La gestion des plaintes et la procédure de sanction à la CNIL
Transcription
La gestion des plaintes et la procédure de sanction à la CNIL
La gestion des plaintes et la procédure de sanction à la CNIL 22 février 2013 Danièla Parrot Chef du service des plaintes Sommaire I. La gestion des plaintes 1. Les plaintes : définition et types 2. Instruction des plaintes 3. Transmission pour contrôle 4. Transmission pour sanction II. La procédure de sanction 1. La procédure de sanction avec mise en demeure 2. L’avertissement 3. Les procédures d’urgence 4. Quelques chiffres 2 I. La gestion des plaintes Les plaintes 1. Qu’est ce qu’une plainte ? Définition : - Toute dénonciation d’agissements contraires de la loi informatique et libertés » qui nécessite une action auprès du responsable de traitement mis en cause ou une réponse juridique de la CNIL auprès du plaignant Ne pas confondre avec : - un dépôt de plainte pénale - une réclamation contre les services de la CNIL - une question d’ordre général 4 LES PLAINTES Les différents types de plaintes De qui proviennent les plaintes ? • Des particuliers (en grande majorité), • Des membres de syndicats, • Des associations de consommateurs ou de défense des droits de l’Homme, • Les CNIL étrangères (pour le compte de plaignants visant des responsables de fichier établis en France), • Nos partenaires (HALDE, OCLCTIC, Signal Spam…), • Les services de police ou de gendarmerie (réquisitions judiciaires), • Des responsables de traitement. 5 LES PLAINTES Combien de plaintes ? Comparatif du nombre de plaintes reçues par la CNIL entre 2009 et 2012 5738 4265 Année 2009 6017 4821 Année 2010 Année 2011 Année 2012 6017 plaintes en 2012 dont 44% via le service de « plainte en ligne » 6 LES PLAINTES Répartition des plaintes • Sur quoi ? – Internet/télécoms (31%), principalement pour le « droit à l’oubli » sur Internet (suppression de commentaires, photos, vidéos de sites internet – ex. : réseaux sociaux - , de référencements sur les moteurs de recherche) – Commerce (20%), notamment pour la radiation des fichiers publicitaires – Banque/crédit/recouvrement (10%), dont FICP /FCC(7%) – Travail (15%), notamment sur les questions de surveillance des employés (vidéo, géolocalisation, contrôle des PC…) – Libertés publiques – collectivités locales (8%) (élection, presse) – Santé/Social (5%), principalement : droit d’accès, droit de rectification – Divers (10%) transports, associations, éducation, logement, policejustice, fiscalité, assurances 7 LES PLAINTES Répartition des plaintes Répartition des plaintes par secteur Social / santé 5% Autres 10% Libertés publiques / collectivités locales 8% Internet/ Télécom 31% Banque 10% Travail 15% 8 LES PLAINTES Commerce 21% Principaux motifs de plaintes - Non-respect des droits d’opposition, d’accès et de rectification reconnus par la loi « informatique et libertés » (3/4 des plaintes) - Défaut de pertinence des données ou caractère disproportionné du traitement de données - Défaut d’information - Défaut de déclaration - Défaut de sécurité - Durée de conservation excessive des données 9 LES PLAINTES 2. Instruction des plaintes • Un accusé réception de la plainte • La réponse directe au plaignant : - En cas d’incompétence, orientation vers le l’organisme compétent - Lorsqu’aucun agissement n’apparaît a priori contraire à la loi • L’envoi d’un courrier au responsable de traitement afin d’obtenir ses observations sur les agissements susceptibles d’être contraires à la loi informatique et libertés : - les faits portés à notre connaissance, - rappel des textes applicables, - demande d’observations, - fixation d’un délai de réponse (15 jours en général) • A la suite de la réponse reçue : - si la réponse est satisfaisante, la plainte est clôturée avec information du plaignant - Si la réponse n’est pas satisfaisante (ou pas de réponse) : envoi d’un nouveau courrier ou réalisation d’un contrôle ou proposition de mise en demeure ou d’avertissement 10 LES PLAINTES 3. Transmission pour contrôle • Proposer des contrôles à partir des plaintes reçues: pour contribuer au programme annuel validé par les commissaires ou en fonction de l’intérêt de la plainte (vérifier sur place) Près de 20 % des contrôles trouvent leur origine dans une plainte en 2012 • Clôture de la procédure de contrôle - Courrier de la présidente de la CNIL, comportant éventuellement des observations ; puis clôture de la plainte. - En cas de manquements graves constatés : mise en demeure (décision de la présidente de la CNIL) et/ou avertissement (décision de la