les risques de non conformitÉ · partie iv: cas pratique ... over time is that change comes from...
TRANSCRIPT
LES RISQUES DE NON CONFORMITÉ
ALEXANDRA GUÉRIN-FRANÇOIS
Risques de non-conformité / A Guérin-François/
30/03/2018
1
PLAN
Introduction
Partie I: Le risque réputationnel
Partie II: Le risque de sanction de la CNIL
A: les contrôles
B: les sanctions
Partie III: Le risque de contentieux judiciaire
Partie IV: Cas pratique
Risques de non-conformité / A Guérin-François/
30/03/2018
2
La réputation = la manière dont quelqu'un, quelque chose est connu, considéré
dans un public.
= l’opinion favorable ou défavorable du public pour quelqu'un,
quelque chose.
→ actif incorporel de l’entreprise.
La confiance = créateur de lien entre l’entreprise et ses clients
90% des répondants estiment que les entreprises violent leur vie privée
54% des consommateurs sont prudents quant aux informations qu’ils partagent en
raison d’un manque de confiance dans la sécurité en ligne et dans la protection de
leurs données personnelles (Etude Accenture 2015)
RÉPUTATION ET CONFIANCE
9Risques de non-conformité / A Guérin-François/
30/03/2018
Chaque décision concernant la gestion de la non-conformité, et non
seulement l’acte reproché, aura un impact sur la perception.
“While the impulse may be to say that this is unfair, one of the lessons I've learned
over time is that change comes from self-reflection. So it's worth examining how we
got here. The truth is that there is a high cost to a bad reputation. Irrespective of
whether we did everything that is being said about us in London today (and to be
clear, I don't think we did), it really matters what people think of us, especially in a
global business like ours, where actions in one part of the world can have serious
consequences in another.”
Risques de non-conformité / A Guérin-François/
30/03/2018
11
LES CONSÉQUENCES
POUR L’ENTREPRISE
Risques de non-conformité / A Guérin-François/
30/03/2018
13
59% des internautes disent qu’ils sont moins susceptibles de choisir
une entreprises qui a souffert d’une faille de sécurité (cf. non-profit
tech think tank Internet Society’s 2016 Global Internet Report).
SIMPLY PUT, THE BREACHES
FORCED YAHOO TO RENEGOTIATE
ITS SALE TO VERIZON, CUTTING
THE PRICE BY $350 MILLION.
14Risques de non-conformité / A Guérin-François/
30/03/2018
PARTIE II
LE RISQUE DE SANCTION DE LA CNIL
Risques de non-conformité / A Guérin-François/
30/03/2018
16
L’AUGMENTATION DES
CONTRÔLES
• Un changement de paradigme depuis la réforme de 2004
• Passage du contrôle a priori vers le contrôle de terrain a
posteriori
• Une évolution significative
• 510 contrôles en France en 2015 (contre 42 contrôles en
2004, essentiellement en région parisienne/ 20%
d’augmentation par rapport à 2014)/ 430 en 2016
• Dont
• 87 contrôles vidéoprotection / 94 en 2016
• 155 contrôles en ligne (contre 58 en 2014) / 101 en 2016
• 81 % des vérifications menées dans le secteur privé.
Risques de non-conformité / A Guérin-François/
30/03/2018
18
ENCADREMENT
RÈGLEMENTAIRE➢ Les ministres, autorités publiques, dirigeants d’entreprises
publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.(art. 21 LIL)
✓ Articles 11-2°- f et 44, 48 et 49 LIL/ articles 61 à 69 décret
➢ Les pouvoirs de contrôle de la CNIL peuvent être exercés à l’égard des traitements dont les opérations sont mises en œuvre en tout ou partie sur le territoire national (art. 48 LIL)
→ cela peut concerner des sociétés qui, sans être établies en France, recourent à des moyens de traitement sur le territoire français (par exemple : utilisation d’équipements participant au traitement ou dépôt de cookies et autres traceurs sur les terminaux des utilisateurs).
Risques de non-conformité / A Guérin-François/
30/03/2018
19
POURQUOI UN CONTRÔLE
EST-IL DILIGENTÉ?
