La gestion des plaintes et la procédure de sanction à la CNIL

La gestion des plaintes et la
procédure de sanction à la CNIL
22 février 2013
Danièla Parrot
Chef du service des plaintes
Sommaire
I.
La gestion des plaintes
1.
Les plaintes : définition et types
2.
Instruction des plaintes
3.
Transmission pour contrôle
4.
Transmission pour sanction
II. La procédure de sanction
1.
La procédure de sanction avec mise en demeure
2.
L’avertissement
3.
Les procédures d’urgence
4.
Quelques chiffres
2
I. La gestion des plaintes
Les plaintes
1. Qu’est ce qu’une plainte ?
Définition :
- Toute dénonciation d’agissements contraires de la loi
informatique et libertés » qui nécessite une action auprès du
responsable de traitement mis en cause ou une réponse
juridique de la CNIL auprès du plaignant
Ne pas confondre avec :
- un dépôt de plainte pénale
- une réclamation contre les services de la CNIL
- une question d’ordre général
4
LES PLAINTES
Les différents types de plaintes
De qui proviennent les plaintes ?
• Des particuliers (en grande majorité),
• Des membres de syndicats,
• Des associations de consommateurs ou de défense des droits
de l’Homme,
• Les CNIL étrangères (pour le compte de plaignants visant des
responsables de fichier établis en France),
• Nos partenaires (HALDE, OCLCTIC, Signal Spam…),
• Les services de police ou de gendarmerie (réquisitions
judiciaires),
• Des responsables de traitement.
5
LES PLAINTES
Combien de plaintes ?
Comparatif du nombre de plaintes reçues par la CNIL entre 2009 et 2012
5738
4265
Année 2009
6017
4821
Année 2010
Année 2011
Année 2012
6017 plaintes en 2012 dont 44% via le service de « plainte en ligne »
6
LES PLAINTES
Répartition des plaintes
• Sur quoi ?
– Internet/télécoms (31%), principalement pour le « droit à l’oubli » sur
Internet (suppression de commentaires, photos, vidéos de sites
internet – ex. : réseaux sociaux - , de référencements sur les moteurs de
recherche)
– Commerce (20%), notamment pour la radiation des fichiers
publicitaires
– Banque/crédit/recouvrement (10%), dont FICP /FCC(7%)
– Travail (15%), notamment sur les questions de surveillance des
employés (vidéo, géolocalisation, contrôle des PC…)
– Libertés publiques – collectivités locales (8%) (élection, presse)
– Santé/Social (5%), principalement : droit d’accès, droit de rectification
– Divers (10%) transports, associations, éducation, logement, policejustice, fiscalité, assurances
7
LES PLAINTES
Répartition des plaintes
Répartition des plaintes par secteur
Social / santé
5%
Autres
10%
Libertés publiques /
collectivités locales
8%
Internet/ Télécom
31%
Banque
10%
Travail
15%
8
LES PLAINTES
Commerce
21%
Principaux motifs de plaintes
- Non-respect des droits d’opposition, d’accès et de rectification
reconnus par la loi « informatique et libertés » (3/4 des plaintes)
- Défaut de pertinence des données ou caractère
disproportionné du traitement de données
- Défaut d’information
- Défaut de déclaration
- Défaut de sécurité
- Durée de conservation excessive des données
9
LES PLAINTES
2. Instruction des plaintes
• Un accusé réception de la plainte
• La réponse directe au plaignant :
- En cas d’incompétence, orientation vers le l’organisme compétent
- Lorsqu’aucun agissement n’apparaît a priori contraire à la loi
• L’envoi d’un courrier au responsable de traitement afin d’obtenir
ses observations sur les agissements susceptibles d’être contraires à
la loi informatique et libertés :
- les faits portés à notre connaissance,
- rappel des textes applicables,
- demande d’observations,
- fixation d’un délai de réponse (15 jours en général)
• A la suite de la réponse reçue :
- si la réponse est satisfaisante, la plainte est clôturée avec information du
plaignant
- Si la réponse n’est pas satisfaisante (ou pas de réponse) : envoi d’un
nouveau courrier ou réalisation d’un contrôle ou proposition de mise en
demeure ou d’avertissement
10
LES PLAINTES
3. Transmission pour contrôle
•
Proposer des contrôles à partir des plaintes reçues:
 pour contribuer au programme annuel validé par les
commissaires
 ou en fonction de l’intérêt de la plainte (vérifier sur place)
Près de 20 % des contrôles trouvent leur origine dans une plainte
en 2012
•
Clôture de la procédure de contrôle
- Courrier de la présidente de la CNIL, comportant
éventuellement des observations ; puis clôture de la plainte.
