Intervention CNIL
24 novembre 2023
**Diaporamas : https://valise.chapril.org/s/eMCbjWXrtG2beWx
Service des délégués ("vous pouvez dire service des DPO")
"je suis devenu gentil, j'ai déposé le badge de contrôleur pour devenir juriste-conseil"
"en master on n'avait vu qu'un seul acteur, en 5 ans c'est pas énorme"
"après 10 ans à la CNIL, je peux vous dire ce que j'aurais aimé entendre à la fac"
depuis le RGPD, les plaintes ont explosé : entre 12000 et 15000 par an
la gestion des plaintes est un énorme sujet, parfois on en reçoit des centaines, qui concernent le monde entier et appellent à de la coopération entre états
ça peut être un contrôle d'un jour, on se déplace partout en France, il y a très peu de choses où la CNIL n'est pas compétente (domiciles)
mises en demeure : 150 par an
on parle beaucoup des sanctions, mais la CNIL a une très grande activité de corrections
sanctions : une vingtaine dans l'année, ce qui n'est pas énorme du tout par rapport à certains pays (Espagne)
en 2022, ces sanctions ont récolté 100 fois plus que le budget de la CNIL (1 M€)
4000 notifications de violations de données par an = beaucoup par jour
en France, on est parmi les pays où on notifie le moins
DPO, "pompier" de la vie privée :
tout ça mélangé, ça fait près de 94 000 acteurs en France
il y a moins de DPO que d'acteurs (on peut être DPO de plusieurs acteurs)
tout ça est réuni dans le rapport d'activité annuel
EDPB : réunion de toutes les CNIL de l'UE
on ne sanctionne pas Meta dans son coin, on se met d'accord avant
l'EDPB n'est pas l'EDPS (CNIL des acteurs européens)
lignes directrices de l'EDPB : "personnellement c'est mon document numéro 1"
les grands principes de 1978 sont toujours appliqués "c'est assez chouette d'avoir un droit assez constant"
le RGPD ouvre 50 fenêtre sur lesquelles les États peuvent adapter à leur droit, mais pour le reste, "il faut s'entendre"
la RGPD et la dir Police-Justice ne sont pas les seules normes de protection des données, il y a des cas particuliers où on a ajouté une nouvelle poche de principes juridiques, notamment la vidéoprotection : le Parlement vient rajouter un texte à la loi pour définir un nouveau cadre
ex. caméras individuelles (GoPro attachées à l'équipement des policiers) : arrêté ministériel dans le cadre de la loi de 1978, la CNIL a obtenu qu'il fallait une loi car ça posait des questions trop sensibles pour être encadrées par les seuls principes généraux de la directive Police-Justice
la VSA "ça change la donne, vraiment, l'agent de sécurité est bombardé de messages intelligents"
"un texte a été voté pour les drones"
"avec le RGPD, tout est possible" : ce n'est pas un texte qui met des interdits, qui permet énormément de choses du moment qu'on peut le justifier, contrairement à l'IA Act (tel qu'il est en discussion), qui fonctionne sur une base de "feu vert/feu rouge"
ex. des données sensibles : c'est interdit par le RGPD, sauf si : "et là vous avez 10 exceptions"
autre moteur : la responsabilisation
on a basculé d'une logique administrative (déclaration préalable à la CNIL, très souvent demande d'autorisation) à l'extrême inverse : maintenant, il n'y a quasiment plus rien à notifier à la CNIL, culture juridique plus anglo-saxonne ; en contrepartie, les sanctions sont beaucoup plus lourdes (4% du CA)
cette culture juridique prend de l'ampleur dans de nombreux domaines, "je vois ce mot de compliance apparaître de plus en plus souvent"
"c'est mauvais signe de répondre "je sais pas" à une question de la RGPD, c'est déjà un manquement en soi"
le travail de la CNIL s'en retrouve davantage tourné vers le conseil que vers le contrôle : à quoi il faut penser avant de faire un traitement
Q : "on aurait aimé avoir des précisions concernant l'externalisation des plaintes" :
R : ça concerne surtout la centralisation des réponses, il n'y a pas eu d'instruction des plaintes à l'extérieur de la CNIL
"j'en avais pas forcément conscience quand j'étais étudiant, mais les concours administratifs ça peut être une voie très intéressante"
Service des contrôles
actuellement divisé en deux équipes :
- TSAT : contrôles de resources humaines, santé, affaires publiques (collectivités, partis, assos, régalien)
- contrôles des affaires économiques (banque, immobilier, presse)
"on est dans les mêmes bureaux, la frontière est souple, on est un service plutôt uni"
30 agents : moitié de juristes, moitié d'"auditeurs de systèmes d'information"
les missions de contrôles sont menées en duo : 1 juriste et 1 informaticien
les modalités de contrôle peuvent être combinées dans un même examen
certaines peuvent être plus intéressantes que d'autres en opportunité :
motivations du contrôle :
- sur plainte/signalement (par des individus) : un certain nombre de plaintes aboutissent à des procédures de contrôle
- sur initiative de la CNIL (veille) : "sur les caméras intelligentes par exemple"
la CNIL peut décider de mener une série de contrôles sur cette thématique
en 2022, la CNIL s'est particulièrement intéressée à la prospection commerciale ("c'est limite du harcèlement"), aux outils de surveillance dans le cadre du télétravail et "au cloud"
objectifs d'une mission de contrôle :
- comprendre l'activité de l'organisme, "c'est vraiment très large et pluridisciplinaire, on a besoin de comprendre la raison d'être de l'organisme pour comprendre la finalité des traitements"
- identifier les traitements de DCP mis en œuvre
PV de constatation : photographie à l'instant T de l'état du traitement tel qu'il est mis en œuvre, "y'a un côté descriptif assez important : constatons que l'écran affiche telle mention, etc."
