La lettre d'Option Droit & Affaires

droit des données personnelles

Mise en demeure de la CNIL – Quelle portée juridique pour les entreprises ?

Lettre Option Droit & Affaires - 28 novembre 2018 - Juliette Chavane de Dalmassy

Le rythme des mises en demeure prononcées par la CNIL s’est accéléré depuis le 25 mai 2018, jour de l’entrée en vigueur du Règlement européen n° 2016/679 : Règlement général sur la protection des données (RGPD).

Par Juliette Chavane de Dalmassy, avocate, Cornet Vincent Ségurel

Depuis septembre 2018, plusieurs sociétés ou associations ont été publiquement mises en demeure par la CNIL. A titre d’exemple, on peut citer :
- L’Association 42 (1) qui a créé l’Ecole 42 formant les étudiants dans le domaine informatique, en raison d’un système de vidéosurveillance trop intrusif (8 octobre) ;
- La société Singlespot (2) et la société Vectaury (3) pour défaut de recueil du consentement des personnes au traitement de la géolocalisation à des fins de ciblage publicitaire par le biais des applications mobiles (8 octobre) ;
- Cinq sociétés des Groupes Humanis et Malakoff-Médéric (4), mutuelles et assureurs, ont été mises en demeure le 25 septembre 2018 de cesser d’utiliser pour de la prospection commerciale des données personnelles collectées exclusivement afin de payer les allocations retraite.
Une mise en demeure intervient après une plainte ou un contrôle spontané de la CNIL. Son régime est organisé par l’article 45 de la loi Informatique et liberté (5) qui prévoit que le président de la CNIL peut prononcer une mise en demeure. Cette décision «énumère les manquements reprochés à l’organisme mis en cause ainsi que les mesures qu’il doit prendre, pour se mettre en conformité dans un délai fixé».
Dans sa mise en demeure, la CNIL peut notamment exiger que la société contrôlée mette les opérations de traitement en conformité avec les dispositions applicables ou encore qu’elle rectifie, limite ou efface les données concernées par la non-conformité.
La CNIL rappelle systématiquement dans toutes les décisions rendues qu’une «mise en demeure n’est pas une sanction».
Juridiquement la mise demeure est donc un préalable à une sanction éventuelle.
Le panel des sanctions possibles est large. La CNIL peut en effet prononcer un rappel à l’ordre, une injonction de mettre en conformité le traitement concerné, la limitation temporaire ou définitive dudit traitement, l’interdiction ou le retrait d’une autorisation accordée, la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale, le retrait d’une certification ou l’injonction, à l’organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée, la suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes ou encore, une amende administrative dont le montant a été significativement augmenté par l’entrée en vigueur du RGPD (6).
La sanction quelle qu’elle soit n’intervient que dans l’hypothèse où l’organisme contrôlé n’a pas pris les mesures nécessaires pour être conforme à la législation applicable, dans le délai fixé par la CNIL, au stade de la mise en demeure. Ainsi, si l’organisme contrôlé a appliqué les mesures nécessaires pour se mettre en conformité, aucune sanction ne sera prononcée et la CNIL prendra une décision de clôture du dossier.
Néanmoins, même dans l’hypothèse où la sanction n’est pas prononcée, la seule solution pour se mettre en conformité est parfois de limiter ou d’effacer les données et/ou le traitement concernés par la non-conformité. C’est, dans certains cas, extrêmement difficile en pratique et très coûteux à mettre en place. C’est parfois la remise en cause intégrale d’un business model qui est exigée par la CNIL. Il est donc recommandé d’anticiper la mise en œuvre de la réglementation pour éviter d’avoir à se retrouver dans ce type de situation.
Par ailleurs, la CNIL peut également décider de rendre publique la mise en demeure prononcée contre l’organisme contrôlé, par une délibération distincte de la mise en demeure prise par le bureau de la CNIL, qui explique les raisons d’une telle mesure. La publicité d’une mise en demeure est notamment justifiée par la particulière gravité du manquement commis (ex : Humanis et Malakoff-Médéric Mutuelle) ou par le nombre important de personnes concernées par les traitements non conformes (ex : Direct Energie (7) ou Singlespot).
Dans certains cas, comme pour l’utilisation de la technologie SDK, la CNIL justifie la publicité de la mise en demeure de la société Vectaury par «la nécessité de mettre les personnes concernées en mesure de garder le contrôle de leurs données» ou encore par la nécessité de «sensibiliser les professionnels du secteur sur cette difficulté alors que la collecte de données à caractère personnel à des fins de profilage et de ciblage publicitaire, notamment à partir des lieux fréquentés par les personnes, connaît une forte croissance».
Dans ces hypothèses et quelle que soit la justification invoquée par la CNIL, il semble que la portée juridique d’une telle mise en demeure soit plus importante qu’un préalable à une sanction éventuelle. En effet, le caractère public de la mise en demeure, bien qu’il ne s’agisse pas d’une sanction juridique et bien qu’elle bénéficie d’un fondement légal, peut avoir des effets dramatiques pour les organismes qui la subissent.
Il convient de préciser que, dans le cas d’une mise en demeure publique, la CNIL publie dans les mêmes formes la décision de clôture du dossier lorsque l’organisme concerné s’est mis en conformité dans le délai imparti.
Dans la sphère privée, la publicité de la mise en demeure d’un concurrent ferait l’objet d’une saisine immédiate du juge pour faire cesser l’atteinte aux droits de l’intéressé. Au stade du procès, notamment en propriété intellectuelle, le justiciable peut demander au juge d’ordonner la publicité du jugement à intervenir (ex : Article L.615-7-1 du Code de la propriété intellectuelle). La publicité d’une décision judiciaire est donc bien considérée comme une mesure réparatrice, c’est-à-dire comme une sanction à part entière.
La publicité d’une mise en demeure, acte non définitif puisque susceptible d’un recours devant le Conseil d’Etat pendant un délai de deux mois à compter de la notification de la mise en demeure, est donc une sanction à part entière.
Il convient de préciser que la CNIL n’est pas la seule autorité administrative indépendante à disposer de ce pouvoir spécifique de publicité puisque l’ARCEP dispose également, sur le fondement de l’article L.36-11 du Code des postes et des communications électroniques, de la possibilité de rendre publique la mise en demeure qu’elle notifie à la société concernée.
Ce pouvoir, que l’on pourrait qualifier d’exorbitant du droit commun, est sans doute justifié par la mission d’intérêt général confiée à la CNIL.
En conclusion, nous pouvons relever l’augmentation du nombre de mises en demeure depuis l’entrée en vigueur du RGPD. Nous observons également que la CNIL contrôle tous types d’organismes et que les contrôles sont réalisés indépendamment du secteur d’activité des organismes concernés.
La portée juridique d’une mise en demeure varie selon que la mise en demeure est rendue publique par la CNIL ou non. En effet, une mise en demeure non publique exige de l’intéressé qu’il se mette en conformité sous peine de sanction, mais relève du domaine de l’avertissement. A l’inverse, une mise en demeure rendue publique est en elle-même une sanction puisqu’elle informe les clients et utilisateurs de l’intéressé des non-conformités relevées par la CNIL. L’impact en termes d’image de marque et de réputation pour l’organisme est souvent difficile à maîtriser.

