CHAPITRE VI - VOIES DE RECOURS
Article 16 A (art. 43 ter de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Action de groupe en réparation
Introduit par l'Assemblée nationale en première lecture, par l'adoption en commission d'un amendement de sa rapporteure, l'article 16 A du projet de loi vise à étendre l'objet de l'action de groupe en matière de données personnelles à la réparation des préjudices matériels et moraux subis en raison d'un manquement aux obligations incombant à un responsable de traitement ou à son sous-traitant.
1. Le droit en vigueur : une action de groupe limitée à la cessation d'un manquement
L'action de groupe est une action en justice engagée par un demandeur (généralement une personne morale), en raison du dommage causé à plusieurs personnes par le manquement d'une autre personne à ses obligations légales ou contractuelles. L'action de groupe peut avoir pour objet, soit la cessation du manquement , soit la réparation des préjudices subis, soit les deux. L'originalité de cette procédure tient au fait que le demandeur n'est pas celui qui est prétendu avoir subi le préjudice (et qui seul a intérêt à agir à ce titre), et qu'il n'a pas non plus reçu mandat pour agir au nom et pour le compte de ce dernier. L'action de groupe se distingue donc :
- de l'action en défense d'intérêts collectifs exercée par une personne morale (association, syndicat ou ordre professionnel, syndicat de copropriétaires...), qui n'est admise par le juge ou prévue par la loi que parce que les intérêts défendus par le demandeur peuvent se rattacher à ses intérêts propres (ceux de ses membres ou, plus largement, ceux qui entrent dans son objet social), le demandeur seul pouvant d'ailleurs se voir allouer des dommages-intérêts 109 ( * ) ;
- de l'action en représentation conjointe , où une seule action est engagée par un demandeur (une association) au nom et pour le compte de plusieurs autres personnes ayant subi des préjudices individuels d'origine commune, sur le fondement d'un mandat donné par ces dernières 110 ( * ) .
Il existe, en droit français, deux catégories d'actions de groupe :
1° l'action de groupe en matière de consommation, créée par la loi n° 2014-344 du 17 mars 2014 relative à la consommation ;
2° les actions de groupe rattachées au « socle commun » , défini par la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXI e siècle et codifié, pour ce qui concerne la procédure administrative contentieuse, au chapitre X du titre VII du livre VII du code de justice administrative, à savoir :
- l'action de groupe en matière de discriminations, hors relations du travail ;
- l'action de groupe en matière de discriminations au travail ;
- l'action de groupe en matière d'environnement ;
- l'action de groupe en matière de santé ;
- l'action de groupe en matière de données personnelles.
Les règles procédurales diffèrent entre ces deux catégories, mais également entre les actions rattachées au « socle commun », auquel plusieurs d'entre elles dérogent à un titre ou à un autre. On peut néanmoins rappeler leurs principales caractéristiques communes et leurs principales divergences :
- l'action de groupe est exercée, au vu des cas individuels présentés par le demandeur, en vue de la cessation d'un manquement ou de la réparation des préjudices qu'il a causés (l'une ou l'autre de ces finalités étant parfois exclue) ;
- elle ne peut être exercée que par les personnes (associations ou syndicats) qui y sont habilitées par la loi ;
- elle doit, dans la plupart des cas, être précédée d'une mise en demeure : d'après le « socle commun », la personne mise en demeure dispose alors de quatre mois pour cesser ou faire cesser le manquement ou pour réparer les préjudices subis, selon le cas ;
- lorsque l'action de groupe tend à la réparation des préjudices subis, le juge statue sur la responsabilité du défendeur, définit le groupe de personnes à l'égard desquelles sa responsabilité est engagée en fixant les critères de rattachement au groupe, et détermine les préjudices susceptibles d'être réparés. Il fixe également le délai dans lequel les personnes souhaitant se prévaloir du jugement peuvent adhérer au groupe en vue d'obtenir réparation de leur préjudice (c'est le régime de l' opt-in ) ;
- en règle générale, la procédure de réparation est individuelle : la personne déclarée responsable procède à l'indemnisation individuelle des préjudices résultant du fait générateur de responsabilité reconnu par le jugement et subis par les personnes ayant adhéré au groupe, un recours étant possible devant le même juge ;
- toutefois, lorsque le demandeur à l'action le demande, le juge peut décider la mise en oeuvre d'une procédure collective de liquidation des préjudices . Dans ce cas, il détermine le montant ou tous les éléments permettant d'évaluer ces derniers, et habilite le demandeur à négocier avec le défendeur l'indemnisation des préjudices subis par chacune des personnes constituant le groupe.
