Par Frédéric PICARD et Bastien EYRAUD
Avec l’entrée en vigueur du Règlement européen sur la protection des données (ci-après intitulé RGPD), les sanctions financières susceptibles d’être prononcées contre les entreprises sont démultipliées : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.
Ces montants sont sans doute à l’origine du véritable phénomène médiatique dont a fait l’objet ce Règlement. En effet, lors de son entrée en vigueur en mai 2018, le RGPD a fait couler trois fois plus d’encre que Mark Zuckerberg[1] et a devancé des superstars américaines telles que Beyonce ou Kim Kardashian en termes de requêtes sur le moteur de recherche Google [2].
1. La quasi-totalité des entreprises concernées
Le montant des sanctions encourues a de quoi donner des sueurs froides aux entreprises traitant des données personnelles, et elles sont nombreuses. Rappelons que la définition de « donnée à caractère personnel » couvre toute donnée permettant d’identifier directement ou indirectement une personne. C’est par exemple le cas du nom, prénom, adresse mail, numéro de sécurité sociale d’une personne, mais également des données récoltées par les cookies présents sur la plupart des sites internet.
La CNIL (Commission Nationale de l’Informatique et des Libertés) estime même que les données relatives aux trajets en voiture, à l’état d’usage des pièces, aux dates des contrôles techniques, au nombre de kilomètres ou au style de conduite constituent également des données personnelles lorsqu’elles sont susceptibles d’être rattachées à une personne physique[3].
Les objectifs et enjeux du RGPD sont clairs : protéger et renforcer les droits des utilisateurs, assurer la confiance et responsabiliser les entreprises dans le traitement des données à caractère personnel.
2. Une nouvelle gradation des sanctions
Par anticipation de l’entrée en vigueur du RGPD, les sanctions prévues par la Loi informatique et libertés du 6 janvier 1978 avaient été peu à peu renforcées.
A l’origine, le montant des sanctions ne pouvait excéder 150.000 euros pour un premier manquement. En cas de récidive dans les cinq ans à compter de la date du prononcé de la sanction devenue définitive, le montant ne pouvait excéder 300.000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300.000 euros.
Puis la loi pour une République numérique du 7 octobre 2016 était venue renforcer le pouvoir de sanction de la CNIL, en hissant ce plafond de 150.000 euros à 3 millions d’euros.
Adopté le 27 avril 2016, le RGPD prévoit des sanctions beaucoup plus dissuasives :
- Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default, en matière de PIA, etc. ;
- Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).
Dans chacun des cas, le montant le plus élevé est celui pris en compte.
3. Des sanctions administratives mais également pénales
Si la plupart des communicants sur le sujet insistent plus particulièrement sur les sanctions administratives, les sanctions pénales ne sont pas en reste. En effet, l’article 84 1° du Règlement énonce que les Etats peuvent déterminer le régime des sanctions applicables en cas de violation des obligations prévues autres que les sanctions administratives.
Les sanctions pénales en cas de manquement aux règles en matière de protection des données sont déjà prévues en droit français et réprimées par les articles 226-16 à 226-24 du Code pénal. Elles peuvent être résumées dans le tableau suivant :
Infraction |
Textes |
Peines |
Non-respect des formalités préalables |
Articles 226-16 du Code pénal |
300.000 euros d’amende et 5 ans d’emprisonnement |
Non-respect de l’article 34 de la Loi Informatique et Libertés relatif à l’obligation de sécurité |
Articles 226-17 et 226-17-1 du Code pénal |
300.000 euros d’amende et 5 ans d’emprisonnement |
Détournement de la finalité du traitement de données personnelles |
Article 226-21 du Code pénal |
300.000 euros d’amende et 5 ans d’emprisonnement |
Procéder à un transfert de données transfrontier contrevenant aux mesures prises par la Commission des Communautés européennes ou à l’article 70 de la Loi Informatique et Libertés |
Article 226-22-1 du Code pénal |
300.000 euros d’amende et 5 ans d’emprisonnement |
Absence d’information des personnes concernées |
Article R. 625-10 du Code pénal |
1.500 euros d’amende par infraction constatée |
Non-respect des droits des personnes |
Article R. 625-11 du Code pénal |
1.500 euros d’amende par infraction constatée |
Autant de nouvelles mesures qui exigent que les entreprises se plient au jeu de la mise en conformité, si elles ne veulent pas se voir infliger l’une et/ou l’autre de ces sanctions.
4. Des sanctions qui portent atteinte à la réputation des entreprises
La CNIL peut désormais ordonner aux entreprises sanctionnées d’informer les personnes dont les données ont fait l’objet du manquement à leurs obligations, et ceci aux frais de l’entreprise. De plus, dans le cadre des procédures de sanction, la CNIL peut diffuser un communiqué officiel détaillant le manquement aussitôt relayé par la presse à l’ensemble de la population.
L’image de l’entreprise, en terme de sécurité et de confiance notamment en souffre énormément : c’est ainsi que 86% des français considèrent que les entreprises exploitent les données personnelles de leurs clients sans leur consentement[4].
En outre, l’obligation de conformité au RGPD ne s’adresse pas qu’aux grandes entreprises. 3 start-ups françaises sur 4 ne seraient pas encore en conformité avec la réglementation[5].
5. Les sanctions déjà prononcées en Europe
- La plus élevée : la sanction de 50 000 000€ prononcée contre Google par la CNIL le 21 janvier 2019 pour avoir manqué de transparence en n’informant pas de manière suffisamment claire les utilisateurs et pour n’avoir pas recueilli de manière éclairée, spécifique et sans équivoque le consentement des personnes concernées par le traitement.
- La première prononcée en Europe : la CNIL du Portugal, la Comissão Nacional de Proteção de Dados, a infligé des amendes pour un montant de total de 400 000 € à l’Hôpital de Barreiro pour violation des principes d’intégrité et de confidentialité des données, violation du principe de limitation d’accès aux données et pour l’incapacité de l’hôpital à garantir la confidentialité et l’intégrité des données.
- La première prononcée en France: 250 000 € pour une atteinte à la sécurité des données des clients du site internet de la société Optical Center. La CNIL considère que l’entreprise n’a pas suffisamment sécurisé les données de ses clients effectuant une commande en ligne à partir de son site internet.
- La plus discutable: L’autorité polonaise de protection des données a prononcé sa première amende (220 000€) sous l’empire du RGPD contre une société de marketing digital, pour ne pas avoir informé les personnes concernées du traitement de leurs données conformément à l’article 14 du Règlement. L’entreprise aurait dû informer individuellement l’ensemble des 6 millions de personnes dont elle a obtenu les données personnelles (dont l’adresse postale et le numéro de téléphone) grâce à l’open data public et non seulement celles dont elle disposait de l’adresse email. L’entreprise s’est contentée de publier l’information sur son site internet face au coût énorme que représentait une information individuelle[6].
Depuis près de vingt ans aux côtés des acteurs du digital et de l’innovation, le Cabinet HAAS Avocats, labélisé CNIL, se tient à votre disposition pour vous assister dans la mise en conformité au RGPD de vos traitements de données. Pour plus d’informations, cliquez ici.
[1] https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf
[2] https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf
[3] https://www.cnil.fr/fr/vehicules-connectes-un-pack-de-conformite-pour-une-utilisation-responsable-des-donnees
[4] https://www.misakey.com/docs/SyntheseEtude.pdf
[5] https://globaldatareview.com/article/1189298/bisnode-receives-first-polish-gdpr-fining-decision-over-scraped-data