va également relater les échanges "M. Tel qui occupe tel poste déclare que..."
déroulement des contrôles sur place :
- sur tout le territoire français, "on peut avoir plusieurs contrôles par semaine"
- souvent sur la totalité de la journée, voire sur plusieurs jours
- phrase de rédaction du PV puis d'échange avec l'organisme, pour s'assurer que ce qui aura force juridique "soit bien fait avec la possibilité de l'organisme d'avoir pu formuler des observations"
- on notifie le procureur de la République territorialement compétent pour avoir le droit d'entrer sur les locaux de l'entreprise, "ça demande un travail important de localisation et du périmètre du contrôle"
- si l'entreprise est dans un domicile privé : demander aussi l'autorisation au juge des libertés
- tant que le responsable des lieux ("ça peut être une personne à l'accueil, c'est une notion propre à la loi I&L") n'a pas été identifié et que les documents n'ont pas été signés, la mission de contrôle ne peut pas être effectuée : le responsable sert d'intermédiaire avec la direction
pouvoirs de la CNIL lors d'une mission de contrôle :
- s'entretenir avec toute personne pouvant l'éclairer
- effectuer des constatations dans les locaux et sur les postes de travail : "c'est jamais agréable pour un agent de se faire surveiller"
l'organisme peut s'opposer à la mission de contrôle et se faire assister par un conseil
il arrive que des avocats relisent le PV, et "très fréquemment" l'organisme et son conseil s'isolent pour la relecture, "et c'est tout à fait légitime"
et impérativement, pour clore la mission de contrôle, il faut signer le PV
à l'issue de la rédaction du PV, comme pour le contrôle sur pièces, on peut accorder un délai à l'organisme, qui peut être prorogé, pour transmettre les éléments
après contrôle : phase d'instruction
"en moyenne, entre le jour du contrôle et le jour où l'organisme reçoit l'information, on peut compter entre 2 et 6 mois, ça dépend vraiment de la complexité"
collaboration avec les autres institutions publiques : "des fois, on peut constater des éléments qui ne rentrent pas forcément dans notre champ de compétences mais qui révèlent des inégalités"
"bien sûr le parquet, ça peut être le DGCCRF, ça peut être d'autres autorités de contrôles européennes, l'inspection du travail"
"collaboration dans les deux sens" : la CNIL peut recevoir des signalements d'autres institutions
charte des contrôles disponible en ligne, "j'invite tous les organismes qui mettent en œuvre des traitements de DCP à en prendre connaissance"
Q : y a-t-il des inégalités de traitement entre les organismes rappelés à l'ordre et ceux sanctionnés ?
R (Kouzmine) : une fois que la violation des données est constatée, il n'y a plus que la sanction qui est possible ; ce n'est pas lié à telle ou telle société
Q : combien de sociétés se mettent en conformité après une mise en demeure/sanction ?
R : les mises en demeure sont assez prises au sérieux, et le fait de ne pas coopérer avec la CNIL est un manquement en tant que tel, ça peut gonfler une sanction prononcée
Q :
R : dans les suites prononcées, on va mettre les coordonnées de la direction de l'accompagnement, on informe l'organisme qu'il a la possibilité de s'en rapprocher s'il a des questions ; il y a une mesure de la gravité, il n'y a pas de sanctions automatiques
Q (Koumpli) : est-ce qu'un avocat ou un médecin peut opposer le secret professionnel ?
