| N° de demande d'avis : 25003703 | Thématiques : règlement sur les services numériques, DSA, délégation de signature ; formation restreinte ; fournisseurs de plateforme numérique | |:---------------------------------------------------------------|:------------------------------------------------------------------------------------------------------------------------------------------------| |Organisme(s) à l'origine de la saisine : Ministère de la justice|Fondement de la saisine : Articles 13 et 20 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés|

L'essentiel :

1. La CNIL accueille favorablement le projet de modification du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978. Ces modifications, d'une part, devraient permettre d'accélérer et fluidifier certaines de ses procédures internes et, d'autre part, tirent les conséquences de l'extension de ses pouvoirs vis-à-vis des fournisseurs de plateformes en ligne. Enfin, il organise la procédure d'injonction provisoire nouvellement créée.

2. Elle invite le Gouvernement à ménager la possibilité pour le mis en cause d'être entendu, dans le cadre de la procédure d'injonction provisoire. Elle prend acte de l'engagement du Gouvernement d'opérer une modification rédactionnelle dans cette procédure.

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu le règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment ses articles 13 et 20 ;
Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu le rapport de Mme Marie-Laure Denis, présidente, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine

La CNIL a été saisie par le ministère de la justice d'une demande d'avis concernant un projet de décret en Conseil d'Etat modifiant le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
La loi « informatique et libertés » a été modifiée par la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (SREN) et l'ordonnance n° 2024-1019 du 13 novembre 2024 portant extension et adaptation en outre-mer des dispositions de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique et du règlement européen 2022/2065 sur les services numériques.
Le projet de décret en tire les conséquences, et propose d'adapter certaines mesures liées à l'organisation interne de la CNIL.

II. - L'avis de la CNIL

Sur les articles 1 à 3 du projet de décret :
L'article 1^er du projet de décret est relatif à la délégation de signature du président ou du vice-président au profit du secrétaire général de la CNIL. Ces délégations portent sur des mesures correctrices prévues au III de l'article 20 telles que les mises en demeure ou les rappels aux obligations légales. Le secrétaire général pourrait déléguer la signature de ces actes aux agents d'encadrement placés sous son autorité.
Enfin, l'article 3 permet de déléguer au Secrétaire général ou à tout agent d'encadrement la signature des ordres de mission des agents de la CNIL effectuant un contrôle.
Ces deux évolutions, suggérées au gouvernement par la CNIL, sont rendues nécessaires par la croissance du nombre de procédures et de mesures correctrices. Ainsi, alors qu'il y a quelques années le nombre de mises en demeure était environ de 40 (le rappel aux obligations légales n'existant pas), il s'est élevé en 2024 à 180 mises en demeure, complétées de 64 rappels aux obligations légales, tous signés par la présidente ou le vice-président. Ces chiffres ayant encore vocation à augmenter, parallèlement au nombre de réclamations et plaintes qui est passé de 7 300 l'année de la signature du RGPD à plus de 17 000 l'an dernier, il apparaît indispensable d'augmenter les délégations de signature.
L'article 2 abaisse le quorum de la formation restreinte de quatre à trois membres. Cette modification facilitera l'organisation des séances, dans un contexte où le nombre de procédures de sanction a été multiplié par quatre depuis l'entrée en vigueur de la procédure de sanction simplifiée, qui complète la procédure de sanction ordinaire.
Ces mesures sont donc accueillies très favorablement par la CNIL en ce qu'elles vont permettre de fluidifier ses procédures internes et réduire le temps administratif inhérent à celles- ci.
Sur l'article 4 du projet de décret :
Cet article introduit deux nouvelles procédures en lien avec le règlement sur les services numériques.

- en premier lieu, l'article 4 introduit un nouvel article 38-1 qui prévoit la procédure applicable aux engagements proposés par les fournisseurs de plateforme en ligne relevant du règlement 2022/2065, en application du II de l'article 20 de la loi « informatique et libertés ». Le projet prévoit que le fournisseur de plateforme qui souhaite proposer des engagements transmette à la CNIL tous les éléments nécessaires à l'étude de ces engagements. La CNIL accueille favorablement le fait que son président puisse exiger du fournisseur concerné toute information nécessaire à l'examen de la proposition d'engagements, lequel pourra intervenir dans un délai maximal de six mois.

Le projet de décret prévoit que le président de la CNIL peut accepter les engagements proposés dans un délai de quatre mois à compter de la réception d'une demande complète et que ce délai peut être prolongé de deux mois supplémentaires sur décision du président. La possibilité offerte au président de la CNIL de rendre contraignants les engagements du fournisseur de la plateforme est de nature à renforcer le respect par ce dernier des obligations découlant du règlement 2022/2065 sur les services numériques.

- en deuxième lieu, l'article 4 du projet introduit, en application du VI de l'article 20 de la loi « informatique et libertés », une procédure d'injonction provisoire. La CNIL accueille favorablement le fait que le président de la formation restreinte puisse prononcer une telle injonction.

Elle entend néanmoins soulever une difficulté en lien avec l'alinéa 2 de l'article 47La CNIL prend acte de l'engagement du gouvernement de modifier le projet de décret en conséquence.
En dernier lieu, la CNIL relève que le projet de décret prévoit que cette injonction provisoire soit prononcée après que le mis en cause ait pu faire valoir ses observations dans un délai de huit jours, mais sans qu'une audience devant le président de la formation restreinte ne soit organisée. La CNIL relève que compte tenu de la place importante de l'oralité dans les procédures « urgentes » de ce type et des conséquences potentielles d'une injonction provisoire pour le mis en cause, le projet de décret devrait ménager la possibilité pour le mis en cause d'être entendu s'il en fait la demande. La CNIL invite en conséquence le gouvernement à inclure cette possibilité dans le projet de décret
Les autres dispositions du projet de décret n'appellent pas d'observations.