CNIL, Délibération du 25 mars 2021, n° 2021-035

  • Projet de loi·
  • Commission·
  • Échange·
  • Formation restreinte·
  • Administration·
  • Cnil·
  • Sanction·
  • Protection des données·
  • Procédure simplifiée·
  • Traitement

Résumé de la juridiction

Délibération n° 2021-035 du 25 mars 2021 portant avis sur les articles 40, 41 et 42 du projet de loi relatif à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l’action publique locale

Chercher les extraits similaires

Commentaires sur cette affaire

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. En savoir plus

Sur la décision

Texte intégral

La Commission nationale de l’informatique et des libertés,

Saisie par le ministère de la cohésion des territoires et des relations avec les collectivités territoriales d’une demande d’avis sur les articles 40, 41 et 42 du projet de loi relatif à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l’action publique locale ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 8-I-4°-a) ;

Après avoir entendu le rapport de Mme Sophie LAMBREMON et M. Alexandre LINDEN, commissaires, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement.

Emet l’avis suivant :

La Commission a été saisie, le 4 mars 2021, sur le fondement de l’article 8-I-4° a) de la loi du 6 janvier 1978 modifiée, des articles 40, 41 et 42 du projet de loi relatif à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l’action publique locale (ci-après le projet de loi 4D ).

Sur l’article 40 relatif au partage de données des usagers entre administrations

La Commission s’est déjà prononcée à plusieurs reprises sur les modalités d’échange de données entre administrations dans le cadre du dispositif Dites-le nous une fois (DLNUF). Elle a de manière constante estimé que ces échanges de données, qui font l’objet d’un encadrement par le code des relations entre le public et l’administration (CRPA), participent à la simplification des formalités administratives des usagers lorsqu’ils ont pour finalité de dispenser les usagers, personnes physiques ou morales, de fournir les mêmes justificatifs plusieurs fois.

Depuis sa création, le dispositif DLNUF repose sur trois caractéristiques essentielles qui sont :

  • la réalisation d’une démarche à l’initiative de l’usager ;
  • la limitation des données échangées à celles strictement utiles à la démarche initiée par l’usager ;
  • la possibilité, pour les seules administrations agissant dans le cadre de leurs missions légales et régulièrement habilitées à connaître de ces données, de bénéficier de ces échanges.

De manière générale, la Commission rappelle que, si la simplification des démarches administratives et l’amélioration des relations entre le public et les administrations constituent des objectifs légitimes, la mise en œuvre d’échanges de données à caractère personnel dans ce cadre doit être limitée aux données strictement nécessaires et garantir le respect des droits des personnes ainsi que la sécurité et la confidentialité de leurs données à caractère personnel. Elle considère qu’il faut distinguer les échanges de données réalisés aux fins de répondre aux demandes de l’usager qui ne posent pas de difficulté de principe dès lors que l’atteinte à la vie privée apparaît faible, et ceux réalisés à des fins de police administrative, de surveillance ou de détection des fraudes, pour lesquels il convient d’avoir une vigilance particulière. La Commission relève que les échanges envisagés ne relèvent pas de cette dernière hypothèse. Dans tous les cas, les échanges doivent intervenir dans le strict respect de la règlementation relative à la protection des données et à la vie privée.

Elle rappelle ainsi l’importance d’assurer l’effectivité des droits des personnes concernées. A cet égard, la Commission relève que si les règles en vigueur en matière d’information préalable de l’usager, de droit d’accès et de rectification, et de limitation des échanges aux données strictement nécessaires au traitement concerné ne sont pas modifiées par le projet de loi, les droits à la limitation du traitement et d’opposition prévus par les articles 18 et 21 du RGPD ne sont pas mentionnés à l’alinéa 3 de l’article L. 114-8 du CRPA.

Si elle prend acte de ce que le ministère entend exclure l’exercice de ces droits, elle rappelle qu’une telle faculté doit répondre aux conditions prévues à l’article 23 du RGPD et à l’article 56 de la loi du 6 janvier 1978 modifiée. La Commission rappelle en particulier que l’exclusion des droits à la limitation du traitement et d’opposition doit être expressément prévue et qu’il convient d’assortir cette exclusion des garanties nécessaires. Dans ces conditions, la Commission estime que le projet de loi devra être complété sur ce point si le ministère entend effectivement faire application de l’article 23 du RGPD.

