Avec l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018, le montant des sanctions pouvant être prononcées par les autorités de contrôle (dont la CNIL) a été décuplé. De 150.000 à 3 millions d’euros au maximum avec la loi Informatique et Libertés - version pré-RGPD, le montant des amendes administratives peut désormais atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise. Cependant, un an après l’entrée en application du RGPD, 30% des entreprises européennes ne seraient toujours pas en conformité avec le règlement. (1)
La mise en conformité au RGPD est cependant une procédure souvent lourde et coûteuse pour les organismes. Elle implique la revue des process internes, depuis le développement des nouveaux produits ou services (application du principe de “privacy by design” et le cas échéant réalisation d’une analyse d’impact ou PIA), à la révision des produits et services existant et la création de documents de suivi de conformité (registre des traitements notamment).
Les risques de non-conformité à la réglementation sur la protection des données sont nombreux et les sanctions alourdies. L’action répressive de la CNIL comprend toutefois plusieurs étapes avant la prononciation éventuelle d’une sanction pécuniaire.
1. Non-conformité et infractions à la règlementation sur la protection des données personnelles
La règlementation sur la protection des données personnelles s’est considérablement étoffée avec l’entrée en application du RGPD.
1.1 Les exemples de non-conformité
Les organismes ont disposé de deux ans, entre la date de publication du RGPD le 27 avril 2016 et son entrée en application le 25 mai 2018, pour mettre leurs activités de traitement de données personnelles en conformité. Les autorités de contrôle ont par la suite décidé d’appliquer une approche pédagogique pendant la première année d’application du RGPD. Un an après, les organismes doivent désormais être en conformité.
La liste des cas de non-conformité au RGPD est longue. On peut citer, entre autre :
- le défaut d’information des personnes concernées,
- la collecte frauduleuse, déloyale ou illicite de données personnelles,
- le détournement de finalité,
- la poursuite d’un traitement en dépit de l’opposition de la personne concernée,
- la conservation des données pour une durée non limitée,
- la conservation illicite de données sensibles,
- la poursuite d’un traitement interdit,
- le traitement illicite du NIR,
- le défaut de sécurité,
- le défaut de notification à l’autorité de contrôle en cas de violation de données,
- ou le transfert non autorisé de données en dehors de l’Union européenne.
1.2 Le montant des sanctions alourdi
Le montant des sanctions pouvant être prononcées a été significativement alourdi, passant de 150.000 euros à 3 millions d’euros en octobre 2016, avec l’entrée en vigueur de la loi pour une république numérique (2), puis à 10 millions d’euros ou 2% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise avec le RGPD. (3)
Cette évolution du montant des sanctions pécuniaires est le reflet des risques croissants qui pèsent sur les personnes en cas de traitements illicites de leurs données, facilités par les développements des technologies (collecte à l’insu des personnes, détournement de finalité, etc.).
Alors qu’avant le RGPD, les sanctions prononcées en France par la CNIL atteignaient rarement quelques dizaines de milliers d’euros, la première sanction pécuniaire prononcée par la formation restreinte de la CNIL en application du RGPD s’est élevée à 50 millions d’euros. Cette amende a été prononcée à l’encontre de la société Google en janvier 2019, pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. (4) Plus récemment, la formation restreinte de la CNIL a condamné la société de gestion immobilière Sergic à 400.000€ d’amende pour atteinte à la sécurité des données et non respect des durées de conservation. (5) Enfin, la société Active Assurances vient d’être condamnée à une amende de 180.000€ pour atteinte à la sécurité des données de ses clients. (6)
2. L’action répressive de la CNIL
Les Etats-membres prennent toutes les mesures nécessaires pour la mise en oeuvre du respect du règlement. En cas de sanction, celle-ci doit être effective, proportionnée et dissuasive. (7)
L’action répressive de la CNIL est définie aux articles 20 et suivants de la loi Informatique et Libertés, modifiée. Celle-ci comprend trois étapes, que l’on peut synthétiser comme suit :
1ère étape - Le signalement
La CNIL prend connaissance des potentiels manquements à la réglementation sur la protection des données par différents canaux d’information, à savoir :
- Les plaintes reçues par la CNIL : toute personne, en qualité de consommateur, client, salarié, citoyen, etc. dont les données personnelles ont été collectées et ont fait l’objet d’un traitement, peut déposer une plainte à la CNIL, via le site de la Commission, en cas de violation du RGPD par un responsable de traitement (site e-commerce, banque, administration, association, etc.).
- Les informations publiées dans la presse ou sur internet : les articles de presse ou posts sur les réseaux peuvent alerter la CNIL sur les pratiques de certaines sociétés ou sur des failles de sécurité par exemple.
- L’auto-saisine par la CNIL : chaque année, la CNIL définit un programme de contrôles pour l’année en cours, avec des thèmes identifiés comme prioritaires. Par exemple, la CNIL a identifié le contrôle des relations entre les responsables de traitements et les sous-traitants (répartition des responsabilités) et les traitements de données de mineurs comme thèmes prioritaires de ses contrôles pour 2019. A ce titre, la CNIL peut ainsi effectuer des contrôle par auto-saisine sur des organismes mettant en oeuvre des traitements identifiés dans ses thèmes prioritaires.
