Conseil d’État - Décision n° 437808 du 1 mars 2021 concernant la délibération de la CNIL n° SAN-2019-010 à l’encontre de la société FUTURA INTERNATIONALE

Vu la procédure suivante :

Par une requête sommaire et un mémoire complémentaire, enregistrés les 21 janvier et 18 mai 2020 au secrétariat du contentieux du Conseil d’Etat, la société Futura Internationale demande au Conseil d’Etat :

1°) d’annuler la délibération n° SAN-2019-010 du 21 novembre 2019 par laquelle la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a prononcé à son encontre une sanction pécuniaire d’un montant de 500 000 euros et ordonné la publication de sa délibération pendant une durée de 2 ans, avant anonymisation ;

2°) à titre subsidiaire, de réduire significativement le montant de la sanction pécuniaire ;

3°) d’enjoindre à la CNIL de prononcer la clôture de la procédure, de constater sa mise en conformité et de publier ces éléments dans les mêmes formes que la délibération attaquée ;

4°) de mettre à la charge de la CNIL la somme de 6 000 euros au titre de l’article L. 761-1 du code de justice administrative.

Vu les autres pièces du dossier ;

Vu :

- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;

- la loi n °78-17 du 6 janvier 1978 ;

- le code de justice administrative et le décret n° 2020-1406 du 18 novembre2020 ;

Après avoir entendu en séance publique :

- le rapport de Mme A. B., maître des requêtes en service extraordinaire,

- les conclusions de M. Alexandre Lallet, rapporteur public ;

La parole ayant été donnée, après les conclusions, à la SCP de Nervo, Poupet, avocat de la société Futura Internationale ;

1. Il résulte de l’instruction que la Commission nationale de l’informatique et des libertés (CNIL), à la suite d’une plainte faisant état de démarchage téléphonique de la part de la société Futura Internationale, malgré une opposition à la prospection exprimée tant oralement auprès des opérateurs téléphoniques que par courrier adressé au siège de la société, a diligenté le 20 mars 2018 une mission de contrôle dans les locaux de la société Futura Internationale. La présidente de la CNIL a notifié le 2 octobre 2018 à la société la décision n° MED-2018-039 du 27 septembre 2018 dans laquelle étaient relevés plusieurs manquements au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (dit " RGPD "), relatifs au caractère excessif des données traitées, à la coopération avec la Commission, à l’information des personnes, au respect du droit d’opposition des personnes et à l’encadrement des transferts de données à caractère personnel hors de l’Union européenne. La société Futura Internationale était mise en demeure de procéder, sous un délai de deux mois, aux modifications nécessaires à la mise en conformité au RGPD. Par une délibération n° SAN 2019-010 du 21 novembre 2019, notifiée le 25 novembre 2019, la formation restreinte de la CNIL a infligé à la société Futura Internationale une amende de 500 000 euros, prononcé une injonction de mettre en conformité le traitement avec les obligations issues des articles 5, paragraphe 1, point c), 12, 13, 14, 21 et 44 du RGPD, injonction assortie d’une astreinte de 500 euros par jour de retard à l’issue d’un délai d’un mois suivant sa notification, et décidé de rendre la sanction publique pendant une durée de 2 ans à compter de sa publication avant anonymisation.

2. En premier lieu, il résulte de l’instruction que, si les manquements de la société ont été constatés lors de la mission de contrôle à laquelle a procédé la CNIL le 20 mars 2018, soit avant l’entrée en vigueur, en date du 25 mai 2018, du RGPD, ils se sont poursuivis après cette date, au-delà du délai imparti par la mise en demeure notifiée le 2 octobre 2018 à la société Futura Internationale et au moins jusqu’à la notification à la société, le 11 juin 2019, du rapport établi par le commissaire rapporteur. C’est ainsi à bon droit que la CNIL, constatant le caractère continu des manquements relevés dans la mise en demeure, a considéré le RGPD applicable aux faits de l’espèce et apprécié les manquements au regard de celui-ci. Il s’ensuit que le moyen tiré de la méconnaissance par la CNIL du principe constitutionnel de non-rétroactivité de la loi répressive plus sévère ne peut qu’être écarté.

3. En second lieu, aux termes de l’article 83 du RGPD : " 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives. / 2. (…) Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants : a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi; b) le fait que la violation a été commise délibérément ou par négligence ; c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées; d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32; e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant; f) le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs; g) les catégories de données à caractère personnel concernées par la violation; h) la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation; (…)/3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave. /(…) 5. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:/ a) les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9 (…)".

4. Il résulte de l’instruction, et il n’est d’ailleurs pas contesté, que la société Futura Internationale a commis des manquements à l’obligation de ne traiter que des données personnelles adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, à l’obligation de procéder à l’information des personnes dont les données personnelles ont été collectées, à l’obligation de respecter leur droit d’opposition, à l’obligation de coopérer avec l’autorité de contrôle et, enfin, à l’obligation d’encadrer les transferts de données à caractère personnel hors de l’Union européenne.

5. La société fait valoir qu’elle a eu des difficultés à satisfaire à toutes les obligations de la loi du 6 janvier 1978, puis du RGPD, qu’elle a mis en œuvre à la suite de la mise en demeure des dispositifs permettant l’exercice du droit d’opposition, que le manquement à son obligation de coopérer avec la CNIL est imputable à ses conseils et ne relève pas d’une volonté délibérée et qu’en tout état de cause ce manquement a cessé dès l’engagement de la procédure de sanction. Toutefois, d’une part, les obligations qu’elle a méconnues existaient déjà avant l’entrée en vigueur du RGPD et la société ne saurait ainsi utilement invoquer la difficulté de se conformer à des obligations nouvelles et, d’autre part, les correctifs apportés en cours de procédure n’ont pas mis fin de façon effective aux manquements constatés avant la notification du rapport de sanction.

6. Eu égard à la nature, à la gravité et à la persistance des manquements constatés, notamment le caractère excessif des données collectées, le défaut d’information des personnes concernées, le non-respect de leur droit d’opposition, et le manquement caractérisé à l’obligation de coopération avec l’autorité de contrôle, la formation restreinte de la CNIL n’a pas infligé à la société Futura Internationale une sanction disproportionnée en prononçant à son encontre une sanction pécuniaire d’un montant de 500 000 euros, représentant 2,5% de son chiffre d’affaires en 2018, alors même que celui-ci avait baissé de 25 % par rapport à 2017 et que le bénéfice net de la société était de 180 000 euros en 2018, et en l’assortissant, pour en assurer le caractère dissuasif, d’une sanction complémentaire consistant en sa publication pendant une durée de deux ans avant son anonymisation.

7. Il résulte de tout ce qui précède que la société Futura Internationale n’est pas fondée à demander l’annulation de la délibération qu’elle attaque. Ses conclusions aux fins d’injonction étant devenues sans objet suite à la clôture de la procédure par la délibération n° SAN-2020-001 adoptée par la CNIL le 30 janvier 2020, qui a constaté la mise en conformité de la société, sa requête doit être rejetée, y compris ses conclusions tendant à l’application de l’article L. 761-1 du code de justice administrative.

Article 1er : La requête de la société Futura Internationale est rejetée.

Article 2 : La présente décision sera notifiée à la société Futura Internationale et à la Commission nationale de l’informatique et des libertés.