La Commission rappelle également l’importance de s’assurer que l’information des usagers soit complète et de qualité au regard des exigences posées par l’article 14 du RGPD. Elle estime en particulier que l’information délivrée devra ainsi indiquer les modalités alternatives pour effectuer une démarche sans bénéficier du dispositif Dites-le nous une fois en cas d’exercice du droit d’opposition de la personne.

Compte tenu de ce qui précède, la Commission formule les observations suivantes sur les modifications envisagées.

En premier lieu, le 1° de l’article 40 du projet de loi 4D prévoit de modifier l’article L. 113-12 du CRPA afin d’étendre la possibilité d’échange de données entre administrations à toute demande ou déclaration produite par un usager. Il en résulte que les procédures concernées ne seront plus fixées par une liste limitative dans un décret en Conseil d’Etat pris après avis de la Commission mais que par défaut, un partage de données sera instauré en cas de demande ou de déclaration de l’usager.

La Commission n’a pas d’objection à cette extension, pour cette finalité, dès lors qu’elle participe au respect du principe de minimisation des données. La possibilité de mettre en place des interfaces standardisées de programmation (API) permettant l’échange des données, pour les finalités et aux conditions prévues par la loi, doit se lire en combinaison avec le fait que l’article L. 114-9 du même code prévoit que les échanges de données sont interdits pour certains types de données, notamment de santé.

En deuxième lieu, le 2° de l’article 40 du projet de loi 4D prévoit d’abroger l’article L. 113-13 du CRPA. Cette abrogation a pour conséquence de supprimer l’obligation, pour la personne ou son représentant, d’attester sur l’honneur de l’exactitude des informations déclarées et lui permettant également de demander l’utilisation du dispositif DLNUF en substitution.

En troisième lieu, le 3° de l’article 40 du projet de loi 4D prévoit de modifier l’article L. 114-8 du CRPA en y ajoutant une nouvelle finalité qui est d’autoriser l’échange de données à des fins d’information de l’usager concernant ses droits, ou de lui octroyer des prestations ou avantages.

La Commission observe que ces modifications conduisent à une évolution des caractéristiques essentielles du dispositif DLNUF. Elle relève en effet en particulier que, dans ce cas, l’intervention a priori de l’usager ne serait plus requise pour initier l’échange de données entre administrations.

La Commission prend acte de ce que cette évolution vise à accélérer l’échange de données entre administrations au profit de l’usager et à lutter contre le phénomène de non recours aux droits, notamment en matière d’avantages sociaux. En particulier, elle prend acte de ce que cette nouvelle finalité vise à permettre à une administration d’informer, de manière proactive, un usager.

Sans remettre en cause les objectifs poursuivis, la Commission estime qu’il importe de s’assurer qu’un tel dispositif soit précisément circonscrit à un tel usage, à l’exclusion de tout autre, et ne permette pas, notamment de détecter d’éventuels cas de fraude au moyen de croisement d’informations. Elle estime que les dispositions envisagées devraient le préciser explicitement.

Dans la mesure où le partage de données mis en œuvre, indépendamment de toute demande de l’usager peut présenter certains dangers, la Commission estime qu’il doit être entouré de garanties.

Au titre des garanties à mettre en œuvre, la Commission estime en outre qu’une réflexion devra impérativement être menée s’agissant des durées de conservation des données relatives aux potentiels droits, prestations ou avantages des usagers, par les administrations participant à cette information proactive afin que celles-ci soient précisément encadrées par voie réglementaire. Il convient de déterminer un équilibre entre la nécessité de conserver l’information que le bénéfice d’un droit a été proposé à une personne et qu’elle l’a, le cas échéant, refusé, sans la resolliciter de façon excessive, tout en ne constituant pas, à côté du fichier des bénéficiaires de ce droit, une liste pérenne des personnes en remplissant les conditions d’octroi mais n’ayant pas souhaité y recourir.

Au demeurant, la Commission rappelle que tout usager concerné pourra s’opposer, à tout moment, au traitement de ces données dans ce cadre, dans les conditions prévues par l’article 21 du RGPD.

En quatrième lieu, le 4° de l’article 40 du projet de loi 4D supprime les dispositions des 1° et 2° et modifie l’actuel 3° de l’article L. 114-9 du CRPA en remplaçant la formule actuelle les critères de sécurité et de confidentialité par les conditions de mise en œuvre des échanges et notamment les critères de sécurité, de traçabilité et de confidentialité .