➢ Plainte : 15%
Ex : 2015 : enquêtes sur les risques psycho-sociaux dans lesecteur public et privé, ainsi qu’auprès de prestataires à qui sont confiéesces enquêtes. (vigilance sur les enquêtes sur internet/ caractère facultatifet respect de l’anonymat)
➢ Programme annuel des contrôles : 35% en 2015/ 20% en 2016
➢ Autosaisine : 41% (ex: actualité) en 2015/ 60% en 2016
➢ Suite à une mise en demeure ou à une procédure de sanction : 5%
➢ Suite à un courrier d’observation adressé après un premier contrôle : 4%
Cf. rapport annuel 2015
Risques de non-conformité / A Guérin-François/
30/03/2018
20
CE QUI SE PASSE AVANT UN
CONTRÔLE DE LA CNIL
➢ décision prise par le Président de la CNIL, sur proposition
du service des contrôles.
✓ Une même décision de contrôle peut valablement servir de
fondement à plusieurs missions de vérifications sur place
auprès d’un même responsable de traitement. (CE 18 nov.
2015 PS consulting)
➢ information du procureur de la République territorialement
compétent de la date, de l’heure et de l’objet du contrôle
24 heures avant que celui-ci ne débute.
Risques de non-conformité / A Guérin-François/
30/03/2018
21
QUI PEUT RÉALISER
UN CONTRÔLE?
- les commissaires de la CNIL (sauf ceux appartenant à la formation restreinte)
- les agents habilités par une délibération de la CNIL ou du bureau publiée auJO → carte professionnelle
→ sans conflit d’intérêt (art. 59 décret)
- Des agents d’autorités européennes : habilitation spéciale (PJLIL III art. 49-1III)
- des experts désignés par le Président
Les contrôleurs sont tenus au secret professionnel.
Certains contrôles nécessitent :
✓ des habilitations particulières, notamment pour les fichiers couverts par lesecret défense.
✓ la présence d’un médecin - en cas de communication de donnéesmédicales individuelles dans un traitement aux fins de médecinepréventive, recherche médicale, diagnostics médicaux, administration desoins ou de traitements ou gestion de service de santé, mis en œuvre parun membre d’une profession de santé (art. 44 III LIL/ art. 68 décret)
Risques de non-conformité / A Guérin-François/
30/03/2018
22
LES DIFFÉRENTS TYPES DE
CONTRÔLES
➢Contrôles sur place (= la « perquisition »)
art.44 LIL
➢Contrôles en ligne - art.44 III LIL (loi du 17
mars 2014 relative à la consommation)
➢Contrôles sur pièces - art.44 III LIL
➢Audition sur convocation - art.44 III LIL
Risques de non-conformité / A Guérin-François/
30/03/2018
23
LE CONTRÔLE SUR
PLACE (1/2)
➢ Comment? (art. 44 / art. 19 LIL et art. 57 décret)
✓ 6 heures à 21 heures
✓ Locaux à usage professionnel (exclusion des parties affectées au domicile privé) → modification
➢ Pour quoi?
✓ obtenir copie du maximum d’informations, techniques et
juridiques, pour apprécier les conditions dans lesquelles sont
mis en œuvre les traitements
✓ L’analyse se fait après le contrôle.
Risques de non-conformité / A Guérin-François/
30/03/2018
24
LE CONTRÔLE SUR
PLACE (2/2)
➢ Les contrôleurs peuvent :
✓ demander communication de tous documents nécessaires à
l’accomplissement de la mission, quel qu’en soit le support, et
en prendre copie
ex. : contrats de location de fichiers, contrats de sous-traitance
informatique, formulaires, dossiers papiers, notes
✓ accéder aux programmes informatiques et aux données, et en
demander la transcription pour les besoins du contrôle.
