la gestion des plaintes et la procédure de sanction à la ... février infractions...
TRANSCRIPT
La gestion des plaintes et la procédure de sanction à la CNIL
Danièla Parrot
Chef du service des plaintes
22 février 2013
I. La gestion des plaintes
1. Les plaintes : définition et types
2. Instruction des plaintes
3. Transmission pour contrôle
4. Transmission pour sanction
II. La procédure de sanction
1. La procédure de sanction avec mise en demeure
2. L’avertissement
3. Les procédures d’urgence
4. Quelques chiffres
Sommaire
2
1. Qu’est ce qu’une plainte ?
4
Définition :
- Toute dénonciation d’agissements contraires de la loi informatique et libertés » qui nécessite une action auprès du responsable de traitement mis en cause ou une réponse juridique de la CNIL auprès du plaignant
Ne pas confondre avec :
- un dépôt de plainte pénale
- une réclamation contre les services de la CNIL
- une question d’ordre général
LES PLAINTES
Les différents types de plaintes
LES PLAINTES
De qui proviennent les plaintes ?
• Des particuliers (en grande majorité),
• Des membres de syndicats,
• Des associations de consommateurs ou de défense des droits de l’Homme,
• Les CNIL étrangères (pour le compte de plaignants visant des responsables de fichier établis en France),
• Nos partenaires (HALDE, OCLCTIC, Signal Spam…),
• Les services de police ou de gendarmerie (réquisitions judiciaires),
• Des responsables de traitement.
5
Combien de plaintes ?
6
4265 4821
5738 6017
Année 2009 Année 2010 Année 2011 Année 2012
Comparatif du nombre de plaintes reçues par la CNIL entre 2009 et 2012
6017 plaintes en 2012 dont 44% via le service de « plainte en ligne »
LES PLAINTES
7
• Sur quoi ?
– Internet/télécoms (31%), principalement pour le « droit à l’oubli » sur Internet (suppression de commentaires, photos, vidéos de sites internet – ex. : réseaux sociaux - , de référencements sur les moteurs de recherche)
– Commerce (20%), notamment pour la radiation des fichiers publicitaires
– Banque/crédit/recouvrement (10%), dont FICP /FCC(7%)
– Travail (15%), notamment sur les questions de surveillance des employés (vidéo, géolocalisation, contrôle des PC…)
– Libertés publiques – collectivités locales (8%) (élection, presse)
– Santé/Social (5%), principalement : droit d’accès, droit de rectification
– Divers (10%) transports, associations, éducation, logement, police-justice, fiscalité, assurances
Répartition des plaintes
LES PLAINTES
8
Répartition des plaintes
Internet/ Télécom 31%
Commerce 21%
Travail 15%
Banque 10%
Libertés publiques / collectivités locales
8%
Social / santé 5% Autres
10%
Répartition des plaintes par secteur
LES PLAINTES
Principaux motifs de plaintes
LES PLAINTES
- Non-respect des droits d’opposition, d’accès et de rectification reconnus par la loi « informatique et libertés » (3/4 des plaintes)
- Défaut de pertinence des données ou caractère disproportionné du traitement de données
- Défaut d’information
- Défaut de déclaration
- Défaut de sécurité
- Durée de conservation excessive des données
9
2. Instruction des plaintes
LES PLAINTES
• Un accusé réception de la plainte • La réponse directe au plaignant :
- En cas d’incompétence, orientation vers le l’organisme compétent
- Lorsqu’aucun agissement n’apparaît a priori contraire à la loi
• L’envoi d’un courrier au responsable de traitement afin d’obtenir ses observations sur les agissements susceptibles d’être contraires à la loi informatique et libertés :
- les faits portés à notre connaissance,
- rappel des textes applicables, - demande d’observations, - fixation d’un délai de réponse (15 jours en général) • A la suite de la réponse reçue : - si la réponse est satisfaisante, la plainte est clôturée avec information du plaignant - Si la réponse n’est pas satisfaisante (ou pas de réponse) : envoi d’un nouveau courrier ou réalisation d’un contrôle ou proposition de mise en demeure ou d’avertissement
10
3. Transmission pour contrôle
11
• Proposer des contrôles à partir des plaintes reçues:
pour contribuer au programme annuel validé par les commissaires
ou en fonction de l’intérêt de la plainte (vérifier sur place)
Près de 20 % des contrôles trouvent leur origine dans une plainte en 2012
• Clôture de la procédure de contrôle
- Courrier de la présidente de la CNIL, comportant éventuellement des observations ; puis clôture de la plainte.