- La coopération entre les autorités de contrôle européennes : le RGPD prévoit une plus grande coordination entre les autorités de contrôle des Etats-membres. Par exemple, en cas de plainte de la part d’un ou plusieurs consommateurs ou salariés d’un pays à l’encontre d’une société présente dans plusieurs Etats membres, l’autorité de contrôle de ce pays peut désormais signaler ladite plainte à la CNIL si des consommateurs ou salariés sont concernés en France.
2ème étape - Le contrôle
La procédure de contrôle peut se dérouler comme suit :
- Le contrôle en ligne, si les manquements signalés sont visibles à distance ;
- Le contrôle sur place, dans les locaux de l’organisme. Dans ce cas, le contrôleur demandera au responsable du traitement de contrôler les traitements de données mis en oeuvre. par l’organisme ;
- La convocation, avec audition des personnes responsables des organismes concernés.
Ces trois procédures de contrôle font l’objet d’un procès-verbal identifiant les éléments contrôlés et les manquements éventuellement constatés.
- Le contrôle sur pièces. Ce type de contrôle est réalisé suite à l’envoi de questions écrites et la demande de documents au responsable du traitement.
3ème étape - Les suites du contrôle
Suite au contrôle effectué par les agents de la CNIL, deux issues sont possibles :
- Le contrôle a donné lieu à pas ou peu d’observations. Le dossier est alors clôturé et l’organisme contrôlé reçoit la notification de ladite clôture.
- Si des manquements sérieux à la règlementation sont avérés, deux cas de figure peuvent alors se présenter :
La présidente de la CNIL peut prononcer une mise en demeure. La mise en demeure peut être publique (par voie de communiqué), la publicité ayant un double effet - d’alerte et pédagogique, pour tout organisme qui serait dans une situation similaire. L’organisme en cause dispose alors d’un délai pour se mettre en conformité, auquel cas, le dossier est clôturé. (8)
Par exemple, le 25 septembre 2018, la présidente de la CNIL a mis en demeure cinq société des groupes Humanis et Malakoff-Médéric pour détournement de la finalité des traitements des assurés. Les sociétés s’étant mises en conformité (modification du système informatique, suppression des données acquises illégalement, formation interne à la protection des données personnelles), les procédures de mises en demeure ont été clôturées le 21 février 2019. (9)
Le 8 novembre 2018, la présidente de la CNIL a mis en demeure la société Vectaury pour absence de recueil du consentement des utilisateurs au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire. Suite à cette mise en demeure, la société Vectaury s’étant mise en conformité (affichage d’une bannière informative lors de l’installation des applications mobiles pour recueillir le consentement des utilisateurs), la procédure de mise en demeure a été clôturée le 26 février 2019. (10)
La formation restreinte de la CNIL, exerçant une fonction juridictionnelle, peut prononcer une sanction si l’organisme ne se met pas en conformité suite à la mise en demeure de la présidente de la CNIL. La formation restreinte peut également prononcer directement une sanction contre l’organisme en cause, sans mise en demeure préalable. (11)
La sanction peut être de nature pécuniaire pour les manquements les plus graves (montants définis par le RGPD), ou non pécuniaire (rappel à l’ordre, injonction sous astreinte, etc.). Enfin, les sanctions peuvent être publiques (par voie de communiqué et par la publication de la résolution sur le site de la CNIL et sur Légifrance) ou non publiques.
Les sanctions prononcées par la CNIL peuvent faire l’objet d’un recours par l’organisme sanctionné devant le Conseil d’Etat dans un délai de deux mois.
* * * * * * * * * * *
(1) “RGPD : près d’un tiers des entreprises non conformes”, Le Monde Informatique, 26 juillet 2019
(2) Loi n°2016-1321 du 7 octobre 2016 pour une république numérique, ancien article 47 al.2 de la loi Informatique et Libertés
(3) Art. 83.5 et 6 du RGPD
(4) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC
(5) Délibération de la formation restreinte n°SAN-2019-005 du 28 mai 2019 prononçant une sanction pécuniaire à l’encontre de la société Sergic
(6) Délibération de la formation restreinte n°SAN-2019-007 du 18 juillet 2019 prononçant une sanction pécuniaire à l’encontre de la société Active Assurances
(7) RGPD, art. 84 (1)
(8) Le délai pour se mettre en conformité est fixé par la présidente. Il varie généralement entre 6 et 12 mois - mais ce délai peut être beaucoup plus court en cas d’urgence par exemple
(9) (Communication de la CNIL sur la clôture des mises en demeure à l’encontre des sociétés des groupes Humanis et Malakoff-Médéric, Site de la CNIL)
(10) (Communication de la CNIL sur la clôture de la mise en demeure à l’encontre de la société Vectaury, Site de la CNIL)
(11) La formation restreinte de la CNIL est un collège spécifique composé de 6 membres. Elle est chargée de mener les procédures de non-conformité au RGPD et à la loi Informatique et Libertés et, le cas échéant, de prononcer des sanctions pécuniaires.
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Août 2019