ex: copie d’écran, copie de bases de données
Risques de non-conformité / A Guérin-François/
30/03/2018
25
L’INFORMATION DU
CONTROLE➢ Pas d’obligation de prévenir
➢ Information au plus tard au début du contrôle du responsable des lieux de
l’objet des vérifications, de l’identité et de la qualité des personnes chargées du
contrôle et de son droit d’opposition (cf. CE 6 nov. 2009 puis Loi 2011)
➢ Le responsable des lieux (= la personne qui assiste et accompagne les
contrôleurs) est :
• Désigné par l’organisme contrôlé
• L’interlocuteur privilégié
• Reçoit l’original de la décision du Président de la CNIL
• Peut être le responsable du traitement ou autre (ex: le CIL)
Risques de non-conformité / A Guérin-François/
30/03/2018
26
Cas particulier du contrôle à la demande d’un homologue de
l'Union européenne : information du responsable du traitement de cette
demande et que les informations recueillies ou détenues par la CNIL sont
susceptibles d’être communiquées à cette autorité (art. 63 décret)
LIMITE AUX CONTRÔLES :
L’OPPOSITION
➢ Droit d’opposition à la présence des agents au sein des locaux professionnels privés (loi du 29 mars 2011/ art. 44 II LIL)
➢ Pas de droit d’opposition si ordonnance du juge des libertés et de la détention :
✓ saisine préalable du JLD (urgence, gravité des faits ou risque de destruction ou de dissimulation)
✓ saisine après opposition
→ délit d’entrave
➢ L'entrave à l'action de la CNIL (art. 51 LIL/ pénal) est aussi réalisée en cas :
✓ de refus de communiquer, dissimulation ou destruction des renseignements et documents utiles à la mission de contrôle ;
✓ de communication d'informations non conformes au contenu des enregistrements tel qu’il était au moment où la demande de la CNIL a été formulée ou présentation d'un contenu sous une forme qui n’est pas directement accessible
→ quel intérêt?
Risques de non-conformité / A Guérin-François/
30/03/2018
27
LIMITE AUX AGENTS :
LE SECRET• Secret professionnel (et sûreté de l’Etat): opposable aux contrôleurs
→ mention dans le procès-verbal en citant les dispositions législatives/ réglementaires et la nature des données couvertes (art. 21 LIL/ art. 59 décret)
• PJLIL III : art. 44 III « Le secret ne peut leur être opposé sauf concernant les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, sous réserve du deuxième alinéa du présent III, par le secret médical »
• Risque de requalification en délit d’entrave si :
• pas de dispositions légales (ex: secret des affaires)
• pas lié à la nature des vérifications : pas directement sur les données protégées (ex: procédures de sécurité, procédures internes)
• secret relatif (ex: secret bancaire) : si document écrit du titulaire du secret (ex: client) consent à la levée du secret au bénéfice de la CNIL
→ s’interroger en amont
Risques de non-conformité / A Guérin-François/
30/03/2018
28
LA CONCLUSION DU
CONTRÔLE
Le procès-verbal de fin de mission établi à l’issue du contrôle :
✓ précise : nature, jour, heure, lieu des contrôles, objet de la
mission, membres, personnes rencontrées et déclarations, les
demandes et les éventuelles difficultés et l’inventaire des pièces
(art. 64 décret)
✓ Le cas échéant : l’opposition et ses motifs
✓ soumis à la signature du responsable des lieux qui peut faire des
observations
✓ en cas de refus, mention au PV
✓ le procès-verbal est notifié par RAR au responsable des
traitements et au responsable des lieux sous 8 jours.
Les contrôleurs ne jugent pas de la conformité. Le PV sert à constater.
Risques de non-conformité / A Guérin-François/
30/03/2018
29
LES CONTRÔLES EN
LIGNENouveau pouvoir (loi Consommation du 17 mars 2014) : article 44- III (4§) LIL
➢ Pour quels traitements?
✓ Cookies, traceurs, mentions d’information à l’attention des utilisateurs ou
la sécurité du site internet
➢ Comment?
✓ par des agents de la CNIL habilités
✓ au sein de la CNIL à partir d’une plateforme et d’une connexion internet
dédiées. Avant : vérifications techniques de l’environnement de contrôle.
✓ Limite : données librement accessibles ou rendues accessibles, y compris
par imprudence, négligence ou du fait d’un tiers.
➢ Sous quelle forme?
✓ Le procès-verbal de constatations en ligne ainsi que ses annexes, sont
adressés au responsable du traitement contrôlé qui dispose d'un délai afin
de faire part de ses observations avec, le cas échéant, une demande
d’information complémentaire.