Cette suppression implique que les domaines et les procédures concernés par les échanges de données entre administrations, et la liste des administrations auprès desquelles la demande de communication s’effectue en fonction du type de données, ne seront plus déterminés par décret en Conseil d’État pris après avis de la Commission. A cet égard, elle prend acte des précisions apportées par le ministère selon lesquelles dans l’esprit de la responsabilisation des responsables de traitement de données promu par le règlement général sur la protection des données, il est proposé d’abandonner la logique de liste limitative et fixée a priori de données pouvant être partagées entre administrations .

Si l’édiction par décret de la liste des administrations bénéficiant de l’échange de données (destinataires) pour le traitement des demandes les concernant constitue une garantie, la Commission prend acte de ce que sa suppression constitue la conséquence logique de la généralisation du principe. Cette généralisation doit s’accompagner de garanties appropriées, qui sont de deux ordres.

En premier lieu, elle estime nécessaire de maintenir, comme le fait le projet, un acte réglementaire fixant la liste des administrations communiquant chaque type de donnée aux autres. A cet égard, le d) du 4° de l’article 40 du projet de loi 4D prévoit d’ajouter un alinéa à l’article L. 114-9 du CRPA prévoyant qu’un arrêté du Premier ministre détermine, pour chaque type d’informations ou de données, la liste des administrations responsables de leur mise à disposition des autres administrations. Elle constate que cette liste permettra d’établir des administrations de référence pour la mise à disposition de chaque donnée recherchée par une administration tierce, permettant ainsi de s’assurer que la donnée est bien collectée directement auprès de l’administration détentrice de la donnée d’origine, fiable et unique, et non auprès de tout autre administration qui en disposerait également. Elle estime que cette mesure est de nature à éviter des erreurs dans les données échangées et la propagation de données inexactes ou non actualisées auprès des administrations.

En second lieu, la Commission estime essentiel qu’une traçabilité précise des échanges soit assurée, permettant l’exercice du droit d’accès sur les données décrivant quels échanges ont eu lieu, entre quelles administrations, à quel moment. A cet égard, elle recommande, d’une part, l’usage d’API pour procéder à ces échanges afin de garantir la nécessaire minimisation des données échangées et la traçabilité de ces échanges et, d’autre part, la mise en place d’une traçabilité étendue, appelée par la modification du 3° de l’article L. 114-9 du CRPA, et permettant à chaque usager de prendre connaissance, de manière simple et consolidée, de l’ensemble des échanges de données le concernant.

Enfin, la Commission, qui se montrera particulièrement attentive aux conditions de mise en œuvre effectives relatives à de tels mécanismes d’échanges de données à caractère personnel, rappelle également l’importance de s’assurer de la bonne articulation des modifications envisagées du CRPA avec l’expérimentation, toujours en cours, prévue par l’article 40 de la loi n° 2018-727 du 10 août 2018 pour un Etat au service d’une société de confiance ( loi ESSOC ).

En cinquième lieu, le 3° de l’article 40 du projet de loi 4D modifie l’article L. 114-8 du CRPA en y ajoutant un alinéa prévoyant que La liste des administrations qui se procurent directement des données auprès d’autres administrations françaises dans le cadre du présent article, des données ainsi échangées et le fondement juridique sur lesquels repose le traitement des procédures mentionnées au premier alinéa, fait l’objet d’une diffusion publique dans les conditions prévues par l’article L. 312-1-1 .

La Commission estime que cette information est importante et contribue à l’équilibre du dispositif, puisqu’elle permettra d’avoir une vision exhaustive des systèmes d’échanges mis en place, qui ne seront plus listés par décret. Elle considère que la mise en place de circuits simplifiés de partage de données devrait reposer sur une infrastructure standardisée d’échanges de données dont la maintenance et le pilotage sont coordonnés au niveau interministériel reposant, notamment, sur une grande transparence concernant les mécanismes utilisés pour ces échanges et recommande, à ce titre, une diffusion en temps réel de ces informations.

Sur l’article 41 relatif aux modifications apportées aux dispositions de la loi du 6 janvier 1978 modifiée

L’article 41 du projet de loi vise à simplifier et compléter les procédures relatives au prononcé, par la CNIL, des mesures correctrices prévues par le RGPD et la loi Informatique et Libertés en cas de manquement à ces dispositions. Plus précisément, le projet de loi a pour objet d’aménager le pouvoir de police du président de la Commission, qui peut prononcer des mesures correctrices alternatives aux sanctions en cas de violation des règles relatives à la protection des données à caractère personnel. Il vise également à compléter la procédure applicable en matière de sanctions, en dotant le président de la formation restreinte de la CNIL de nouvelles attributions dont l’exercice ne nécessite pas l’intervention de l’ensemble de cette formation et en créant une procédure simplifiée pour le prononcé de sanctions financières d’un montant limité, applicable aux seules affaires simples et de faible gravité.