Action de groupe en matière de données personnelles |
Cessation du manquement |
- Associations déclarées depuis cinq ans ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;
- Associations de consommateurs représentatives au
niveau national et
agréées
;
|
Mise en demeure (quatre mois) |
- |
- |
- |
Action de groupe dans le domaine de la santé publique |
Réparation |
Associations d'usagers du système de santé agréées |
- |
Préjudices résultant de dommages corporels |
Toute date |
Individuelle |
Action de groupe dans le domaine de l'environnement |
Cessation du manquement et/ou réparation |
- Associations agréées dont l'objet statutaire comporte la défense des victimes de dommages corporels ou la défense des intérêts économiques de leurs membres ; - Associations de protection de l'environnement agréées |
Mise en demeure (quatre mois) |
Préjudices matériels et corporels |
Postérieure au 19 novembre 2016 |
Individuelle ou collective |
Action de groupe en matière de discriminations au travail |
Cessation du manquement et/ou réparation |
- Organisations syndicales représentatives ; - Associations déclarées depuis cinq ans intervenant dans la lutte contre les discriminations ou dans le domaine du handicap |
Demande de cessation du manquement |
Tous préjudices |
Postérieure au 19 novembre 2016 ; seuls sont indemnisables les préjudices nés après réception de la demande de cessation |
Individuelle |
Action de groupe en matière de discriminations (hors travail) |
Cessation du manquement et/ou réparation |
- Associations déclarées depuis cinq ans intervenant dans la lutte contre les discriminations ou dans le domaine du handicap ; - Associations déclarées depuis cinq ans dont l'objet statutaire comporte la défense d'un intérêt lésé par la discrimination en cause |
Mise en demeure (quatre mois) |
Tous préjudices |
Postérieure au 19 novembre 2016 |
Individuelle ou collective |
Action de groupe en matière de consommation |
Réparation |
Associations de consommateurs représentatives au niveau national et agréées |
- |
Préjudices matériels |
Toute date |
Individuelle, hors action de groupe simplifiée |
Objet de l'action de groupe |
Qualité pour agir |
Procédure préalable obligatoire |
Nature des préjudices indemnisables |
Date du manquement ou du fait générateur de la responsabilité |
Procédure de réparation |
L'action de groupe en matière de données personnelles , qui peut être exercée lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la loi n° 78-17 du 6 janvier 1978 de la part d'un responsable de traitement de données à caractère personnel ou d'un sous-traitant, se distingue en ceci qu'elle ne peut avoir pour objet que la cessation d'un manquement . Ont qualité à agir :
- les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;
- les associations de consommateurs représentatives au niveau national et agréées, lorsque le traitement de données à caractère personnel affecte des consommateurs ;
- les organisations syndicales de salariés ou de fonctionnaires représentatives ou les syndicats représentatifs de magistrats de l'ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.
Comme l'avait souligné notre collègue Yves Détraigne, rapporteur de la commission des lois du Sénat, lors de l'examen de la loi n° 2016-1547 du 18 novembre 2016 précitée, une action de groupe dont l'objet est limité à la cessation d'un manquement n'a guère de sens . Plutôt que d'imposer aux associations et syndicats habilités l'obligation de réunir préalablement plusieurs cas individuels, et de leur imposer une mise en demeure préalable avec un délai de quatre mois (qui peut être inadapté en cas de divulgation massive de données), il aurait été beaucoup plus simple de leur reconnaître le droit d'agir en justice en défense d'intérêts collectifs en vue de faire cesser un manquement de ce type. Qui plus est, il est paradoxal qu'une action dont l'objet se borne à la cessation d'un manquement ne puisse être engagée que si ce manquement a déjà causé un dommage...
Les associations et syndicats, comme toute personne, peuvent d'ailleurs adresser des réclamations, pétitions et plaintes à la CNIL, dont la formation restreinte a elle-même le pouvoir d'enjoindre à un responsable de traitement de mettre fin à un manquement et de prononcer des sanctions à son encontre, ce qui limite d'autant l'intérêt de l'action de groupe existante.