Risques de non-conformité / A Guérin-François/
30/03/2018
30
CONTRÔLES SUR
PIÈCES
Un moyen de contrôle sectoriel
ex : en 2015, les cartes de paiement sans contact (nature
des données lisibles au moyen de la fonction de lecture sans
contact, leurs modalités de sécurisation, ainsi que les modalités
de désactivation de la fonction de paiement sans contact et
information des porteurs).
ex : complémentaire des contrôles sur place pour FICP
(Fichier des Incidents de remboursement des Crédits aux
Particuliers) : sur place à la Banque de France/ sur pièces auprès
de 14 établissements bancaires (établissements nationaux,
régionaux et banques en ligne).
Risques de non-conformité / A Guérin-François/
30/03/2018
31
L’AUDITION SUR
CONVOCATION
➢ Contexte :
✓ Impossibilité de contrôler sur place (ex: domicile privé)
✓ Complément d’un contrôle sur place déjà effectué
➢ Conditions de forme :
✓ Convocation au moins 8 jours avant la date (par LAR ou
coursier contre signature)
✓ Possibilité de se faire assister d’un conseil dans la lettre
✓ En cas d’absence, PV de carence
Risques de non-conformité / A Guérin-François/
30/03/2018
32
LES SUITES D’UN
CONTRÔLE
Courrier de clôture
• Pas de manquement
Courrier d’observations
• Manquements de faible gravité ex: durée de conservations
Mise en demeure
• Manquements
Transmission à la formation
restreinte
Risques de non-conformité / A Guérin-François/
30/03/2018
33
transmission au parquet en cas d’infractions
pénales caractérisées (art.40 code procédure
pénale
L’ÉVOLUTION DES
PRATIQUES AU NIVEAU
DE L’UE
Exemple du Sweep Day: audit en ligne simultané des principaux sites
internet européens par les 28 autorités de protection des données
européennes pendant quelques jours.
Première mondiale : en mai 2013, la CNIL et 19 de ses homologues dans
le monde ont effectué un audit des 2180 sites Internet ou applications les
plus visités afin d’évaluer le niveau d’information.
C’est désormais un exercice annuel :
• Vérification des sites internet européens les plus fréquentés, dans
les domaines de l'e-commerce et des médias en 2014
• Sites web destinés aux enfants en 2015
• Objets connectés du quotidien en 2016
Risques de non-conformité / A Guérin-François/
30/03/2018
34
Le règlement européen (mai 2018) prévoit notamment la réalisation
d’opérations de contrôle conjointes par plusieurs autorités européennes
de protection des données (art. 62)
LA COOPÉRATION ENTRE
AUTORITÉS VIA LE G29
➢ Actuellement coopération via le G29 (« artisanale »)
ex : Microsoft, Google, Facebook
➢ Avec le règlement, organisation de la coopération :
✓ autorité de contrôle : pouvoir d’enquête y compris sur base
d’information d’autres autorités (art. 57 (h))
✓ autorité chef de file et les autres autorités concernées :
« opérations conjointes » (art. 60.2)
✓ assistance mutuelle entre autorités (art. 61)
✓ Délai de réponse maximum: un mois
→ PJ LIL III : articles 49-1 à 49-4
Risques de non-conformité / A Guérin-François/
30/03/2018
35
EXEMPLE DE LETTRES
DU G29
Risques de non-conformité / A Guérin-François/
30/03/2018
36
Le travail du sous-groupe
du G29 n’empêche pas les
autorités nationales de faire
des demandes auprès du
responsable de traitements
qui doit y répondre.
LES DROITS DE LA
DÉFENSE➢ Composition de la formation restreinte :
✓ 6 commissaires (dont un Président distinct du Président de la
CNIL. Ne sont plus membres les vice-présidents de la CNIL cf. loi
du 29 mars 2011 sur le Défenseur des droits).
➢ qualité de tribunal au sens de l'article 6 de la convention
européenne des droits de l'homme (CE 19 février 2008).
→ application des principes de la présomption d’innocence, du
contradictoire, des droits de la défense et du procès équitable :
✓ assistance d'un avocat
✓ accès au dossier et possibilité d’être entendus lors de la
formation restreinte
✓ examen de l’intégralité du dossier
✓ présentation des faits et des différents arguments, à charge et à
décharge, de la poursuite et de la défense
Risques de non-conformité / A Guérin-François/
30/03/2018
38
QU’EST-CE QU’UNE
MISE EN DEMEURE?
