RGPD : Focus sur les sanctions

RGPD : Focus sur les sanctions
⏱ Lecture 5 min

Par Frédéric PICARD et Bastien EYRAUD

Avec l’entrée en vigueur du Règlement européen sur la protection des données (ci-après intitulé RGPD), les sanctions financières susceptibles d’être prononcées contre les entreprises sont démultipliées : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.

 

 

 

Ces montants sont sans doute à l’origine du véritable phénomène médiatique dont a fait l’objet ce Règlement. En effet, lors de son entrée en vigueur en mai 2018, le RGPD a fait couler trois fois plus d’encre que Mark Zuckerberg[1] et a devancé des superstars américaines telles que Beyonce ou Kim Kardashian en termes de requêtes sur le moteur de recherche Google [2].

1. La quasi-totalité des entreprises concernées

Le montant des sanctions encourues a de quoi donner des sueurs froides aux entreprises traitant des données personnelles, et elles sont nombreuses. Rappelons que la définition de « donnée à caractère personnel » couvre toute donnée permettant d’identifier directement ou indirectement une personne. C’est par exemple le cas du nom, prénom, adresse mail, numéro de sécurité sociale d’une personne, mais également des données récoltées par les cookies présents sur la plupart des sites internet.

La CNIL (Commission Nationale de l’Informatique et des Libertés) estime même que les données relatives aux trajets en voiture, à l’état d’usage des pièces, aux dates des contrôles techniques, au nombre de kilomètres ou au style de conduite constituent également des données personnelles lorsqu’elles sont susceptibles d’être rattachées à une personne physique[3].

Les objectifs et enjeux du RGPD sont clairs : protéger et renforcer les droits des utilisateurs, assurer la confiance et responsabiliser les entreprises dans le traitement des données à caractère personnel.

2. Une nouvelle gradation des sanctions

Par anticipation de l’entrée en vigueur du RGPD, les sanctions prévues par la Loi informatique et libertés du 6 janvier 1978 avaient été peu à peu renforcées.

A l’origine, le montant des sanctions ne pouvait excéder 150.000 euros pour un premier manquement. En cas de récidive dans les cinq ans à compter de la date du prononcé de la sanction devenue définitive, le montant ne pouvait excéder 300.000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300.000 euros.

Puis la loi pour une République numérique du 7 octobre 2016 était venue renforcer le pouvoir de sanction de la CNIL, en hissant ce plafond de 150.000 euros à 3 millions d’euros.

Adopté le 27 avril 2016, le RGPD prévoit des sanctions beaucoup plus dissuasives :

  • Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default, en matière de PIA, etc. ;
  • Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).

Dans chacun des cas, le montant le plus élevé est celui pris en compte.

5 questions à se poser avant de nommer un DPO

3. Des sanctions administratives mais également pénales

Si la plupart des communicants sur le sujet insistent plus particulièrement sur les sanctions administratives, les sanctions pénales ne sont pas en reste. En effet, l’article 84 1° du Règlement énonce que les Etats peuvent déterminer le régime des sanctions applicables en cas de violation des obligations prévues autres que les sanctions administratives.

Les sanctions pénales en cas de manquement aux règles en matière de protection des données sont déjà prévues en droit français et réprimées par les articles 226-16 à 226-24 du Code pénal. Elles peuvent être résumées dans le tableau suivant :

Infraction

Textes

Peines

Non-respect des formalités préalables

Articles 226-16 du Code pénal

300.000 euros d’amende et 5 ans d’emprisonnement

Non-respect de l’article 34 de la Loi Informatique et Libertés relatif à l’obligation de sécurité

Articles 226-17 et 226-17-1 du Code pénal

300.000 euros d’amende et 5 ans d’emprisonnement

Détournement de la finalité du traitement de données personnelles

Article 226-21 du Code pénal

300.000 euros d’amende et 5 ans d’emprisonnement

Procéder à un transfert de données transfrontier contrevenant aux mesures prises par la Commission des Communautés européennes ou à l’article 70 de la Loi Informatique et Libertés

