d) Par le renforcement éventuel de ses pouvoirs de sanction
Vos rapporteurs préconisent également de réfléchir à l'opportunité de renforcer les pouvoirs de sanction de la CNIL.
En effet, l'article 47 de la loi de 1978 limite la sanction financière à 150.000 euros , ou 300.000 euros en cas de manquement réitéré dans les cinq années, à condition de ne pas excéder 5 % du chiffre d'affaires hors taxes du dernier exercice clos.
A ce plafonnement légal s'ajoute une pratique empreinte d'une certaine timidité. Il semble que la première sanction, 45.000 euros contre le Crédit lyonnais en juillet 2006, somme à l'évidence modeste pour une entreprise de cette importance, ait servi de jurisprudence. En 2008, la CNIL a ainsi prononcé onze sanctions pour un montant total de 137.100 euros. Rappelons que le montant total des sanctions prononcées par la formation restreinte de la CNIL depuis sa création s'élève à 520.400 euros.
A titre de comparaison, on notera :
- que le Conseil de la Concurrence a le pouvoir d'infliger une amende qui peut aller jusqu'à 10 % du chiffre d'affaires mondial de l'entreprise (article L. 464-2 du Code de commerce), sans plafonnement en valeur absolue ; elle a ainsi prononcé une amende de 534 millions d'euros en 2005 dans le domaine de la téléphonie mobile et de 174 millions d'euros en 2000 dans une affaire de crédit immobilier ;
- que l'agence espagnole de protection des données, dont la sanction ne peut excéder 600.000 euros, est particulièrement sévère, en pratique, à l'encontre des entreprises qui contreviennent au droit applicable aux données personnelles. Ainsi, sur la seule année 2008, pas moins de 630 sanctions ont été prononcées pour un total de 22,6 millions d'euros.
Compte tenu de ces éléments, vos rapporteurs estiment nécessaire d'ouvrir un débat sur l'opportunité de relever le plafond des sanctions pécuniaires susceptibles d'être prononcées par la CNIL.