formation restreinte) 11 LES PLAINTES 4. La transmission pour sanction Transmission de dossiers au service des sanctions avec une proposition de mise en demeure ou d’avertissement : Motifs : - Entrave à l’action de la CNIL Ex. : non-réponse - Plainte révélant un non-respect grave de la loi Ex. : plainte comportant des correspondances avec le responsable de traitement prouvant ce non-respect, volonté manifeste de ne pas se conformer à la loi malgré nos courriers, constatations opérées dans le cadre d’un contrôle 12 LES PLAINTES II. La procédure de sanction 1 - La procédure de sanction avec mise en demeure 1-1 - La mise en demeure 1-2 – La procédure de sanction 1-3 - La délibération de sanction 2 - L’avertissement 3 - Les procédures d’urgence 4 - Quelques chiffres 14 LES SANCTIONS 1. La procédure de sanction avec mise en demeure 1-1 - La mise en demeure → La mise en demeure est proposée par les services à la Présidente de la CNIL (loi du 29 mars 2011). Elle mentionne : les faits, les manquements, la décision et les délais pour s’y conformer et une information sur les suites si les manquements devaient persister → La mise en demeure est une phase de régularisation (mise en conformité). Ce n’est pas une sanction. → Les recours contre la mise en demeure : CE, délai de 2 mois → La réponse à la mise en demeure doit intervenir dans le délai fixé et être accompagnée de toutes preuves permettant de constater la régularisation → Les suites possibles d’une mise en demeure : - Clôture simple pour conformité (publicité possible) - Clôture avec observations Les clôtures représentent environ 90 % des cas - Engagement d’une procédure de sanction 15 LES SANCTIONS 1-2 - La procédure de sanction • Désignation d’un rapporteur par la Présidente de la CNIL • Rédaction d’un rapport de sanctions (les faits, les manquements, une proposition de sanction pécuniaire). Il est accompagné des pièces justificatives des manquements. Il est notifié à l’organisme qui a 1 mois pour présenter ses observations. • Audition devant la formation restreinte - La formation restreinte est composée de 6 commissaires - Existence d’incompatibilités : membre du gouvernement, intérêt dans l’organisme incriminé… 16 LES SANCTIONS La procédure de sanction - Le CE a considéré que la formation restreinte était un tribunal au sens de l’article 6-1 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales eu égard à sa nature, sa composition et ses attributions (CE, juge des référés, 19 février 2008, Société Profil France). Conséquences : • application des principes de la présomption d’innocence, du contradictoire, des droits de la défense (avocat) et du procès équitable • examen de l’intégralité du dossier • présentation des faits et des différents arguments, à charge et à décharge, de la poursuite et de la défense 17 LES SANCTIONS 1-3 - La délibération de sanction • La délibération est rendue en général 1 mois après l’audience Elle Contient : - un résumé des faits - une synthèse des arguments de l’organisme et du rapporteur - l’analyse de la formation restreinte sur chacun des manquements contenus dans le rapport - la sanction pécuniaire (ou la relaxe) Elle est notifiée à l’organisme dès sa signature • Recours devant le conseil d’Etat dans un délai 2 mois • La Commission peut rendre publiques les sanctions qu’elle prononce 18 LES SANCTIONS II. L’avertissement • L’avertissement est prononcé sans mise en demeure préalable mais après procédure contradictoire de sanction • Adresser directement un avertissement public ou non • Des manquements particulièrement graves • Sans que l’on soit dans une situation d’urgence 19 LES SANCTIONS III. Les procédures d’urgence (article 45 II) → La multiplicité des procédures • L’interruption temporaire du traitement • L’avertissement • Le verrouillage temporaire des données • L’information du premier ministre • La saisine du juge des réfères → L’exigence d’une urgence 20 LES SANCTIONS IV. Quelques chiffres Les procédures de sanction en chiffres de 2007 à 2012 506 mises en demeure 36 sanctions pécuniaires 35 avertissements 2 interruptions de traitement 5 procédures d’urgence 9 relaxes 21 LES SANCTIONS Les manquements proposés dans les rapports de sanction en 2012 Consentement à la Proportionalité; 3% conservation; 2% Droit d'accès; 5% Licéité du traitement; 2% Mise à jour; 5% Sécurité; 18% Adéquation des données; 5% Information; 13% Conservation; 8% Dt d'opposition ; 8% Collecte loyale; 8% 22 Formalités préalables; 13% Non réponse à la CNIL; 10% LES SANCTIONS Merci de votre attention ! 23