En matière d’informatique et de libertés, le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.
Or, le Conseil d’Etat vient de poser que ce responsable de traitement peut être frappé sans sommation. Car selon la Haute Assemblée, le III de l’article 45 de la loi n° 78-17 du 6 janvier 1978 (dans sa rédaction applicable au litige ; voir aujourd’hui les articles 19 et, surtout, 20 de la même loi), que le prononcé d’une sanction par la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) n’est pas subordonné à l’intervention préalable d’une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL.
Dans nombre de cas, depuis une loi du 12 décembre 2018, ledit article 20 prévoit bien selon les procédures du contradictoire ou de mise en demeure. Voir :
MAIS donc en cas de violation du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 :
- si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, il y a donc recourt à un régime de mise en demeure
- mais en complément (de l’avertissement et/ou de la mise en demeure) il peut y avoir saisie de la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de diverses sanctions… et en ce cas, c’est après contradictoire, mais sans mise en demeure. ‘
Voir aussi : CE, 17 avril 2019, Société Optical Center, n° 422575, rec. T. pp. 756-952.
Source : CE, 4 novembre 2020, n° 433311, à publier aux tables du recueil Lebon
http://www.conseil-etat.fr/fr/arianeweb/CE/decision/2020-11-04/433311