➢ Demande de mise en conformité d’un traitement proposée par
les services et décidée par le président de la CNIL
✓ Objectif : faire cesser le manquement constaté dans un
délai imparti (de 10 jours à 3 mois). Si urgence, 24 heures.
➢ Une mise en demeure n’est pas une sanction. C’est un outil
pédagogique.
✓ Clôture de la procédure si conformité dans le délai
✓ En l’absence de conformité, la formation restreinte peut
prononcer des sanctions.
Risques de non-conformité / A Guérin-François/
30/03/2018
39
En 2015 : 93 MED dont 12 publiques (40 pour cookies/ 8 sites de
rencontre/ 20 contre des communes – actes d’état civil dématérialisés)
10 rapports de sanctions / 3 sanctions financières dont 2 publiques
7 avertissements dont 2 publics
LA PUBLICITÉ DE LA
MISE EN DEMEURE➢ La présidente de la CNIL peut demander au bureau (Président et
des deux vice-président) de rendre publique la mise en demeure.
➢ Motivation de la publicité :
✓ compte tenu de la sensibilité des données / nombre de
personnes/ taille de l’organisme/ importance sur le marché
✓ appeler notamment l’attention des entreprises sur la
nécessité de ne pas enregistrer de commentaires excessifs
dans leurs fichiers clients (Boulanger)
➢ « La CNIL rappelle que ces mises en demeure ne sont pas des
sanctions. En effet, aucune suite ne sera donnée à cette
procédure si la société se conforme à la loi dans le délai imparti.
Dans ce cas, la clôture de la procédure fera également l'objet
d'une publicité.»
→ La MED publique : pire qu’une sanction?
Risques de non-conformité / A Guérin-François/
30/03/2018
40
ART. 45 PROJET DE LOI LIL IIINe pas confondre avec :
II - Le président de la Commission nationale de l’informatique et des libertés peut saisir la
formation restreinte de la commission en vue du prononcé, après procédure contradictoire
1° Un rappel à l’ordre ;
2° Une injonction de mettre en conformité le traitement avec les obligations résultant de la
présente loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
précité ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer
ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en oeuvre par l’État,
d’une astreinte dont le montant ne peut excéder 100 000 € par jour [….]
III – Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations
découlant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
précité ou de la présente loi, le président de la Commission nationale de l’informatique et des
libertés peut également prononcer à son égard une mise en demeure, dans le délai qu’il fixe
1° De satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits ;
2° De mettre les opérations de traitement en conformité avec les dispositions applicables
Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la
décision de clôture de la procédure de mise en demeure fait l’objet de la même publicité. […]
Risques de non-conformité / A Guérin-François/
30/03/2018
41
LA PROCÉDURE DE
SANCTION
✓ La désignation d’un rapporteur (hors formation restreinte)
✓ Une audition éventuelle (organisée par le rapporteur)
✓ L’envoi du rapport de sanction contenant:
• les faits détaillés et les différentes étapes de procédure(plainte, contrôle, mise en demeure)
• les manquements que le rapporteur estime constitués
• une proposition de sanction
• accompagné des pièces justificatives des manquements
✓ Un délai d’un mois pour présenter des observations écrites
✓ La séance (convocation du mis en cause)
✓ Le délibéré soumis au secret
Risques de non-conformité / A Guérin-François/
30/03/2018
42
LES DIFFÉRENTES
SANCTIONS (1/2)
Changement de paradigme :
- LIL II : mise en demeure préalable avant sanction
- L 7 octobre 2016 : Pas de MED lorsque le manquement constaté
ne peut faire l'objet d'une mise en conformité
- RGPD/ PJ LIL III: plus de MED obligatoire
Types de sanctions (LIL II) : avertissement,/ sanction pécuniaire (sauf
pour les traitements de l’État)/ injonction de cesser le traitement ou un
retrait de l’autorisation accordée par la CNIL
+ (LIL III) rappel à l’ordre/ injonction de mettre en conformité/ retrait de
certification
Risques de non-conformité / A Guérin-François/
30/03/2018
43
Après une procédure contradictoire, sanctions prononcées par la
formation restreinte après saisine du PDT de la CNIL
LES DIFFÉRENTES
SANCTIONS (2/2)
➢ En cas d'urgence : l'interruption provisoire de transferts,
limitation de traitements, rappel à l’ordre, pour certains fichiers
sensibles de l'Etat, l'information du Premier Ministre afin qu'il
prenne les mesures nécessaires pour mettre fin aux
manquements
➢ En cas d’atteinte grave et immédiate aux droits et libertés, le
président de la CNIL peut demander, par référé, à la juridiction
compétente, d’ordonner toute mesure nécessaire.
