séance à laquelle le mis en cause était mis en mesure d'assister, alors même que l'absence de réponse du responsable du traitement ou du sous-traitant suite à la mise en demeure préalable pouvait être facilement et objectivement constatée.
La loi a également donné pouvoir au président de la formation restreinte de prononcer un non-lieu dans une affaire, y compris lorsqu'elle relève de la procédure ordinaire. Il résulte de l'économie du décret que cette faculté trouve à s'appliquer lorsque le rapporteur a achevé son instruction et a saisi le président de la formation restreinte pour qu'il inscrive le dossier à une séance. Il sera désormais possible de constater le non-lieu sans organiser une séance.
Sur les modifications relatives à la coopération
En premier lieu, la Commission accueille favorablement les modifications proposées à l'article 53 du décret n° 2019-536 du 29 mai 2019 qui permettent principalement d'adapter les dispositions relatives à la coopération européenne à la mise en place de la nouvelle procédure simplifiée de sanction.
La Commission considère en effet que la nouvelle procédure simplifiée de sanction est à même de faciliter l'instruction des cas transfrontaliers lorsque la Commission agit en tant qu'autorité de contrôle cheffe de file au sens de l'article 56 du RGPD pour les procédures caractérisées par un faible niveau de gravité et ne présentant pas de difficultés particulières, en lui permettant de présenter plus rapidement des projets de décision aux autorités concernées et d'adapter si nécessaire ses projets de décision suite à d'éventuelles objections pertinentes et motivées formulées par des autorités concernées.
En deuxième lieu, et dans une même perspective de facilitation des procédures de coopération européenne, la Commission relève avec satisfaction que les modifications proposées prévoient également l'hypothèse où les objections pertinentes et motivées des autorités de contrôle concernées conduiraient à revoir le projet de mesure correctrice proposé de telle façon que l'affaire ne pourrait plus répondre aux plafonds d'amende et d'astreinte applicables à la procédure simplifiée, en permettant utilement au président de la formation restreinte d'interrompre la procédure simplifiée, afin que la procédure ordinaire de sanction puisse être activée, l'ensemble des pièces antérieures demeurant au dossier.
En troisième lieu, les modifications proposées dans le projet de décret permettront par ailleurs d'allonger à un mois le délai de transmission aux autorités de contrôle concernées du rapport de sanction et des informations utiles mentionnés à l'article 27 de la loi « informatique et libertés », alors que ce délai était actuellement d'uniquement une semaine, ce qui pouvait poser des difficultés pour obtenir la traduction de ces documents dans ce délai.