Article IT et données personnelles | 25/11/24 | 7 min. | Alexandra Berg-Moussa Florence Chafiol Aurélien Micheli Alexandra Antalis
Le 18 novembre 2024, la Commission nationale de l'informatique et des libertés (CNIL) et la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) ont signé un nouveau protocole de coopération.
Contexte et enjeux de la coopération
Dans l’économie numérique, les services fournis aux consommateurs s’accompagnent la plupart du temps de l’exploitation commerciale de leurs données à caractère personnel. Ainsi, une coopération entre d’une part la CNIL, en charge de la protection des données à caractère personnel des citoyens, et d’autre part la DGCCRF, en charge de la protection des consommateurs, est importante pour protéger les droits et libertés fondamentaux des consommateurs.
La coopération entre ces deux autorités n’est pas nouvelle, et ce protocole qui date de 2011 avait déjà été revu une première fois en 2019 pour adapter les contours de leur coopération au développement de la dimension numérique des échanges et à l’augmentation de la circulation des données.
Résultats de la coopération
Le partenariat établi depuis plusieurs années entre les deux autorités, leur a déjà permis d’échanger plusieurs dizaines de signalements (par exemple en matière de prospection commerciale liée à la rénovation ou à la gestion des programmes de fidélité) pour lutter conjointement contre des pratiques (i) commerciales abusives (ii) qui ne respectent pas la protection des données à caractère personnel.
En outre, la CNIL a déjà pu dans le passé transmettre des dossiers à la DGCCRF. Par exemple dans la décision de clôture[1] de la mise en demeure[2] prononcée à l’encontre de la société Genesis Industries Limited qui distribuait des jouets connectés considérés par plusieurs associations (notamment UFC-Que Choisir en France) comme non conformes aux lois européennes sur la protection des consommateurs, la CNIL a constaté que s’agissant de la sécurisation des jouets, elle n’était plus compétente et a décidé de transmettre le dossier à la DGCCRF.
Objectifs du nouveau protocole
Les objectifs principaux du protocole signé le 18 novembre 2024 sont les suivants :
Au titre de ce protocole de coopération, les enquêteurs de la DGCCRF peuvent informer les agents de la CNIL habilités à contrôler le respect de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, des manquements à la protection des données suivants qu’ils constatent[3] :
Sur la base de ces informations, la CNIL peut utiliser ses pouvoirs de contrôle et de sanction.
On se souvient que les deux autorités avaient déjà signé une convention de coopération avec l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) en juin 2024, visant à encadrer les modalités de leur coopération pour la mise en œuvre du DSA.
Ce nouveau protocole entre la CNIL et la DGCCRF complète cette convention, et s’inscrit plus largement dans la logique de renforcement de la collaboration entre l’ensemble des autorités et services chargés de la régulation du numérique, comme le prévoit la loi visant à sécuriser et à réguler l'espace numérique (SREN)./.
[1] Décision MED-2017-073 du 17 juillet 2018, clôture de la décision n°MED-2017-073 du 20 novembre 2017.
[2] Décision MED-2017-073 du 20 novembre 2017 mettant en demeure la société Genesis Industries Limited.
[3] CNIL, DGCCRF, « Signature du protocole de coopération pour la protection des données personnelles des consommateurs sur internet », 6 janvier 2011