Risques de non-conformité / A Guérin-François/
30/03/2018
44
Dénonciation au Procureur de la République des infractions à la loi
informatique et libertés, prévues aux articles 226-16 à 226-24 du Code pénal.
L’EVOLUTION DU MONTANT
➢ Anticipation de l’Augmentation du plafond maximal des sanctions :
✓ de 150.000 € à 3 millions € (loi 7 octobre 2016)
➢ RGPD:/ art. 45 PJ LIL III un plafond pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial
→ Le montant des amendes est perçu par le Trésor Public et non par la CNIL.
→ Avis G29 : WP 253
Risques de non-conformité / A Guérin-François/
30/03/2018
45
LA PUBLICITÉ DES
DÉCISIONS DE LA CNIL
➢ Possibilité de rendre publiques les sanctions prononcées (loi du 29 mars 2011 / art. 46 LIL )
✓ sans nécessité de mauvaise foi de l'organisme concerné
✓ dès la notification de la décision (la décision publiée précise qu’un recours peut être exercé)
✓ l'insertion de la décision dans la presse peut être ordonnée aux frais de l'organisme sanctionné
➢ Possibilité d’ordonner que les organismes sanctionnés informent individuellement de la sanction et à leur frais, chacune des personnes concernées (loi du 7 octobre 2016)
→ repris dans article 47 PJ LIL III
Risques de non-conformité / A Guérin-François/
30/03/2018
46
LES VOIES DE
RECOURS
➢ Recours contentieux : le Conseil d’Etat est directement
compétent pour les recours contre les décisions des
organismes collégiaux à compétence nationale (cf. art. R.311-1
4° du code de justice administrative)
→ CE 6 janvier 1997, Caisse d’Epargne Rhône-Alpes-
Lyon : compétence du CE des recours contre les décisions de la
CNIL
Délai de 2 mois pour former le recours à compter de la date de
notification de la décision de mise en demeure,
d’avertissement et de sanctions pécuniaires
➢ Recours gracieux : directement auprès de la formation
restreinte
Risques de non-conformité / A Guérin-François/
30/03/2018
47
LA NOTIFICATION DES FAILLES DE SÉCURITÉ EST-ELLE
CONTRAIRE À L’ARTICLE 6-1°DE LA (CEDH) –
CONTRIBUTION À SA PROPRE INCRIMINATION ?
Orange condamné par la CNIL suite à une intrusion informatique ayant généré la fuite des données à caractère personnel de plus d’un million de clients de l’opérateur.
Conseil d’État (30 décembre 2015) : deux obligations distinctes, autonomes l’une de l’autre :
l’article 34 : obligation de prendre toutes précautions utiles pour préserver la sécurité et la confidentialité des données
et l’article 34 bis : obligation spécifique de notification des violations de données à caractère personnel, à la charge des responsables de traitements fournissant un service de communications électroniques
→ confirmation de la sanction prononcée car fondée sur des manquements à l’obligation de sécurité constatés à l’occasion des contrôles et non sur des éléments obtenus par le biais de la procédure de notification
Risques de non-conformité / A Guérin-François/
30/03/2018
48
L’ACTION DE GROUPENouvel article 43 ter de la LIL de la loi de modernisation de la justice du 21e siècle
(18 novembre 2016)
➢ Devant la juridiction civile ou la juridiction administrative compétente.
➢ plusieurs personnes physiques placées dans une situation similaire subissent un
dommage ayant pour cause commune un manquement de même nature aux
dispositions de la LIL par un responsable de traitement ou un sous-traitant.
➢ Modification dans PJ LIL III « Cette action peut être exercée en vue soit de la
cessation du manquement mentionné au II, soit de l’engagement de la
responsabilité de la personne ayant causé le dommage afin d’obtenir la
réparation des préjudices matériels et moraux subis, soit de ces deux fins. »
➢ Peuvent agir :
1° Les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet
statutaire la protection de la vie privée / protection des données ;
2° Les associations de défense des consommateurs représentatives au niveau national et
agréées, lorsque le traitement personnel affecte des consommateurs ;
3° Les organisations syndicales de salariés /fonctionnaires représentatives, lorsque le traitement
affecte les intérêts des personnes que les statuts de ces organisations les chargent de
défendre.