- En cas de manquements graves constatés : mise en demeure
(décision de la présidente de la CNIL) et/ou avertissement
(décision de la formation restreinte)
11
LES PLAINTES
4. La transmission pour sanction
Transmission de dossiers au service des sanctions avec une
proposition de mise en demeure ou d’avertissement :
Motifs :
- Entrave à l’action de la CNIL
Ex. : non-réponse
- Plainte révélant un non-respect grave de la loi
Ex. : plainte comportant des correspondances avec le responsable de
traitement prouvant ce non-respect, volonté manifeste de ne pas se
conformer à la loi malgré nos courriers, constatations opérées dans le
cadre d’un contrôle
12
LES PLAINTES
II. La procédure de sanction
1 - La procédure de sanction avec mise en demeure
1-1 - La mise en demeure
1-2 – La procédure de sanction
1-3 - La délibération de sanction
2 - L’avertissement
3 - Les procédures d’urgence
4 - Quelques chiffres
14
LES SANCTIONS
1. La procédure de sanction avec mise en demeure
1-1 - La mise en demeure
→ La mise en demeure est proposée par les services à la Présidente de la CNIL (loi
du 29 mars 2011).
Elle mentionne : les faits, les manquements, la décision et les délais pour s’y
conformer et une information sur les suites si les manquements devaient persister
→ La mise en demeure est une phase de régularisation (mise en conformité). Ce
n’est pas une sanction.
→ Les recours contre la mise en demeure : CE, délai de 2 mois
→ La réponse à la mise en demeure doit intervenir dans le délai fixé et être
accompagnée de toutes preuves permettant de constater la régularisation
→ Les suites possibles d’une mise en demeure :
- Clôture simple pour conformité (publicité possible)
- Clôture avec observations
Les clôtures représentent environ 90 % des cas
- Engagement d’une procédure de sanction
15
LES SANCTIONS
1-2 - La procédure de sanction
• Désignation d’un rapporteur par la Présidente de la CNIL
• Rédaction d’un rapport de sanctions (les faits, les
manquements, une proposition de sanction pécuniaire). Il est
accompagné des pièces justificatives des manquements.
Il est notifié à l’organisme qui a 1 mois pour présenter ses
observations.
• Audition devant la formation restreinte
- La formation restreinte est composée de 6 commissaires
- Existence d’incompatibilités : membre du gouvernement,
intérêt dans l’organisme incriminé…
16
LES SANCTIONS
La procédure de sanction
- Le CE a considéré que la formation restreinte était un
tribunal au sens de l’article 6-1 de la Convention européenne
de sauvegarde des droits de l’homme et des libertés
fondamentales eu égard à sa nature, sa composition et ses
attributions (CE, juge des référés, 19 février 2008, Société Profil
France). Conséquences :
• application des principes de la présomption d’innocence, du
contradictoire, des droits de la défense (avocat) et du procès
équitable
• examen de l’intégralité du dossier
• présentation des faits et des différents arguments, à charge
et à décharge, de la poursuite et de la défense
17
LES SANCTIONS
1-3 - La délibération de sanction
• La délibération est rendue en général 1 mois après l’audience
Elle Contient :
- un résumé des faits
- une synthèse des arguments de l’organisme et du rapporteur
- l’analyse de la formation restreinte sur chacun des manquements
contenus dans le rapport
- la sanction pécuniaire (ou la relaxe)
Elle est notifiée à l’organisme dès sa signature
• Recours devant le conseil d’Etat dans un délai 2 mois
• La Commission peut rendre publiques les sanctions qu’elle
prononce
18
LES SANCTIONS
II. L’avertissement
• L’avertissement est prononcé sans mise en demeure préalable
mais après procédure contradictoire de sanction
• Adresser directement un avertissement public ou non
• Des manquements particulièrement graves
• Sans que l’on soit dans une situation d’urgence
19
LES SANCTIONS
III. Les procédures d’urgence (article 45 II)
→ La multiplicité des procédures
•
L’interruption temporaire du traitement
•
L’avertissement
•
Le verrouillage temporaire des données
•
L’information du premier ministre
•
La saisine du juge des réfères
→ L’exigence d’une urgence
20
LES SANCTIONS
IV. Quelques chiffres
Les procédures de sanction en chiffres de 2007 à 2012
506 mises en demeure
36 sanctions pécuniaires
35 avertissements
2 interruptions de traitement
 5 procédures d’urgence
 9 relaxes
21
LES SANCTIONS
Les manquements proposés dans les rapports de
sanction en 2012
Consentement à la
Proportionalité; 3% conservation; 2%
Droit d'accès; 5%
Licéité du
traitement; 2%
Mise à jour; 5%
Sécurité; 18%
Adéquation des
données; 5%
Information; 13%
Conservation; 8%
Dt
d'opposition
; 8%
Collecte
loyale; 8%
22
Formalités
préalables; 13%
Non
réponse
à la
CNIL;
10%
LES SANCTIONS
Merci de votre attention !
23