R : oui, c'est opposable aux agents de contrôle ; pour le domaine de la santé, il y a la possibilité de se faire assister par un médecin agréé, ce qui permet de ne pas se faire opposer le secret médical
Q : comment se décide le choix d'être accompagné ou non ?
R : ça va dépendre du périmètre de contrôle, quand il y a un accès au dossier médical, là y'a un médecin qui est requis
Q : et pour les avocats ?
R : "j'avoue que j'ai pas la réponse, mais en tant que contrôleur on est très respectueux"
Q (Koumpli) : comment vous décidez qu'est-ce que vous rendez public, de ces documents admin qui ne sont pas officiellement des sanctions ?
R : c'est un élément qui est pris en compte dans le cadre de la sanction, c'est aussi des arbitrages à des strates très élevées de la CNIL (rires)
R (Kouzmine) : la décision de publication fait l'objet d'une motivation particulière, ça peut être un moyen d'informer les organismes de la position de la CNIL sur certains types de traitement
Q : est-ce que les chercheurs peuvent avoir accès à ces rappels à l'ordre ?
R: la CADA peut être saisie pour des demande de communication de documents dans le cadre des procédures de contrôle : par exemple quand les journalistes apprennent qu'un contrôle a été effectué
Q : vous avez indiqué que les agents des services de la CNIL travaillent en binôme avec des informaticiens, sont ils présents durant les contrôles sur place ? Pour aider à la compréhension lors d'accès à des systèmes informatiques par exemple
R : il y a des échanges avec l'organisme, mais aussi pendant la rédaction du PV entre l'auditeur et le juriste, il peut y avoir des points de débats, c'est toujours enrichissant
Ancien avocat
Service des sanctions et du contentieux
"ça n'a pas toujours été amende admin, amende admin, amende admin" : avant 2004, la CNIL n'avait qu'un pouvoir d'avertissement
2011 : séparation des pouvoirs entre la présidente et la formation restreinte
à partir de 2016, la présidente peut engager une procédure de sanction sans passer par la mise en demeure, "c'est un changement très important"
"au service des sanctions, on est amenés à traiter tout type de dossier"
"on peut avoir des dossiers sur plainte, des dossiers qui viennent des contrôles même sans plainte, et bien évidemment des violations de données"
"dans la majorité des cas, on demande à la société de justifier sa mise en conformité"
Q : la procédure simplifiée n'introduit-elle pas une gradation, alors que le RGPD dit qu'il n'y a pas de petits manquements ?
R : il n'y a pas de gradation entre les différents manquements sur le fondement de RGPD ; certains manquements sont plus graves que d'autres, c'est une forme de gravité, mais la procédure simplifiée n'a pas vocation à rajouter une strate, c'est en fonction de l'organisme visé et de l'impact de la sanction
Q : cela veut dire que les GAFAM ne feront jamais l'objet d'une procédure simplifiée ?
R : si la présidente décide d'engager une procédure de sanction simplifiée, le président de la formation restreinte peut décider de faire passer la procédure simplifiée en procédure ordinaire au regard de la gravité des faits ; et de fait, les manquements commis par les GAFAM sont généralement beaucoup plus graves, "donc ce n'est pas impossible mais ça me paraît compliqué"
Q (Koumpli) : pourquoi a t-on décidé de ne jamais publier les sanctions simplifiées ? quelles sont les motivations politiques ?
R : la décision de publicité est toujours une sanction supplémentaire en soi, ça rajoute un préjudice (...) sur le site de la CNIL, on peut voir une partie des infos des sanctions simplifiées, vous avez quand même pas mal d'éléments
Q : et pour l'État ?
R :on a déjà prononcé des mises en demeure envers le ministère de l'Intérieur par exemple, pour usage du captcha Google
Q : n'y aurait-il pas un côté chauvin dans les sanctions ? par ex. Canal+ qui n'a eu que 600000€ d'amende
R : une entreprise américaine qui a un impact beaucoup plus important qu'une société française, ça va influencer le montant de l'amende plus que le chiffre d'affaires ; il y a d'autres critères (le CEPD a publié un guide des amendes administratives, il y a des pratiques suggérées mais on peut s'en écarter)
"et c'était pas de la langue de bois"
Q : Comment la CNIL assure-t-elle la transparence dans ses décisions de sanctions et, notamment, lors de la procédure de sanction simplifiée ?