Interventions sur "sanction"

L'octroi à la CNIL du droit de prononcer des sanctions pécuniaires prend de nouvelles dimensions à la suite de la nouvelle répartition des compétences organisée par le projet de loi. Délaissant en grande partie sa compétence d'autorisation a priori pour se concentrer sur des fonctions de sanction a posteriori, la CNIL voit son rôle d'organe sanctionnant devenir l'une de ses premières missions. Bien que nous désapprouvions ce choix, ainsi que la logi...

Une fois encore, nous avons déjà eu cette discussion. Le RGPD indique à plusieurs reprises que les mesures de sanction doivent être appropriées, nécessaires et proportionnées. Je vous renvoie aux considérants 127, 148 et 151. Ces garanties me semblent suffisantes. Il faut aussi laisser à la CNIL des marges de manoeuvre dans le choix des sanctions. Avis défavorable.

Le RGPD prévoit des sanctions pouvant s'élever de 10 millions à 20 millions d'euros ou, dans le cas d'une entreprise, pouvant atteindre 2 % à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, ce qui devrait avoir un effet réellement dissuasif sur les très grandes entreprises, notamment les GAFAM. À défaut, celles-ci pourraient considérer que l'illégalité n'est qu'un risque financier qui vaut la peine d'...

Les pénalités financières prévues par le RGPD semblent suffisamment dissuasives. On parle en effet de 20 millions d'euros ou de 4 % du chiffre d'affaires, ce qui permet de proportionner la sanction à la taille de l'entreprise. En quelques années, la sanction est passée de 150 000 euros à 20 millions ou à 4 % du chiffre d'affaires. Le changement d'échelle est considérable. Il ne nous semble pas nécessaire d'aller plus loin, d'autant qu'il faut, sur ces sujets, une harmonisation au niveau européen. Avis défavorable.

À ceci près que la sanction reste théorique !

Même si un plafond a été fixé, la CNIL comme les autorités de sanction européennes disposent désormais d'une arme véritable. Le montant de 20 millions est très élevé, surtout comparé à celui de 100 000 ou 150 000 euros, qui s'appliquait précédemment. En outre, la publicité de la sanction dépasse largement son aspect financier. Quand certains GAFA – je pense à Google en particulier – ont été sanctionnés par la CNIL, le retentissement des articles sur le grand public...

Je comprends qu'on propose des sanctions plus fortes si la loi est contournée. Mais peut-être faut-il laisser du temps au temps. Le texte s'appliquera dans quelques semaines. Il sera toujours possible d'y revenir dans plusieurs mois ou plusieurs années, après un bilan. On sait bien que de telles sanctions ne seront pas prononcées tous les jours.

Le présent amendement vise à sécuriser le dispositif octroyant à la CNIL la capacité d'établir des sanctions pécuniaires. Alors que la CNIL avait jusqu'à présent un rôle d'autorisation, elle devrait désormais se concentrer sur un nouveau rôle coercitif. L'octroi d'un pouvoir de sanction doit être accompagné d'un strict encadrement des motifs légaux de la sanction, afin d'assurer une protection optimale des libertés fondamentales de tous et toutes. Nous sommes favorables à l'établissement d'un barème d...

Le règlement contient déjà des dispositions garantissant la proportionnalité des sanctions. Ainsi, son considérant 129 prévoit que « Toute mesure devrait notamment être appropriée, nécessaire et proportionnée ». De même, selon son considérant 151, « En tout état de cause, les amendes imposées devraient être effectives, proportionnées et dissuasives. » Comme nous n'avons pas beaucoup de temps, je ne vous citerai pas toutes les dispositions mais beaucoup de garanties existent déjà dans ...

L'article 6 du présent projet de loi énonce les sanctions prises par la CNIL en cas de méconnaissance par le responsable de traitement ou le sous-traitant de ses obligations découlant du règlement ou de la loi. Il prévoit notamment une injonction, éventuellement assortie d'une astreinte pouvant atteindre 100 000 euros par jour. Or, si le règlement européen prévoit bien une injonction, il ne prévoit pas d'astreinte. Par ailleurs, le seuil des sanctions...

Le présent amendement soulève la question du système de sanctions organisé par le texte actuel qui, selon nous, crée une inégalité entre les petites entreprises, les grandes entreprises et bien sûr les géants du numérique puisque les sanctions ne sont pas proportionnelles aux profits réalisés par les entreprises. Le RGPD prévoit en effet des sanctions pouvant s'élever de 10 000 à 20 000 euros ou, dans le cas d'une entreprise, jusqu'à 2 % à 4 % du chiffre d'af...

Nous essayons de trouver l'équilibre entre les uns qui voudraient supprimer ou alléger les sanctions, et les autres qui voudraient les renforcer. Elles ont déjà été nettement alourdies. Je rappelle qu'elles étaient jusqu'à maintenant de 150 000 euros au maximum, et que l'on passe ici à 20 millions d'euros. L'échelle des sanctions s'est beaucoup élargie. L'avis est donc défavorable.

Nous avons acté que nous sommes en désaccord sur la logique du texte. Soit. Mais à partir du moment où c'est votre logique du contrôle a posteriori qui prévaut, je pense que notre amendement devrait faire consensus. Je rappelle qu'on parle de géants du numérique pour lesquels le niveau des sanctions que propose ce texte ne représente quasiment rien – une goutte d'eau dans l'océan de leurs profits ! De surcroît, il s'agirait de récidive, donc d'entreprises qui ont déjà commis des infractions portant, cela a été dit et redit, sur des données sensibles. C'est une question de liberté d'exercer un droit démocratique, mais aussi une question financière. Nous proposons ici que le texte fasse clai...