A titre général, la Commission accueille très favorablement le projet du Gouvernement, qui permettra de simplifier et d’enrichir les procédures dont dispose la CNIL pour prononcer les mesures correctrices en cas de manquement aux dispositions du RGPD et de la loi Informatique et Libertés . Une telle adaptation est en effet nécessaire pour permettre une instruction satisfaisante et conforme à ces dispositions des réclamations reçues par la CNIL, dans un contexte d’augmentation constante et substantielle du volume de plaintes qui lui sont adressées, et participe dès lors d’une meilleure garantie des droits des personnes concernées à l’égard du traitement de données à caractère personnel. En outre, la Commission estime que les dispositions projetées sont entourées des garanties nécessaires pour les mis en cause dans les procédures de sanctions prononcées par la CNIL.

L’article 41 du projet de loi appelle en outre les observations complémentaires suivantes de la part de la Commission.

En premier lieu, le 1° du I dudit article prévoit la possibilité, pour le président de la Commission, de rappeler à ses obligations légales un responsable de traitement ou un sous-traitant ne respectant pas le cadre juridique en matière de protection des données à caractère personnel. La Commission observe que cette mesure, qui s’apparente au rappel à l’ordre prévu par l’article 58.2.b) du RGPD et que le Conseil d’Etat a déjà validée au bénéfice de la CNIL (CE, 21 juin 2018, n° 414139), ne présente pas dans ce cadre un caractère répressif et peut donc être prise par le président de la Commission. Elle estime en outre qu’elle permettra, pour des manquements mineurs qui ne justifient pas le prononcé de mesures publiques ou de sanctions financières de favoriser la mise en conformité des responsables de traitement et sous-traitants ayant méconnu les obligations légales qui s’imposent à eux.

En deuxième lieu, le 2° du I de l’article 41 du projet de loi vise à clarifier et alléger la procédure de clôture des mises en demeure adoptées par le président de la Commission en cas de méconnaissance des obligations découlant du RGPD ou de la loi du 6 janvier 1978 modifiée. Les dispositions projetées prévoient que le président de la Commission peut, dans le cadre d’une décision de mise en demeure, demander au responsable de traitement ou au sous-traitant de justifier de sa mise en conformité, sans que cette demande soit pour autant systématique, et que c’est uniquement dans l’hypothèse d’une telle demande que le président est tenu de clôturer la mise en demeure si la mise en conformité est constatée. La Commission estime que ces dispositions permettront ainsi d’assouplir la procédure de mise en demeure. Il convient en effet de souligner que l’instruction de la clôture des mises en demeure est particulièrement lourde et chronophage, alors que cet instrument est souvent particulièrement approprié pour obtenir une mise en conformité rapide.

En troisième lieu, le II de l’article 41 du projet de loi a pour objet de confier de nouvelles prérogatives au président de la formation restreinte de la CNIL, organe compétent pour prononcer les sanctions, et notamment les amendes administratives, en cas de manquement aux règles relatives à la protection des données à caractère personnel. Il est ainsi prévu, dans un nouvel article 20-1 de la loi du 6 janvier 1978 modifiée, que le président de cette formation restreinte puisse prononcer seul des injonctions de produire, assorties le cas échéant d’une astreinte ne pouvant excéder 100 euros par jour de retard, en cas d’absence de réponse à une précédente mise en demeure de transmission des documents nécessaires à l’instruction du dossier, ainsi que des non-lieux dans le cas d’une transmission de documents à la suite d’injonctions antérieures. La Commission considère que ces décisions de faible portée, très fréquemment attribuées à un juge statuant seul en matière administrative ou judiciaire, ne nécessitent pas l’intervention de l’ensemble de la formation restreinte et permettront de fluidifier et de simplifier l’action répressive de la Commission lorsque celle-ci se justifie.

En quatrième lieu, le III de l’article 41 du projet de loi vise à créer une procédure particulière et simplifiée de sanctions, applicable aux dossiers simples et de faible gravité. Ces dispositions prévoient ainsi la création d’un nouvel article 22-1 de la loi Informatique et Libertés , en vertu duquel les rappels à l’ordre, injonctions assorties d’astreintes et amendes administratives, de montants maximaux faibles et qui ne pourront pas être rendus publics, peuvent être prononcés par le seul président de la formation restreinte ou un membre de cette formation désigné par lui, sur la base d’un rapport établi par un agent de la Commission, et que le mis en cause peut demander à présenter des observations orales dans le cadre de cette procédure.

