La gestion des plaintes et la procédure de sanction à la CNIL

Danièla Parrot

Chef du service des plaintes

22 février 2013

I. La gestion des plaintes

1. Les plaintes : définition et types

2. Instruction des plaintes

3. Transmission pour contrôle

4. Transmission pour sanction

II. La procédure de sanction

1. La procédure de sanction avec mise en demeure

2. L’avertissement

3. Les procédures d’urgence

4. Quelques chiffres

Sommaire

2

I. La gestion des plaintes

Les plaintes

1. Qu’est ce qu’une plainte ?

4

Définition :

- Toute dénonciation d’agissements contraires de la loi informatique et libertés » qui nécessite une action auprès du responsable de traitement mis en cause ou une réponse juridique de la CNIL auprès du plaignant

Ne pas confondre avec :

- un dépôt de plainte pénale

- une réclamation contre les services de la CNIL

- une question d’ordre général

LES PLAINTES

Les différents types de plaintes

LES PLAINTES

De qui proviennent les plaintes ?

• Des particuliers (en grande majorité),

• Des membres de syndicats,

• Des associations de consommateurs ou de défense des droits de l’Homme,

• Les CNIL étrangères (pour le compte de plaignants visant des responsables de fichier établis en France),

• Nos partenaires (HALDE, OCLCTIC, Signal Spam…),

• Les services de police ou de gendarmerie (réquisitions judiciaires),

• Des responsables de traitement.

5

Combien de plaintes ?

6

4265 4821

5738 6017

Année 2009 Année 2010 Année 2011 Année 2012

Comparatif du nombre de plaintes reçues par la CNIL entre 2009 et 2012

6017 plaintes en 2012 dont 44% via le service de « plainte en ligne »

LES PLAINTES

7

• Sur quoi ?

– Internet/télécoms (31%), principalement pour le « droit à l’oubli » sur Internet (suppression de commentaires, photos, vidéos de sites internet – ex. : réseaux sociaux - , de référencements sur les moteurs de recherche)

– Commerce (20%), notamment pour la radiation des fichiers publicitaires

– Banque/crédit/recouvrement (10%), dont FICP /FCC(7%)

– Travail (15%), notamment sur les questions de surveillance des employés (vidéo, géolocalisation, contrôle des PC…)

– Libertés publiques – collectivités locales (8%) (élection, presse)

– Santé/Social (5%), principalement : droit d’accès, droit de rectification

– Divers (10%) transports, associations, éducation, logement, police-justice, fiscalité, assurances

Répartition des plaintes

LES PLAINTES

8

Répartition des plaintes

Internet/ Télécom 31%

Commerce 21%

Travail 15%

Banque 10%

Libertés publiques / collectivités locales

8%

Social / santé 5% Autres

10%

Répartition des plaintes par secteur

LES PLAINTES

Principaux motifs de plaintes

LES PLAINTES

- Non-respect des droits d’opposition, d’accès et de rectification reconnus par la loi « informatique et libertés » (3/4 des plaintes)

- Défaut de pertinence des données ou caractère disproportionné du traitement de données

- Défaut d’information

- Défaut de déclaration

- Défaut de sécurité

- Durée de conservation excessive des données

9

2. Instruction des plaintes

LES PLAINTES

• Un accusé réception de la plainte • La réponse directe au plaignant :

- En cas d’incompétence, orientation vers le l’organisme compétent

- Lorsqu’aucun agissement n’apparaît a priori contraire à la loi

• L’envoi d’un courrier au responsable de traitement afin d’obtenir ses observations sur les agissements susceptibles d’être contraires à la loi informatique et libertés :

- les faits portés à notre connaissance,

- rappel des textes applicables, - demande d’observations, - fixation d’un délai de réponse (15 jours en général) • A la suite de la réponse reçue : - si la réponse est satisfaisante, la plainte est clôturée avec information du plaignant - Si la réponse n’est pas satisfaisante (ou pas de réponse) : envoi d’un nouveau courrier ou réalisation d’un contrôle ou proposition de mise en demeure ou d’avertissement

10

3. Transmission pour contrôle

11

• Proposer des contrôles à partir des plaintes reçues:

pour contribuer au programme annuel validé par les commissaires

ou en fonction de l’intérêt de la plainte (vérifier sur place)

Près de 20 % des contrôles trouvent leur origine dans une plainte en 2012

• Clôture de la procédure de contrôle

- Courrier de la présidente de la CNIL, comportant éventuellement des observations ; puis clôture de la plainte.