- En cas de manquements graves constatés : mise en demeure (décision de la présidente de la CNIL) et/ou avertissement (décision de la formation restreinte)
LES PLAINTES
4. La transmission pour sanction
Transmission de dossiers au service des sanctions avec une proposition de mise en demeure ou d’avertissement :
Motifs :
- Entrave à l’action de la CNIL
Ex. : non-réponse
- Plainte révélant un non-respect grave de la loi
Ex. : plainte comportant des correspondances avec le responsable de traitement prouvant ce non-respect, volonté manifeste de ne pas se conformer à la loi malgré nos courriers, constatations opérées dans le cadre d’un contrôle
12 LES PLAINTES
LES SANCTIONS
1 - La procédure de sanction avec mise en demeure
1-1 - La mise en demeure
1-2 – La procédure de sanction
1-3 - La délibération de sanction
2 - L’avertissement
3 - Les procédures d’urgence
4 - Quelques chiffres
14
LES SANCTIONS
1-1 - La mise en demeure → La mise en demeure est proposée par les services à la Présidente de la CNIL (loi du 29 mars 2011).
Elle mentionne : les faits, les manquements, la décision et les délais pour s’y conformer et une information sur les suites si les manquements devaient persister
→ La mise en demeure est une phase de régularisation (mise en conformité). Ce n’est pas une sanction.
→ Les recours contre la mise en demeure : CE, délai de 2 mois
→ La réponse à la mise en demeure doit intervenir dans le délai fixé et être accompagnée de toutes preuves permettant de constater la régularisation
→ Les suites possibles d’une mise en demeure :
- Clôture simple pour conformité (publicité possible)
- Clôture avec observations
Les clôtures représentent environ 90 % des cas
- Engagement d’une procédure de sanction
15
1. La procédure de sanction avec mise en demeure
1-2 - La procédure de sanction
LES SANCTIONS 16
• Désignation d’un rapporteur par la Présidente de la CNIL
• Rédaction d’un rapport de sanctions (les faits, les manquements, une proposition de sanction pécuniaire). Il est accompagné des pièces justificatives des manquements.
Il est notifié à l’organisme qui a 1 mois pour présenter ses observations.
• Audition devant la formation restreinte
- La formation restreinte est composée de 6 commissaires
- Existence d’incompatibilités : membre du gouvernement, intérêt dans l’organisme incriminé…
LES SANCTIONS
- Le CE a considéré que la formation restreinte était un tribunal au sens de l’article 6-1 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales eu égard à sa nature, sa composition et ses attributions (CE, juge des référés, 19 février 2008, Société Profil France). Conséquences :
• application des principes de la présomption d’innocence, du contradictoire, des droits de la défense (avocat) et du procès équitable
• examen de l’intégralité du dossier
• présentation des faits et des différents arguments, à charge et à décharge, de la poursuite et de la défense
17
La procédure de sanction
1-3 - La délibération de sanction
LES SANCTIONS 18
• La délibération est rendue en général 1 mois après l’audience
Elle Contient :
- un résumé des faits
- une synthèse des arguments de l’organisme et du rapporteur
- l’analyse de la formation restreinte sur chacun des manquements contenus dans le rapport
- la sanction pécuniaire (ou la relaxe)
Elle est notifiée à l’organisme dès sa signature
• Recours devant le conseil d’Etat dans un délai 2 mois
• La Commission peut rendre publiques les sanctions qu’elle prononce
II. L’avertissement
LES SANCTIONS
• L’avertissement est prononcé sans mise en demeure préalable mais après procédure contradictoire de sanction
• Adresser directement un avertissement public ou non
• Des manquements particulièrement graves
• Sans que l’on soit dans une situation d’urgence
19
III. Les procédures d’urgence (article 45 II)
LES SANCTIONS
→ La multiplicité des procédures
• L’interruption temporaire du traitement
• L’avertissement
• Le verrouillage temporaire des données
• L’information du premier ministre
• La saisine du juge des réfères
→ L’exigence d’une urgence
20
IV. Quelques chiffres
LES SANCTIONS 21
Les procédures de sanction en chiffres de 2007 à 2012
506 mises en demeure
36 sanctions pécuniaires
35 avertissements
2 interruptions de traitement
5 procédures d’urgence
9 relaxes
Les manquements proposés dans les rapports de sanction en 2012
22 LES SANCTIONS
Sécurité; 18%
Information; 13%
Formalités préalables; 13%
Non réponse
à la CNIL; 10%
Collecte loyale; 8%
Dt d'opposition
; 8%
Conservation; 8%
Adéquation des données; 5%
Mise à jour; 5%
Droit d'accès; 5%
Proportionalité; 3%
Consentement à la conservation; 2%
Licéité du traitement; 2%