De fait, selon les informations recueillies par votre rapporteur, aucune action de groupe en matière de données personnelles n'a été engagée depuis l'entrée en vigueur de la loi n° 2016-1547 du 18 novembre 2016.
2. L'extension proposée de l'action de groupe en matière de données personnelles à la réparation des préjudices matériels et moraux
Le paragraphe 2 de l'article 80 du règlement (UE) 2016/679 du 27 avril 2016 laisse toute latitude aux États membres pour autoriser un organisme, une organisation ou une association à but non lucratif, dont les objectifs statutaires sont d'intérêt public et qui est actif dans le domaine de la protection des données, soit à introduire sans mandat une réclamation auprès de la CNIL s'il considère que les droits d'une personne ont été violés (ce qui est déjà possible en droit français), soit à ester en justice sans mandat contre une décision de la CNIL ou contre un responsable de traitement ou un sous-traitant (ce qui correspond à la définition de l'action de groupe).
L'article 16 A du projet de loi, introduit par l'Assemblée nationale en en commission, prévoit que l'action de groupe en matière de données personnelles pourrait désormais être exercée, soit en vue de la cessation d'un manquement aux obligations résultant de la loi n° 78-17 du 6 janvier 1978 de la part d'un responsable de traitement ou d'un sous-traitant, soit en vue de la réparation des préjudices matériels et moraux subis de ce fait, soit de ces deux fins.
Lorsque l'action tendrait à la réparation des préjudices subis, elle s'exercerait dans le cadre de la procédure individuelle de réparation prévue par le « socle commun ».
Nos collègues députés ont adopté en séance publique trois amendements de précision rédactionnelle
3. La position de votre commission : accepter une évolution qui renforcera la protection des données personnelle, tout en l'assortissant de garde-fous
Aux yeux de votre rapporteur, l'évolution proposée par l'Assemblée nationale donnera enfin sens à l'action de groupe en matière de données personnelles créée en 2016. Elle facilitera l'exercice de leurs droits par les personnes subissant des dommages en raison de manquements par les responsables de traitement à leurs obligations de protection des données, et elle aura un puissant effet dissuasif sur les responsables de traitement peu scrupuleux.
À l'initiative de son rapporteur, votre commission a précisé que l'action de groupe pourrait être exercée en cas de manquement aux dispositions de la loi française, mais aussi du règlement européen ( amendement COM-62 ).
Il a néanmoins paru souhaitable à votre commission, afin d'éviter la multiplication de recours abusifs, de soumettre à un agrément de l'autorité administrative la faculté pour une association d'exercer une action de groupe en matière de données personnelles, comme c'est le cas dans le domaine de la consommation, de l'environnement ou de la santé ( amendement COM-65 du rapporteur). Nos collectivités territoriales, en particulier, sont déjà trop exposées, dans le domaine de l'urbanisme comme ailleurs, aux recours intentés par des plaideurs quérulents ou animés par des visées politiciennes... L'agrément serait subordonné à l'activité effective et publique de l'association en vue de la protection des données personnelles, à la transparence de sa gestion, à sa représentativité et à son indépendance.
Afin que la CNIL puisse effectivement exercer son nouveau droit de présenter des observations devant toute juridiction, et d'apporter ainsi son éclairage sur le contexte dans lequel d'éventuels manquements se seraient produits, votre commission a souhaité qu'elle soit informée par le demandeur de l'introduction d'une action de groupe ( amendement COM-63 du rapporteur).
En outre, il a semblé opportun de différer de deux ans , jusqu'au 25 mai 2020, l'institution de l'action de groupe aux fins de réparation en matière de données personnelles ( amendement COM-86 à l'article 24 ). Les auditions menées par votre rapporteur l'ont confirmé : ni les communes faiblement peuplées, ni les petites et moyennes entreprises, ni même des organismes de plus grande taille ne seront prêts à temps pour se conformer aux nouvelles règles issues du règlement européen et du projet de loi. La CNIL le reconnaît volontiers, et elle a annoncé qu'elle ferait preuve de mansuétude dans les premiers temps, à condition que les responsables de traitement défaillants s'engagent dans une démarche de mise en conformité. Ils n'en seront pas moins tenus dès le 25 mai 2018 au respect de ces nouvelles règles, et ils pourront voir leur responsabilité engagée devant les juridictions pénales, civiles ou administratives. Il convient de leur laisser un peu de temps avant de les confronter au risque de devoir indemniser des centaines, voire des milliers de personnes dans le cadre d'une action de groupe.
