Datanaos vous propose un petit retour sur vos droits lorsque vous souhaitez porter plainte auprès de la Commission Nationale Informatique et Libertés (CNIL), au regard d’une décision rendue par le Conseil d’Etat le 19 juin 2017.
Grossièrement, un individu avait porté plainte devant la CNIL contre un organisme bancaire qui ne protégeait pas suffisamment les mots de passe de ses clients.
La CNIL avait sanctionné l’organisme, sans prévenir l’auteur de la plainte de la teneur des manquements constatés lors du contrôle ni de la sanction adoptée (qui avait été rendue publique).
L’individu avait alors effectué un recours devant le Conseil d’Etat contre la décision de la CNIL non seulement parce-que la notification de la sanction ne comportait pas les éléments de la sanction, mais aussi parce-qu’il considérait que la sanction était trop légère.
Son recours n’a été accepté que sur la partie relative à la notification qu’il avait reçu : même si la sanction était publique, la CNIL devait, mais elle ne l’a pas fait, l’informer de la sanction prise, et des éléments du contrôle justifiant la sanction (tant que cela n’est pas rendu secret par la loi).
Concernant le recours sur l’insuffisance de la sanction cependant, le Conseil d’Etat lui répond qu’il ne peut, en tant que personne concernée, en demander l’annulation, car il n’en a pas l’intérêt.
Les droits effectifs au recours
Le droit européen, comme le droit français, prévoit aussi au sein du RGPD les mécanismes de recours possibles par les personnes concernées. On peut en dénombrer deux se situant aux articles 77 et 78 du RGPD.
Vous êtes une personne concernée et pensez qu’un responsable de traitement ou sous-traitant viole le RGPD ?
Vous avez tout d’abord le droit d’introduire une réclamation devant l’autorité de contrôle compétente et ce “sans préjudice de tout autre recours administratif ou juridictionnel” (article 77).
Autrement dit vous avez le droit, non seulement de déposer plainte devant la CNIL (pour que celle-ci mène un contrôle) mais aussi de d’ester en justice devant les tribunaux civils ou administratifs pour obtenir réparation du dommage que vous auriez pu subir.
Vous avez porté plainte et n’êtes pas satisfait de la décision de l’autorité de contrôle ?
En droit français, quand vous n’êtes pas satisfait d’une décision de justice, vous pouvez faire appel puis, dans certains cas, aller jusque devant la Cour de cassation, le Conseil d’Etat, ou d’autres juridictions de dernier degré.
L’autorité de contrôle visée par le RGPD est une Autorité Administrative, de sorte que les sanctions qu’elle prononce ou encore son refus de donner suite à une plainte peuvent faire l’objet d’un recours qui, en France, aura lieu devant le Conseil d’Etat.
Le droit à être informé de la suite donnée à la plainte
Vous avez porté une réclamation auprès de la CNIL ? Vous avez alors le droit de suivre l’évolution de votre plainte.
Cela ne signifie cependant pas que vous avez le droit d’accéder aux pièces et documents contrôlés par la CNIL, mais vous pouvez cependant demander où la CNIL se situe dans la procédure de contrôle.
Enfin, la CNIL a l’obligation, lorsqu’elle prend une décision, de vous le notifier en détails.
En cas de refus de donner suite à la plainte, elle doit vous en expliquer les raisons, et vous pouvez bien sûr exercer un recours contre cette décision, qui pourra être annulée par le Conseil d’Etat.
En cas de suite et de sanction, elle doit vous notifier la sanction qu’elle a retenu et pourquoi celle-ci. Dans ce cas, vous n’avez cependant pas le droit de demander l’annulation de la sanction.
Source :
legifrance.gouv.fr