Article 226-22-1 du Code pénal

300.000 euros d’amende et 5 ans d’emprisonnement

Absence d’information des personnes concernées

Article R. 625-10 du Code pénal

1.500 euros d’amende par infraction constatée

Non-respect des droits des personnes

Article R. 625-11 du Code pénal

1.500 euros d’amende par infraction constatée

Autant de nouvelles mesures qui exigent que les entreprises se plient au jeu de la mise en conformité, si elles ne veulent pas se voir infliger l’une et/ou l’autre de ces sanctions.

4. Des sanctions qui portent atteinte à la réputation des entreprises

La CNIL peut désormais ordonner aux entreprises sanctionnées d’informer les personnes dont les données ont fait l’objet du manquement à leurs obligations, et ceci aux frais de l’entreprise. De plus, dans le cadre des procédures de sanction, la CNIL peut diffuser un communiqué officiel détaillant le manquement aussitôt relayé par la presse à l’ensemble de la population.

L’image de l’entreprise, en terme de sécurité et de confiance notamment en souffre énormément : c’est ainsi que 86% des français considèrent que les entreprises exploitent les données personnelles de leurs clients sans leur consentement[4].

En outre, l’obligation de conformité au RGPD ne s’adresse pas qu’aux grandes entreprises. 3 start-ups françaises sur 4 ne seraient pas encore en conformité avec la réglementation[5].

5. Les sanctions déjà prononcées en Europe

  • La plus élevée : la sanction de 50 000 000€ prononcée contre Google par la CNIL le 21 janvier 2019 pour avoir manqué de transparence en n’informant pas de manière suffisamment claire les utilisateurs et pour n’avoir pas recueilli de manière éclairée, spécifique et sans équivoque le consentement des personnes concernées par le traitement.
  • La première prononcée en Europe : la CNIL du Portugal, la Comissão Nacional de Proteção de Dados, a infligé des amendes pour un montant de total de 400 000 € à l’Hôpital de Barreiro pour violation des principes d’intégrité et de confidentialité des données, violation du principe de limitation d’accès aux données et pour l’incapacité de l’hôpital à garantir la confidentialité et l’intégrité des données.
  • La première prononcée en France: 250 000 € pour une atteinte à la sécurité des données des clients du site internet de la société Optical Center. La CNIL considère que l’entreprise n’a pas suffisamment sécurisé les données de ses clients effectuant une commande en ligne à partir de son site internet.
  • La plus discutable: L’autorité polonaise de protection des données a prononcé sa première amende (220 000€) sous l’empire du RGPD contre une société de marketing digital, pour ne pas avoir informé les personnes concernées du traitement de leurs données conformément à l’article 14 du Règlement. L’entreprise aurait dû informer individuellement l’ensemble des 6 millions de personnes dont elle a obtenu les données personnelles (dont l’adresse postale et le numéro de téléphone) grâce à l’open data public et non seulement celles dont elle disposait de l’adresse email. L’entreprise s’est contentée de publier l’information sur son site internet face au coût énorme que représentait une information individuelle[6].

 

Depuis près de vingt ans aux côtés des acteurs du digital et de l’innovation, le Cabinet HAAS Avocats, labélisé CNIL, se tient à votre disposition pour vous assister dans la mise en conformité au RGPD de vos traitements de données. Pour plus d’informations, cliquez ici.

 

 

[1] https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf

[2] https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf

[3] https://www.cnil.fr/fr/vehicules-connectes-un-pack-de-conformite-pour-une-utilisation-responsable-des-donnees

[4] https://www.misakey.com/docs/SyntheseEtude.pdf

[5] https://globaldatareview.com/article/1189298/bisnode-receives-first-polish-gdpr-fining-decision-over-scraped-data

 

Frédéric PICARD

Auteur Frédéric PICARD

Suivez-nous sur Linkedin