Pour les mêmes raisons, votre commission a adopté l' amendement COM-64 de son rapporteur, qui prévoit que la responsabilité d'un responsable de traitement ou d'un sous-traitant ne peut être engagée aux fins d'indemnisation, dans le cadre d'une action de groupe, que lorsque le fait générateur de la responsabilité est postérieur au 25 mai 2020 .
Votre commission a adopté l'article 16 A ainsi modifié .
Article 16 (art. 43 quater [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Recours par mandataire
L'article 16 du projet de loi vise à permettre à toute personne de mandater une association ou une organisation syndicale aux fins d'exercer en son nom ses droits de recours devant la CNIL et les juridictions.
1. Les droits de recours existants et leurs modalités d'exercice
Toute personne qui s'estime victime d'un manquement à la loi n° 78-17 du 6 janvier 1978 précitée dispose, en l'état du droit, d'une pluralité de voies de recours pour faire cesser ce manquement et obtenir réparation des préjudices subis :
- elle peut adresser une réclamation à la CNIL, qui dispose de divers pouvoirs pour faire cesser le manquement et sanctionner le responsable défaillant (mise en demeure, injonction, sanctions pécuniaires...), la décision de la CNIL étant elle-même susceptible de recours devant le Conseil d'État ;
- elle peut déposer un recours individuel devant les juridictions compétentes (pénale, civile ou administrative), dans les conditions de droit commun. Dans le cadre d'une procédure civile, il lui est loisible de mandater toute autre personne physique ou morale pour agir en son nom (mandat ad agendum) .
Il existe en outre une action de groupe en cessation d'un manquement, dont disposent certaines catégories d'associations et d'organisations syndicales 111 ( * ) .
2. L'extension du recours par mandataire prévue par le « paquet européen de protection des données »
Le règlement (UE) 2016/679 du 27 avril 2016, ainsi que la directive (UE) n° 2016/680 du même jour relative aux traitements de données personnelles en matière pénale, consolident les voies de recours existantes en droit interne.
Ainsi, le règlement (UE) 2016/679 garantit aux personnes physiques faisant l'objet d'un traitement de données personnelles :
- le droit d'introduire une réclamation auprès d'une autorité de contrôle (article 77) ;
- le droit à un recours juridictionnel contre les décisions d'une autorité de contrôle (article 78) ;
- le droit à un recours juridictionnel contre un responsable de traitement ou un sous-traitant (article 79) ;
- le droit d'obtenir réparation des préjudices subis (article 82).
En outre, le paragraphe 1 de l'article 80 du règlement (UE) 2016/679 du 27 avril 2016 garantit à toute personne physique le droit de mandater « un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et [qui] est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant », pour qu'il exerce en son nom les droits au recours prévus aux articles 77 à 79. Les États membres sont libres de décider si le recours par mandataire peut avoir pour objet la réparation des préjudices subis (mentionnée à l'article 82).
La directive relative aux traitements en matière pénale impose aux États membres d'offrir aux personnes concernées des garanties similaires en ce qui concerne cette catégorie de traitements (articles 52 à 56). L'article 55 de la directive ne prévoit pas que le recours par mandataire puisse, dans ce cas, s'étendre à la réparation des préjudices, mais il ne l'exclut pas non plus.
Dans le système français, l'introduction de ce mécanisme de mandatement est de faible portée, dès lors que toute association (éventuellement alertée par une ou plusieurs personnes extérieures à l'association) peut adresser une réclamation à la CNIL en son nom propre, sans avoir besoin d'être mandatée à cette fin, et puisque les recours devant les juridictions civiles (de même que l'action civile devant le juge pénal) peuvent d'ores et déjà être intentés par l'intermédiaire d'un représentant, titulaire d'un mandat de représentation pour agir. En outre, il existe en droit français une action de groupe en cessation d'un manquement dans le domaine de la protection des données personnelles, qui peut être exercée, devant le juge civil comme devant le juge administratif, par les associations oeuvrant dans ce domaine ainsi que les associations de consommateurs et les organisations syndicales de salariés, de fonctionnaires et de magistrats. L'extension de l'objet de cette action de groupe à la réparation des préjudices subis, prévue à l'article 16 A du projet de loi, devrait achever de faire perdre son intérêt au mécanisme de mandatement prévu à l'article 80 du règlement (UE) 2016/679 et à l'article 55 de la directive (UE) n° 2016/680 précités.
