- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, de simplification de la vie économique, n° 481 rectifié
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d’examiner le projet de loi de simplification de la vie économique
Après l’article 20‑1 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, il est inséré un article 20‑2 ainsi rédigé :
« I. – Conformément à sa mission d’accompagnement des responsables de traitement et des sous-traitants, la Commission nationale de l’informatique et des libertés accorde un droit à l’erreur aux organismes ayant commis un manquement involontaire à leurs obligations en matière de protection des données personnelles.
« II. – Ce droit à l’erreur est applicable sous réserve du respect des conditions suivantes :
« 1° Le manquement doit être de nature non intentionnelle et n’avoir causé aucun préjudice grave et irréversible aux droits des personnes concernées, il ne doit pas non plus avoir porté atteinte à la sûreté de l’État ;
« 2° L’organisme concerné ne doit pas avoir été mis en demeure ou sanctionné pour un manquement similaire dans les 8 dernières années, sauf en cas de circonstances exceptionnelles justifiant une nouvelle appréciation ;
« 3° L’organisme doit avoir pris, dans un délai de trente jours à compter de la notification de la Commission nationale de l’informatique et des libertés ou de sa propre initiative, des mesures correctrices permettant de remédier au manquement et d’éviter sa réitération.
« III. – Lorsqu’elle constate que les conditions du droit à l’erreur sont remplies, la Commission nationale de l’informatique et des libertés privilégie une approche pédagogique en lieu et place d’une sanction, notamment par :
« 1° L’émission d’une mise en demeure ;
« 2° La proposition d’un accompagnement vers la mise en conformité, incluant des recommandations adéquates ;
« 3° Une exonération ou a minima un plafonnement des sanctions à 25 % du plafond défini à l’article 20 de la présente loi, sous réserve d’une coopération effective et de bonne foi de l’organisme concerné.
« IV. – La Commission nationale de l’informatique et des libertés demeure compétente pour apprécier la bonne foi et la diligence des organismes invoquant le droit à l’erreur et peut refuser son application en cas de doute sur la volonté effective de mise en conformité. »
Si la Commission nationale de l’informatique et des libertés (CNIL) dispose déjà d’un pouvoir d’appréciation dans le cadre de ses contrôles, il n’existe pas aujourd’hui de dispositif formel instaurant un droit à l’erreur en matière de protection des données personnelles. Pourtant, dans d’autres domaines du droit, notamment avec la loi ESSOC (Loi pour un État au service d’une société de confiance), le législateur a déjà consacré le principe selon lequel une erreur commise de bonne foi ne doit pas nécessairement donner lieu à une sanction immédiate, à condition qu’elle soit corrigée rapidement.
Le présent amendement vise donc à introduire un droit à l’erreur encadré pour les entreprises et les organismes publics en matière de protection des données personnelles. Ce droit s’appliquerait aux manquements involontaires et non graves, sous réserve qu’ils soient corrigés dans un délai raisonnable et que l’organisme concerné coopère pleinement avec la CNIL.
Cet amendement vise ainsi offrir une sécurité juridique aux entreprises commettant pour la première fois dans un délai de 8 ans une erreur de bonne foi concernant le traitement de leurs données. Si la CNIL avait jusqu’ici la possibilité de procéder au préalable par une mise en demeure, cet amendement vient sanctuariser un cadre clair et prévisible aux entreprises, en faisant du droit à l'erreur un principe reconnu, et non plus une simple tolérance laissée à l’appréciation de cette-dernière.