- En cas de manquements graves constatés : mise en demeure (décision de la présidente de la CNIL) et/ou avertissement (décision de la formation restreinte)

LES PLAINTES

4. La transmission pour sanction

Transmission de dossiers au service des sanctions avec une proposition de mise en demeure ou d’avertissement :

Motifs :

- Entrave à l’action de la CNIL

Ex. : non-réponse

- Plainte révélant un non-respect grave de la loi

Ex. : plainte comportant des correspondances avec le responsable de traitement prouvant ce non-respect, volonté manifeste de ne pas se conformer à la loi malgré nos courriers, constatations opérées dans le cadre d’un contrôle

12 LES PLAINTES

II. La procédure de sanction

LES SANCTIONS

1 - La procédure de sanction avec mise en demeure

1-1 - La mise en demeure

1-2 – La procédure de sanction

1-3 - La délibération de sanction

2 - L’avertissement

3 - Les procédures d’urgence

4 - Quelques chiffres

14

LES SANCTIONS

1-1 - La mise en demeure → La mise en demeure est proposée par les services à la Présidente de la CNIL (loi du 29 mars 2011).

Elle mentionne : les faits, les manquements, la décision et les délais pour s’y conformer et une information sur les suites si les manquements devaient persister

→ La mise en demeure est une phase de régularisation (mise en conformité). Ce n’est pas une sanction.

→ Les recours contre la mise en demeure : CE, délai de 2 mois

→ La réponse à la mise en demeure doit intervenir dans le délai fixé et être accompagnée de toutes preuves permettant de constater la régularisation

→ Les suites possibles d’une mise en demeure :

- Clôture simple pour conformité (publicité possible)

- Clôture avec observations

Les clôtures représentent environ 90 % des cas

- Engagement d’une procédure de sanction

15

1. La procédure de sanction avec mise en demeure

1-2 - La procédure de sanction

LES SANCTIONS 16

• Désignation d’un rapporteur par la Présidente de la CNIL

• Rédaction d’un rapport de sanctions (les faits, les manquements, une proposition de sanction pécuniaire). Il est accompagné des pièces justificatives des manquements.

Il est notifié à l’organisme qui a 1 mois pour présenter ses observations.

• Audition devant la formation restreinte

- La formation restreinte est composée de 6 commissaires

- Existence d’incompatibilités : membre du gouvernement, intérêt dans l’organisme incriminé…

LES SANCTIONS

- Le CE a considéré que la formation restreinte était un tribunal au sens de l’article 6-1 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales eu égard à sa nature, sa composition et ses attributions (CE, juge des référés, 19 février 2008, Société Profil France). Conséquences :

• application des principes de la présomption d’innocence, du contradictoire, des droits de la défense (avocat) et du procès équitable

• examen de l’intégralité du dossier

• présentation des faits et des différents arguments, à charge et à décharge, de la poursuite et de la défense

17

La procédure de sanction

1-3 - La délibération de sanction

LES SANCTIONS 18

• La délibération est rendue en général 1 mois après l’audience

Elle Contient :

- un résumé des faits

- une synthèse des arguments de l’organisme et du rapporteur

- l’analyse de la formation restreinte sur chacun des manquements contenus dans le rapport

- la sanction pécuniaire (ou la relaxe)

Elle est notifiée à l’organisme dès sa signature

• Recours devant le conseil d’Etat dans un délai 2 mois

• La Commission peut rendre publiques les sanctions qu’elle prononce

II. L’avertissement

LES SANCTIONS

• L’avertissement est prononcé sans mise en demeure préalable mais après procédure contradictoire de sanction

• Adresser directement un avertissement public ou non

• Des manquements particulièrement graves

• Sans que l’on soit dans une situation d’urgence

19

III. Les procédures d’urgence (article 45 II)

LES SANCTIONS

→ La multiplicité des procédures

• L’interruption temporaire du traitement

• L’avertissement

• Le verrouillage temporaire des données

• L’information du premier ministre

• La saisine du juge des réfères

→ L’exigence d’une urgence

20

IV. Quelques chiffres

LES SANCTIONS 21

Les procédures de sanction en chiffres de 2007 à 2012

506 mises en demeure

36 sanctions pécuniaires

35 avertissements

2 interruptions de traitement

5 procédures d’urgence

9 relaxes

Les manquements proposés dans les rapports de sanction en 2012

22 LES SANCTIONS

Sécurité; 18%

Information; 13%

Formalités préalables; 13%

Non réponse

à la CNIL; 10%

Collecte loyale; 8%

Dt d'opposition

; 8%

Conservation; 8%

Adéquation des données; 5%

Mise à jour; 5%

Droit d'accès; 5%

Proportionalité; 3%

Consentement à la conservation; 2%

Licéité du traitement; 2%

Merci de votre attention !

23