3. Une transposition satisfaisante
L'article 16 du projet de loi transpose ces dispositions en droit interne - ce qui est nécessaire pour la directive, mais aussi pour le règlement dès lors que l'on entend faire usage de la marge de manoeuvre laissée aux États membres en ce qui concerne l'action en réparation.
Deux points méritent d'être relevés.
S'agissant des mandataires éventuels, le projet de loi prévoit, par renvoi au IV de l'article 43 ter de la loi n° 78-17 du 6 janvier 1978, que seules les associations et organisations habilitées à exercer l'action de groupe (sans mandat) en matière de données personnelles pourraient également recevoir mandat pour agir au nom d'une autre personne. Pour mémoire, ces associations et organisations sont, en l'état du droit :
- les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;
- les associations de consommateurs représentatives au niveau national et agréées, lorsque le traitement de données à caractère personnel affecte des consommateurs ;
- les organisations syndicales de salariés ou de fonctionnaires représentatives ou les syndicats représentatifs de magistrats de l'ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.
On peut s'interroger sur la conformité de ces dispositions au droit européen, dès lors que le champ des mandataires ainsi défini est à la fois plus large (ce qui ne soulève pas de difficultés) et plus restreint que ce que prévoient le règlement et la directive : des associations et syndicats non spécialisés dans la protection des données personnelles pourraient ainsi recevoir mandat, mais parmi les associations actives dans ce domaine, seules celles qui ont été déclarées depuis au moins cinq ans le pourraient. Votre commission a néanmoins choisi de conserver la rédaction proposée, par souci d'harmonisation entre les différentes procédures. L'agrément des associations de protection des données personnelles, auquel votre commission a entendu subordonner leur qualité à introduire une action de groupe, ne serait ici pas requis ( amendement COM-66 du rapporteur).
Par ailleurs, contrairement au choix initial du Gouvernement, nos collègues députés ont étendu le mécanisme de mandatement prévu à cet article aux actions en réparation des préjudices subis, par l'adoption en séance publique d'un amendement de la rapporteure. Cela a paru cohérent à votre commission, dès lors que l'action de groupe est également étendue par le projet de loi à la réparation des préjudices.
Votre commission a adopté l'article 16 ainsi modifié .
Article 17 (art. 43 quinquies [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Voie de recours ouverte à la CNIL aux fins d'apprécier la validité des décisions prises par la Commission européenne relativement au transfert de données vers des États tiers
L'article 17 du projet de loi tend à ouvrir à la CNIL, lorsqu'elle est saisie d'une réclamation contre un responsable de traitement ou un sous-traitant, une voie de recours juridictionnel aux fins de faire ordonner par le Conseil d'État la suspension du transfert de données à caractère personnel vers un pays tiers à l'Union européenne, dans l'attente que la Cour de justice de l'Union européenne, saisie d'une question préjudicielle, se prononce sur la conformité au droit de l'Union des décisions prises par la Commission européenne qui conditionnent la licéité de tels transferts.
1. Le droit en vigueur
Le transfert de données personnelles vers un pays tiers à l'Union européenne est actuellement encadré par le chapitre IV de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, transposé au chapitre XII de la loi n° 78-17 du 6 janvier 1978. Un tel transfert n'est autorisé, en principe, que si ce pays tiers assure un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes relativement au traitement de leurs données 112 ( * ) . La Commission peut constater qu'un pays assure ou n'assure pas un tel niveau de protection, et ses décisions s'imposent aux autorités nationales.
L'article 70 de la loi n° 78-17 du 6 janvier 1978 prévoit que, si la Commission européenne a constaté qu'un État n'assure pas un niveau de protection suffisant, la CNIL, lorsqu'elle reçoit une déclaration préalable à la constitution d'un traitement faisant apparaître que des données sont susceptibles d'être transférées dans cet État, mentionne dans son récépissé l'interdiction d'un tel transfert. Dans le cas où la Commission européenne ne s'est pas prononcée, la CNIL, si elle estime que le pays en question n'assure pas un niveau de protection suffisant, en informe sans délai la Commission européenne et peut enjoindre au responsable de traitement de suspendre le transfert des données. Par la suite, si la Commission européenne confirme l'appréciation de la CNIL, celle-ci notifie au responsable de traitement l'interdiction de procéder au transfert ; si la Commission européenne estime au contraire que le pays en question assure un niveau de protection suffisant, la CNIL notifie au responsable de traitement la cessation de la suspension du transfert.