A cet égard, la Commission estime tout d’abord que la procédure de sanction actuelle n’est pas adaptée au traitement du volume de réclamations reçues, qui atteint actuellement 14 000 par an, et rappelle que, en l’état des textes, une seule procédure s’applique pour tous les dossiers indépendamment de leur complexité ou de leur gravité. La création d’une procédure simplifiée applicable aux dossiers qui justifient une faible sanction financière et qui présentent une grande simplicité des questions de fait ou de droit posées apparaît dès lors indispensable pour que la CNIL puisse mener à bien sa mission d’instruction de l’ensemble des plaintes et leur apporter, à chaque fois, la réponse appropriée.

Elle relève en outre que de telles procédures existent déjà en matière de sanctions administratives comme en matière juridictionnelle et que la mise en œuvre d’une procédure simplifiée ne contrevient pas aux dispositions du RGPD relatives au prononcé de sanctions. La Commission estime qu’aucun principe ne s’oppose à la mise en œuvre d’une telle procédure reposant sur un membre statuant seul, dès lors qu’elle est mise en œuvre dans des conditions conformes aux principes applicables au prononcé de sanctions par une autorité administrative indépendante.

En ce qui concerne ces garanties, la Commission observe que des critères sont fixés pour l’engagement des poursuites selon une telle procédure. Il s’agit des seuls dossiers se caractérisant, d’une part, par un faible niveau de gravité, le montant maximal des sanctions financières étant peu élevé, et, d’autre part, par l’absence de difficultés particulières, notamment eu égard aux décisions précédemment rendues par la formation restreinte ou à la simplicité des questions de fait ou de droit qu’ils soulèvent. Les mesures pouvant être prononcées dans le cadre de cette procédure simplifiée sont limitées au rappel à l’ordre, à une amende administrative au plus égale à 20 000 euros et aux injonctions de mise en conformité assorties d’une astreinte (dont le montant ne peut excéder 100 euros par jour de retard). Les autres mesures correctrices relevant de la compétence de la formation restreinte sont donc exclues de cette procédure, de même que les violations justifiant la mobilisation de la procédure d’urgence. Il est également prévu que les sanctions prononcées ne puissent pas être rendues publiques, contrairement aux sanctions pouvant être prononcées par la formation restreinte de la CNIL.

S’agissant du déroulement de cette procédure, il est notamment prévu que la présentation d’observations orales devant le président de la formation restreinte ou le membre désigné par lui ne soit pas systématique mais que la possibilité d’être entendu soit toujours proposée au mis en cause, conformément au droit commun en matière de sanctions administratives. Le président de la formation restreinte disposera en tout état de cause de la faculté de renvoyer le dossier, par exemple s’il estime que les critères d’engagement de la procédure simplifiée ne sont pas satisfaits, vers la procédure prévue à l’article 22 de la loi Informatique et Libertés . Dans ce cas, un rapporteur sera désigné parmi les membres de la commission, qui pourra s’appuyer sur le dossier déjà constitué mais rendra ses conclusions en toute indépendance.

Compte tenu de l’ensemble de ces éléments, la Commission estime que le projet de loi comporte les garanties législatives suffisantes pour autoriser la mise en œuvre d’une procédure simplifiée de prononcé de sanctions.

Elle rappelle enfin que l’ensemble des dispositions législatives projetées devra faire l’objet de dispositions réglementaires d’application, en particulier en ce qui concerne la procédure simplifiée qui doit être complétée de garanties relevant du niveau réglementaire.

Sur l’article 42 relatif aux modifications apportées aux dispositions de l’article L. 2121-30 du code général des collectivités territoriales

L’article 42 du projet de loi 4D modifie l’actuel article L. 2121-30 du code général des collectivités territoriales en donnant compétence au conseil municipal pour dénommer les voies et en prévoyant également que la commune garantit l’accès aux informations concernant la dénomination des voies et de numérotation des maisons dans les conditions prévues par un décret.

Cette disposition n’appelle pas d’observations de la part de la Commission.

La Présidente

Marie-Laure DENIS

Chercher les extraits similaires
highlight
Chercher les extraits similaires
Extraits les plus copiés
Chercher les extraits similaires
Collez ici un lien vers une page Doctrine
Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Délibération du 25 mars 2021, n° 2021-035