(1). Décision n° MED-2018-041 du 8 octobre 2018 mettant en demeure l’Association 42, rendue publique par délibération de la CNIL du 18 octobre 2018 (n° 2018-345).
(2). Décision n° MED-2018-043 du 8 octobre 2018 mettant en demeure la société Singlespot, rendue publique par délibération de la CNIL du 18 octobre 2018 (n° 2018-344).
(3). Décision n° MED 2018-042 du 30 octobre 2018 mettant en demeure la société Vectaury, rendue publique par délibération de la CNIL du 8 novembre 2018 (n° 2018-343).
(4). Décision n° MED 2018-035 du 25 septembre 2018 mettant en demeure la société Grand Est Mutuelle ; Décision n° MED 2018-037 du 25 septembre 2018 mettant en demeure la société Humanis Assurances ; Décision n° MED 2018-038 du 25 septembre 2018 mettant en demeure la société Mutuelle Humanis Nationale ; Décision n° MED 2018-036 du 25 septembre 2018 mettant en demeure la société Auxia ; Décision n° MED 2018-034 du 25 septembre 2018 mettant en demeure la société Malakoff-Médéric Mutuelle ; toutes rendues publiques le 11 octobre 2018.
(5). Modifiée par la loi n° 2018-493 du 20 juin 2018.
(6). L’amende prononcée ne peut excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Pour les manquements les plus graves, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires.
(7). Décision n° 2018-07 mettant en demeure la société Direct Energie rendue publique par la délibération de la CNIL du 5 mars 2018 (n° 2018-082).