Il semblait donc que, lorsqu'elle était saisie d'une réclamation par une personne dont les données étaient susceptibles d'être transférées vers un pays tiers ayant fait l'objet d'une décision d'« adéquation » de la part de la Commission européenne, la CNIL n'eût d'autre choix que de rejeter le recours en se pliant à la décision de la Commission. Toutefois, dans un arrêt du 6 octobre 2015, la Cour de justice de l'Union européenne a jugé qu'il appartenait au législateur national de ménager des voies de recours à la personne ayant introduit la réclamation comme à l'autorité de contrôle elle-même :
- si l'autorité de contrôle (en France, la CNIL) rejette la réclamation, la personne doit pouvoir contester cette décision devant les juridictions nationales, et celles-ci doivent surseoir à statuer jusqu'à ce que la Cour de justice de l'Union européenne se prononce sur la validité de la décision d'« adéquation » de la Commission européenne ;
- si, en revanche, l'autorité de contrôle estime fondés les griefs avancés par la personne ayant introduit la réclamation, elle doit pouvoir faire valoir ces griefs devant les juridictions nationales afin que celles-ci adressent à la Cour de justice une question préjudicielle sur la validité de la décision d'« adéquation ».
2. La nouvelle réglementation applicable au transfert de données
Le chapitre V du règlement (UE) 2016/679 du 27 avril 2016 reprend, pour l'essentiel, les règles définies par la directive 95/46/CE en ce qui concerne le transfert de données personnelles vers des pays tiers - auxquels sont désormais ajoutées les organisations internationales. Les pouvoirs de la Commission européenne sont cependant renforcés et à certains égards mieux définis.
Sous l'empire de ce nouveau régime, le transfert de données personnelles vers un pays tiers ou à une organisation internationale ne sera autorisé que si l'une des conditions suivantes est remplie :
1° la Commission européenne a constaté que le pays ou l'organisation internationale en question assure un niveau de protection adéquat (article 45 du règlement) ;
2° le responsable de traitement ou le sous-traitant a prévu des garanties appropriées et les personnes concernées disposent de droits opposables et de voies de recours effectives ; ces garanties appropriées, définies à l'article 46 du même règlement, peuvent notamment comprendre des règles d'entreprise contraignantes dont la définition est précisée à l'article 47 du même règlement ;
3° l'une des dérogations prévues à l'article 49 du même règlement s'applique (la personne concernée a donné son consentement explicite, le transfert est nécessaire pour des motifs importants d'intérêt public, etc .).
L'évaluation des « garanties » apportées par le responsable de traitement ou le sous-traitant implique parfois l'intervention de la Commission européenne :
- les clauses types de protection des données mentionnées à l'article 46 en tant que garanties appropriées sont adoptées par la Commission européenne, ou par une autorité de contrôle avec l'approbation de celle-ci ;
- de même, les codes de conduite élaborés par des catégories de responsables de traitement ou de sous-traitants en application de l'article 40 du même règlement peuvent être rendus d'application générale au sein de l'Union par la Commission européenne ;
- enfin, s'agissant des règles d'entreprise contraignantes, la Commission peut, par la voie d'actes d'exécution, préciser la forme de l'échange d'informations entre les responsables de traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent.
Le chapitre V de la directive (UE) n° 2016/680 du 27 avril 2016 comporte des dispositions similaires en ce qui concerne les traitements de données en matière pénale, si ce n'est que la Commission européenne n'est, cette fois, pas appelée à se prononcer sur les « garanties appropriées » qui peuvent être apportées par un responsable de traitement en l'absence de décision d'adéquation.
Le règlement et la directive imposent l'un et l'autre au législateur national de donner à l'autorité de contrôle nationale le pouvoir de porter toute violation des règles qu'ils instituent à l'attention des autorités judiciaires et, le cas échéant, d'ester en justice « d'une manière ou d'une autre » en vue de faire appliquer ces règles 113 ( * ) .
