Les recours devant l'autorité de contrôle : la Cnil en France

Les recours devant l'autorité de contrôle : la Cnil en France

Selon le RGPD, chaque État membre doit être doté d'une (ou plusieurs) autorité publique de contrôle indépendante, chargée de surveiller l'application du règlement, et compétente, entre autres missions :
  • pour traiter des réclamations introduites par les personnes concernées ;
  • pour ordonner à un responsable de traitement de satisfaire aux demandes d'une personne concernée, voire mettre en œuvre, à la demande de l'autorité elle-même, les différents droits étudiés dans ces lignes ;
  • pour imposer, en complément ou à la place des injonctions ci-dessus, des amendes administratives, même si la loi nationale d'un État membre ne l'a pas prévu ; et même au-delà, imposer toutes autres sanctions voulues « effectives, proportionnées et dissuasives », puisque le RGPD ouvre aux États membres la possibilité d'en instituer.
– L'autorité de contrôle. – Une autorité de contrôle nationale a été instituée en France dès la loi informatique et libertés L. no 78-17, 6 janv. 1978, art. 6 et s. dans sa rédaction d'origine et art. 8 et s. dans sa rédaction actuelle. , préconisée à l'échelle mondiale dans les principes directeurs du 14 décembre 1990 des Nations unies AG ONU, rés. 45/95, 14 déc. 1990, Principes directeurs pour la réglementation des fichiers informatisés contenant des données à caractère personnel, art. 8. , prévue au niveau européen dans la directive de 1995 PE et Cons. UE, dir. 95/46/CE, 24 oct. 1995, art. 28. , confirmée par le RGPD PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 51. et reprise dans la convention du Conseil de l'Europe dans sa rédaction de 2018 Cons. Europe, conv. STE no 108+, 10 oct. 2018, art. 15. .
Cette ouverture a été saisie par le législateur français, qui a par exemple ajouté la possibilité de prononcer des astreintes au titre des mesures « effectives et dissuasives » octroyées à la Cnil L. no 78-17, 6 janv. 1978, art. 20, III, 2o, astreinte dont le montant ne peut excéder 100 000 € par jour. .
L'autorité compétente pour recevoir une réclamation est (sans que cette énumération soit limitative) celle de l'État dans lequel se trouvent la résidence habituelle du réclamant, son lieu de travail ou « le lieu où la violation aurait été commise » PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 77. . En matière numérique, le lieu de commission d'une violation semble pouvoir répondre à une définition large et ainsi favorable au réclamant ; d'autant plus en se contentant d'une localisation simplement possible.
– Le recours. – L'effectivité d'un droit se mesurant à son accessibilité et à sa facilité de mise en œuvre, et les législateurs européen et français ayant précisément voulu assurer la protection des données personnelles, le recours à l'autorité nationale de contrôle a été voulu simple et facile.
A ainsi été prévu un formulaire guidant la présentation d'une réclamation, notamment accessible par voie électronique PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 57, 2 ; D. no 2019-536, 29 mai 2019, art. 10, al. 1. , prenant la forme en France d'un téléservice de plainte en ligne, disponible sur le site de la Cnil.
Pour cette même raison d'accessibilité, le recours à l'autorité de contrôle est également gratuit PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 57, 3 et 4 ; D. no 2019-536, 29 mai 2019, art. 11. , sauf l'hypothèse de demandes manifestement infondées, excessives ou répétitives, permettant à cette autorité, sur motivation spéciale, de réclamer le paiement de frais raisonnables, justifiés par ses coûts administratifs, ou même de refuser de donner suite à la demande présentée.
– La procédure. – L'autorité de contrôle doit informer l'auteur de la réclamation de l'instruction puis de l'issue de celle-ci, en l'avisant des recours juridictionnels possibles PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 77, 2. . Pour ce faire, elle dispose d'un délai de trois mois PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 78, 2. , au-delà duquel, pour la France, le silence gardé par la commission vaut rejet de la réclamation D. no 2019-536, 29 mai 2019, art. 10, al. 2. .
On peut remarquer ici un parallélisme entre les délais et modalités de demande au responsable de traitement et de réclamation à l'autorité de contrôle contre la décision du premier.
Au-delà de ces quelques éléments, le RGPD n'a pas prévu de procédure pour l'action des autorités de contrôle. Il énonce simplement que celle-ci doit respecter « des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l'Union et le droit des États membres conformément à la Charte [des droits fondamentaux de l'Union européenne] » PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 58, 4 et 83, 8. . Il a enfin prévu que chaque État membre peut instituer, par la loi, des pouvoirs supplémentaires pour son autorité de contrôle nationale.
C'est ainsi que le législateur français a lui-même organisé la procédure d'intervention de la Cnil, en attribuant la compétence d'injonction et de sanction à la formation restreinte de la Cnil, sur saisine de son président L. no 78-17, 6 janv. 1978, art. 9, I in fine (composition) ; art. 16, 20, III et s. (attributions) ; D. no 2019-536, 29 mai 2019, art. 6 (fonctionnement) ; art. 39 et s. (procédure). , après instruction par un rapporteur désigné hors de cette formation, avec des garanties procédurales du contradictoire.
Les recours d'une personne concernée ne s'arrêtent pas à l'autorité de contrôle, un recours est encore possible devant une instance judiciaire.