Risques de non-conformité / A Guérin-François/
30/03/2018
49
PARTIE III
LE RISQUE DE CONTENTIEUX
JUDICIAIRE
Risques de non-conformité / A Guérin-François/
30/03/2018
51
CONTENTIEUX PÉNAL
« La mise en œuvre du dispositif reste quantitativement
faible. Partant, le contentieux pénal n'offre pas suffisamment
de visibilité en la matière. Le manque de cohérence de la
jurisprudence pénale relative au contentieux de la loi de 1978
modifiée n'encourage pas son développement et son
utilisation pour en faire un outil de régulation du droit de la
protection des données personnelles. » Jean FRAYSSINET,
Professeur à l'Université Paul Cézanne - Aix-Marseille III
(1er mars 2009 - Légicom N°42)
→ pas de politique pénale
Risques de non-conformité / A Guérin-François/
30/03/2018
52
PEU DE
JURISPRUDENCE
➢ Appel contre des ordonnances de non-lieu
✓ Test pour rentrer dans la gendarmerie (crim. 7 juin 2016 )
✓ Refus du don du sang d’un homosexuel (crim. 8 juil. 2015)
➢ Condamnation pour collecte déloyale (recueil d’adresses
électroniques personnelles de personnes physique, à leur
insu, sur internet) cf. art. 226-18 c.p. (Crim. 14 mars 2006)
➢ Condamnation pour défaut de précaution d’un traitement
de "mauvais payeurs’ en s'abstenant systématiquement
d'enregistrer le lieu de naissance de ces personnes, créant
ainsi un préjudice à tous les homonymes concernés cf. art.
226-17 c.p. (Crim. 19 décembre 1995)
Risques de non-conformité / A Guérin-François/
30/03/2018
53
CONTENTIEUX CIVIL
➢ Préjudice personnel : Demande de réparation en cas de
dommage lié à l’utilisation des données personnelles par
des tiers
✓ Ex : interdiction d’utiliser les données / dommages et
intérêts
✓ Décisions sur le droit à l’oubli sur la LCEN
➢ Conflit commercial : « objet illicite, hors commerce,
insusceptible d'être vendu » de la vente d’un fichier non
déclaré à la CNIL cf. art. 1120 c.civ. (contenu licite) et art. 22
LIL (cass. com. 25 juin 2013: cession de fonds de commerce)
Risques de non-conformité / A Guérin-François/
30/03/2018
54
CONTENTIEUX
PRUD’HOMAL
➢ Sur la preuve : irrecevabilité de la preuve
Ex : défaut d’information / défaut de déclaration / non
respect du principe de proportionnalité
✓ Cass. Soc. 8 oct. 2014 : licenciement pour
utilisation excessive de la messagerie
professionnelle à des fins personnelles (plus de
600 mails par mois pendant 2 mois)
→ moyen de preuve illicite car collecte des
informations avant la déclaration du traitement à
la CNIL
Risques de non-conformité / A Guérin-François/
30/03/2018
55
CONTENTIEUX
PRUD’HOMAL✓ Cass. Soc. 2 nov. 2016 : litige sur des heures supplémentaires:
✓ l’employeur utilise données du système d’accès (nom du
salarié et heure d’entrée) - dans la mesure où cette preuve
permettait exclusivement à l’employeur de se défendre en
établissant les horaires contestés et le conseil de
prud’hommes avait lui-même demandé la production
✓ Mais l’utilisation d’un code différent pour chaque employé
est considéré inutile pour éviter les intrusions
→ la cour d'appel en a exactement déduit que ce moyen
permettait un contrôle automatisé de l'activité des salariés
nécessitant, d'une part, une déclaration auprès de la
Commission nationale de l'informatique et des libertés, d'autre
part l'information et la consultation du comité d'entreprise et qu'il
convenait en conséquence d'écarter des débats les documents
résultant d'un procédé illicite ;
Risques de non-conformité / A Guérin-François/
30/03/2018
56