3. L'ouverture d'une voie de recours à la CNIL contre les décisions de la Commission européenne relatives au transfert de données
La procédure prévue à l'article 70 de la loi n° 78-17 du 6 janvier 1978 sera bientôt caduque, puisque le règlement (UE) 2016/679 du 27 avril 2016 met fin, pour la plupart des traitements de données, au régime d'autorisation ou de déclaration préalable qui prévalait jusqu'ici. L'article 21 du projet de loi prévoit donc d'adapter cette procédure au nouveau régime de consultation préalable de la CNIL en cas de risque élevé indiqué par l'analyse d'impact du traitement. Toutefois, les nouvelles dispositions proposées lui paraissant soit redondantes avec le règlement, soit contraires à celui-ci, votre commission a préféré proposer l'abrogation pure et simple de l'article 70 de la loi n° 78-17 du 6 janvier 1978 114 ( * ) .
Redondances et disparités entre l'article 70 (modifié) de la loi n° 78-17 du 6 janvier 1978 et le règlement (UE) 2016/679 du 27 avril 2016
Article 70 de la loi n° 78-17 du 6 janvier 1978, modifié par le projet de loi |
Effets juridiques |
Dispositions du règlement (UE) 2016/679 du 27 avril 2016 |
« Lorsqu'elle estime qu'un État n'appartenant pas à la Communauté européenne n'assure pas un niveau de protection suffisant à l'égard d'un transfert ou d'une catégorie de transferts de données, la Commission nationale de l'informatique et des libertés en informe sans délai la Commission des Communautés européennes. Lorsqu'elle est consultée en application de l'article 36 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et en cas de transfert de données à caractère personnel vers cet État, la Commission nationale de l'informatique et des libertés peut enjoindre au responsable du traitement de suspendre le transfert des données. Si la Commission des Communautés européennes constate que l'État vers lequel le transfert est envisagé assure un niveau de protection suffisant, la Commission nationale de l'informatique et des libertés notifie au responsable du traitement la cessation de la suspension du transfert. Si la Commission des Communautés européennes constate que l'État vers lequel le transfert est envisagé n'assure pas un niveau de protection suffisant, la Commission nationale de l'informatique et des libertés notifie au responsable du traitement l'interdiction de procéder au transfert de données à caractère personnel à destination de cet État. » |
Obligation pour la CNIL d'informer la Commission européenne
Pouvoir de la CNIL d'enjoindre
Cessation de plein droit
Obligation pour la CNIL de notifier la cessation
Interdiction du transfert en cas de décision d'inadéquation et obligation de notifier cette interdiction |
Art. 50 (« La Commission et les autorités de contrôle prennent, à l'égard des pays tiers et des organisations internationales, les mesures appropriées pour [...] b) se prêter mutuellement assistance sur le plan international dans l'application de la législation relative à la protection des données à caractère personnel, y compris par la notification, la transmission des réclamations, l'entraide pour les enquêtes et l'échange d'informations. ») 2 de l'art. 58 (« Chaque autorité de contrôle dispose du pouvoir d'adopter toutes les mesures correctrices suivantes : [...] j) ordonner la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale. »). Voir aussi le 5° du II de l'art. 45 de la loi n° 78-17 du 6 janvier 1978 modifiée. 1 de l'art. 45 (« Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers [...] ou l'organisation internationale en question assure un niveau de protection adéquat. ») Non prévu. (Ni le règlement, ni la loi nationale ne prévoient la notification de l'abrogation d'autres décisions défavorables.) Contraire au règlement : lorsque la Commission européenne a constaté qu'un pays tiers ou une organisation internationale n'assurait plus un niveau de protection suffisant, le transfert reste permis en cas de « garanties appropriées » ou si une dérogation s'applique. |
Source : commission des lois du Sénat
L'article 17 du projet de loi, quant à lui, définit la voie de recours ouverte à la CNIL lorsqu'elle souhaite contester la validité d'une décision prise par la Commission européenne relative au transfert de données personnelles vers un pays tiers.
Saisie d'une réclamation dirigée contre un responsable de traitement ou un sous-traitant, la CNIL pourrait ainsi, dans le cas où elle estimerait fondés les griefs avancés, demander au Conseil d'État d'ordonner la suspension du transfert de données en cause, le cas échéant sous astreinte, et assortir ses conclusions d'une demande de question préjudicielle à la Cour de justice de l'Union européenne en vue d'apprécier la validité de la décision d'adéquation prise par la Communauté européenne et des tous les actes pris par celle-ci autorisant ou approuvant les « garanties appropriées » prévues à l'article 45 du règlement (UE) 2016/679 du 27 avril 2016. En dehors de toute réclamation, la CNIL disposerait de la même faculté « de manière générale » afin d'assurer la protection des droits et libertés des personnes à l'égard du traitement de leurs données à caractère personnel.
