Carnets
TRIBUNE – RGPD – 8 mois après : un bilan et une amende record !!

TRIBUNE – RGPD – 8 mois après : un bilan et une amende record !!

Dans son rapport pour l’année 2018, la CNIL (Commission nationale de l’informatique et des libertés) a partagé les résultats d’un sondage IFOP, dans lequel 66 % des français se disent « plus sensibles que ces dernières années à la protection de leurs données personnelles ». Depuis le 25 mai 2018, en huit mois, l’autorité a reçu « entre 1200 et 1300 notifications » soit plus de cinq par jour en moyenne.

D’une part, la CNIL ne concentre pas uniquement son contrôle sur les grandes entreprises dont le modèle économique se base sur le traitement des données personnelles. En effet, les PME (petites et moyennes entreprises) et TPE (très petites entreprises), utilisant des données à caractère personnel, sont également en ligne de mire du contrôle de la CNIL.

La Commission met en avant une responsabilité toujours plus forte pour les entreprises mettant en œuvre des traitements de données personnelles, en les invitant à être dans une démarche continue, notamment par le biais d’une analyse régulière de leurs systèmes informatiques. Et ainsi, être au plus près des objectifs posés par le Règlement général sur la protection des données. La CNIL contrôle ainsi le respect des principes fondamentaux de la protection des données.

D’autre part, le RGPD a mis à la disposition de la CNIL un important arsenal de sanctions. En effet, en cas de constatation de violation des données à caractère personnel, les sanctions sont dissuasives : allant de 10 à 20 millions d’euros ou 2 à 4 % du chiffre d’affaires mondial selon les différentes violations de la réglementation. A ces sanctions administratives, des sanctions pénales peuvent s’ajouter s’échelonnant jusqu’à 300 000 euros et 5 ans d’emprisonnement.

Cependant la plupart des amendes récemment prononcées par la CNIL, l’ont été sous l’empire de la loi Informatique et Libertés de 1978. Cette dernière a été amendée par la loi du 20 juin 2018 sur la protection des données qui a permis de l’adapter au Règlement européen. Pour éviter les conflits de texte, une Ordonnance du 12 décembre 2018 a mis en conformité les lois françaises avec le texte européen.

A titre d’exemple, deux semaines après l’entrée en vigueur du RGPD, un premier cas de sanction a été relevé en France. En effet, la CNIL a prononcé une amende de 250 000 euros à l’encontre de la société OPTICAL CENTER. Puis, le 19 décembre 2018, la CNIL inflige une sanction de 400 000 euros à la société UBER. Enfin, le 26 décembre dernier, la CNIL a prononcé une sanction pécuniaire de 250 000 euros, à l’encontre de la société BOUYGUES TELECOM. L’ensemble de ces sanctions ont été prononcées en raison d’un manquement à l’obligation d’assurer la sécurité et la confidentialité des données.
Ces décisions portent sur des manquements antérieurs à la mise en œuvre du RGPD et donc en application de l’ancien régime. En conséquence, les sanctions prononcées auraient pu être encore plus lourdes, si les manquements avaient été constatés après le 25 mai 2018.

La première condamnation sous l’égide du RGPD a été prononcée par la CNIL, le 21 janvier 2019, une amende de 50 millions d’euros à l’encontre de la société GOOGLE LLC. La CNIL fait application, pour la première fois, les sanctions prévues par le RGPD. La CNIL justifie ce montant par la gravité des manquements constatés au titre des principes de transparence, d’information et de consentement des utilisateurs. La société GOOGLE LLC a décidé, le 23 janvier 2019, de faire appel de la décision de la CNIL devant le Conseil d’Etat.

Ainsi, la CNIL n’hésite plus à appliquer des montants très importants de sanction. Or, à ce jour, encore trop d’entreprises ne sont pas aux normes du RGPD, il est alors nécessaire pour elles de s’y conformer, notamment à l’aide de professionnels dédiés à l’encadrement et la valorisation des données personnelles.

 

Ludovic de la MONNERAYE
VAUGHAN AVOCATS – Bureau de Rennes