La mise en demeure n' est pas une condition préalable de la saisine de la formation restreinte par le Président de la CNIL.

Sanctionnée par la formation restreinte de la CNIL pour défaut de sécurité de son site internet www.sergic.com et durée excessive de conservation des données à caractère personnel au regard des finalités du traitement ,la société d’étude et de réalisation de gestion immobilière de construction (SERGIC) a saisi le Conseil d’Etat d’une demande d’ annulation de la délibération[1] lui ayant infligé une amende administrative de 400 000 euros -correspondant à moins de 1 % de son  chiffre d’ affaires pour l’ année 2017 et à 4% du plafond des sanctions prévu par le RGPD[2] – assortie d’ une publication de la délibération pendant une durée de deux années, avant anonymisation.

Le Conseil d’Etat [3]a rejeté le recours de la société SERGIC et a rappelé à cette occasion :

• Le droit pour les membres de la CNIL et ses agents habilités d’opérer, dans le cadre de leurs missions de contrôle, des constatations en ligne et de télécharger des fichiers rendus accessibles par un défaut de sécurité.

          Le Conseil d’Etat a donc rejeté la demande de la société SERGIC tendant à faire déclarer nulles les constatations opérées en ligne par les agents de la CNIL.

• Le droit pour le Président de la CNIL de saisir la formation restreinte de la Commission sans avoir préalablement mis en demeure la société contrôlée.

        Aux visas de la Loi Informatique et Libertés et du RGPD,le Conseil d’Etat a considéré que le prononcé d’une sanction par la formation restreinte de la CNIL n’ est pas subordonnée à l’intervention préalable d’une mise en demeure du responsable de traitement ou de son sous-traitant par le Président de la CNIL.

Les responsables de traitement et leurs sous-traitants doivent donc accorder une attention toute particulière à l’article 20 de la Loi informatique et libertés du 6 janvier 1978 modifiée (LIL)[4] qui mentionne les différents pouvoirs reconnus au Président de la CNIL lorsqu’un responsable de traitement ou son sous-traitant ne respecte pas les dispositions du RGPD ou de la LIL.

Dans cette hypothèse,le Président de la CNIL peut :

I)Avertir le responsable de traitement ou son sous-traitant que les opérations de traitement envisagées sont susceptibles de violer les dispositions du RGPD ou de la LIL,

II)Prononcer à l’égard du responsable de traitement ou de son sous-traitant, si le manquement constaté est susceptible d’une mise en conformité ,une mise en demeure dans le délai qu’il fixe [5]de :

• Satisfaire à une demande d’exercice de droits par une personne concernée,
• Mettre les opérations de traitement en conformité avec les dispositions applicables,
• Communiquer à la personne concernée une violation des données à caractère personnel (sauf si le traitement intéresse la sureté de l’Etat ou la défense),
• Rectifier ou effacer des données à caractère personnel ou en limiter le traitement et le cas échéant mettre en demeure le responsable de traitement ou le sous-traitant de notifier aux destinataires des données, les mesures prises,
• Prononcer la clôture de la mise en demeure,
• Demander au bureau de rendre publique la mise en demeure et par voie de conséquence la décision de clôture de la mise en demeure.

III) Le cas échéant :

                                   -Soit après avoir adressé au responsable de traitement ou au sous-traitant l’avertissement prévu au I)

                                   -Soit en complément d’une mise en demeure prévue au II) saisir la formation restreinte de la Commission en vue du prononcé,après procédure contradictoire, de mesures pouvant aller du rappel à l’ordre jusqu'au prononcé d’ une amende administrative ne pouvant dépasser 10 millions d’euro ou 2% du chiffre d’ affaires annuel mondial total de l’exercice précédent( le montant le plus élevé est retenu) ,plafond pouvant être porté dans certains cas de violations à 20 millions d’ euro ou 4 % du chiffre d’ affaires annuel mondial total de l' exercice précédent.

En conséquence , la lecture combinée du II) et du III) permet au Président de la CNIL de saisir la formation restreinte en vue du prononcé d' une sanction administrative à l' encontre du responsable de traitement ou du sous-traitant controlé , sans mise en demeure préalable , mais dans le respect d' une procédure contradictoire .

[1] Délibération SAN n°2019-995 du 28 mai 2019

[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’ égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE dit Règlement Général sur la Protection des Données

[3] CE -10 ème et 9 ème chambres réunies 4/11/2020 n°433311

[4] Loi n ° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[5] Le délai peut être fixé à vingt-quatre heures en cas d’extrême urgence