La CNIL pourrait saisir le Conseil d'État dans les mêmes conditions aux fins d'ordonner la suspension d'un transfert de données fondé sur une décision d'adéquation prise par la Commission européenne en application de la directive (UE) n° 2016/680 du 27 avril 2016, sauf lorsque le transfert de données en cause est effectué par une juridiction dans l'exercice de sa fonction juridictionnelle. Cette restriction s'impose, selon le considérant 80 de ladite directive, « afin de préserver l'indépendance des juges dans l'accomplissement de leurs missions judiciaires » 115 ( * ) .
À l'initiative de son rapporteur, votre commission a apporté à cet article quelques améliorations rédactionnelles ( amendement COM-67 ) et procédé à une coordination dans le code pénal ( amendement COM-90 ).
Votre commission a adopté l'article 17 ainsi modifié .
Article 17 bis (nouveau) - Nullité de certaines clauses contractuelles
L'article 17 bis du projet de loi vise à favoriser, pour le consommateur accédant à Internet, un choix de services diversifiés et offrant les meilleures garanties de protection des données personnelles. Il est issu d'un amendement COM - 14 de notre collègue Claude Raynal.
Votre rapporteur partage l'objectif louable de cet amendement : il s'agit, très concrètement, d'éviter que les utilisateurs de terminaux mobiles soient enfermés dans un écosystème dominé par un seul opérateur et d'empêcher, par exemple, que certains fabricants de terminaux se voient imposer de proposer aux utilisateurs certains services installés par défaut, sans alternative et collectant des données à caractère personnel pour les monétiser.
Il s'agit néanmoins, selon votre rapporteur, d'un problème qui ne pourra être réglé de façon pérenne et réellement satisfaisante que grâce aux instruments juridiques les mieux appropriés, ceux qui relèvent du droit de la concurrence ou ceux qui régissent les pratiques commerciales. Le droit des données personnelles ne lui paraît pas ici le meilleur outil pour résoudre cette situation .
Le mécanisme proposé par l'amendement, qui crée une cause de nullité des clauses contractuelles entre responsables de traitement et les tiers, n'est, en outre, pas d'une grande clarté et votre rapporteur admet que l'on puisse s'interroger sur le caractère proportionné et suffisamment justifié par un motif d'intérêt général de l'atteinte à la liberté contractuelle.
Néanmoins, en adoptant cet amendement d'appel, avec le soutien de son rapporteur, votre commission a souhaité, d'une part, envoyer un signal politique au Gouvernement sur l'urgence d'apporter des réponses rapides et concrètes à ce problème et, d'autre part, disposer d'une première base de travail afin que le débat s'engage en séance publique.
Votre commission a adopté l'article 17 bis ainsi rédigé.
* 109 Voir par exemple les possibilités reconnues aux associations de consommateurs agréées d'agir en cessation d'agissements illicites, de se joindre à une action en réparation engagée par un ou plusieurs consommateurs, ou, lorsque de tels agissements sont constitutifs d'une infraction pénale, d'exercer les droits reconnus à la partie civile (chapitre I er du titre II du livre VI du code de la consommation).
* 110 Voir les articles L. 622-1 et L. 622-4 du code de la consommation et l'article L. 142-3 du code de l'environnement.
* 111 Voir le commentaire de l'article 16 A.
* 112 La directive prévoit cependant des dérogations si la personne a donné son consentement, si le transfert est nécessaire à l'exécution d'un contrat ou à la sauvegarde d'un intérêt public important, etc. Si aucune de ces dérogations ne s'applique, un État membre peut autoriser un transfert lorsque le responsable du traitement offre « des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes ». La Commission européenne dispose cependant, dans ce dernier cas, d'un droit d'opposition ; elle définit alors des mesures appropriées auxquelles les États membres doivent se conformer.
* 113 Voir le paragraphe 5 de l'article 58 du règlement et le paragraphe 5 de l'article 47 de la directive.
* 114 Voir l'encadré à la page suivante et le commentaire de l'article 21.
* 115 L'article 45 de la même directive dispose, par conséquent, que « chaque État membre prévoit que chaque autorité de contrôle n'est pas compétente pour contrôler les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle ».