A la suite d’un signalement, la CNIL a procédé à un contrôle en ligne et a révélé l’existence d’un défaut de sécurité sur un site internet d’une entreprise de gestion immobilière de construction. Cette dernière a remédié au manquement dans les 10 jours dès que cette information a été portée à sa connaissance.
Sur saisine du président de la CNIL, la formation restreinte de la CNIL, par une délibération du 28 mai 2019, a prononcé à son encontre une amende administrative de 400 000 euros, et ordonné la publication de la décision pour une durée de deux ans avant son anonymisation.
La société incriminée a formé un recours contre la décision devant le Conseil d’État. Elle a soutenu que la CNIL avait méconnue la règlementation en vigueur en saisissant directement la formation restreinte sans prononcer de mise en demeure préalable, ne lui permettant pas de se mettre en conformité dans le cadre d’une telle mise en demeure.
Le Conseil d’État, saisi de cette affaire, a confirmé que conformément aux dispositions du RGPD et de la loi du 6 janvier 1978 (Informatique et Libertés), la CNIL peut directement sanctionner le responsable de traitement ou son sous-traitant, sans adresser de mise en demeure préalable de se mettre en conformité.
D’après le Conseil d’État, « il résulte clairement de ces dispositions que le prononcé d’une sanction par la formation restreinte de la CNIL n’est pas subordonné à l’intervention préalable d’une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL. »
A la lumière de cet arrêt, la mise en demeure ne constitue donc qu’une simple option que le président de la CNIL peut choisir de ne pas utiliser.
Cette liberté nouvelle oblige les responsables de traitement et leurs sous-traitants à être encore plus vigilants par rapport à l’application des règles sur la protection des données personnelles.
CE 4 novembre 2020, req. 433311
