Par Gérard Haas et Virgile Servant Volquin
Depuis l’entrée en vigueur du RGPD le 25 mai 2018, et la subséquente réforme de la Cnil en 2019, les pouvoirs de sanction de la Cnil ont été considérablement augmentés. Nous vous les détaillons ici.
En outre, la Cnil fait preuve d’un activisme assumé dans la mise en œuvre de sanctions exemplaires. Elle a ainsi prononcé pour 138,5 millions d’euros d’amende en 2020 contre 51,4 en 2019. Ce montant est principalement constitué de deux sanctions record, l’une contre Google, l’autre contre Amazon.
Les sanctions administratives prévues par le RGPD
Sur les quinze sanctions rendues par la Cnil depuis l’application du RGPD, neuf ont été rendues en partie au moins pour non-conformité à l’article 32 du RGPD. Celui-ci prévoit que le responsable du traitement des données est tenu de garantir la sécurité du traitement et en conséquence de :
- Procéder à la pseudonymisation et au chiffrage des données personnelles
- Mettre en place les moyens de garantie de la confidentialité et de l’intégrité des systèmes de traitement
- Mettre en place des moyens permettant de remédier rapidement à un incident physique ou technique
- Mettre en place une procédure de test de l’efficacité des mesures ci-dessus.
Le niveau de sécurité est décidé après l’évaluation des risques qui pèse en cas de fuite des données, notamment via la réalisation d’un audit de conformité RGPD.
Deux sources de risque juridique pèsent sur votre entreprise en cas de grave manquement à ses obligations de sécurité.
- D’une part, en vertu de l’article 82 du RGPD, toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement a le droit d’obtenir réparation.
- Le responsable du traitement est toutefois exonéré de sa responsabilité s’il parvient à prouver que le fait dommageable ne lui est pas imputable.
- Il s’agit donc d’un régime de responsabilité sans faute : il s’agit pour l’utilisateur du site de démontrer un dommage, un fait générateur, ainsi qu’un lien entre les deux.
- D’autre part, en vertu de l’article 83 du RGPD, la Cnil dispose du pouvoir d’imposer des sanctions administratives dans la mesure où celles-ci sont proportionnées et dissuasives. Le régime de la sanction diffère de celui de la responsabilité :
- Lors de la modulation de la sanction, l’autorité prend en compte plusieurs facteurs comme la nature et la gravité de la violation, le niveau de dommages que les personnes concernées ont subi ou encore les catégories de données personnelles touchées.
- Le dommage est donc un des critères pris en compte par la Cnil, mais il n’est pas la condition sine qua non du prononcé d’une amende administrative.
La notion de risque potentiel
Pourquoi cette distinction entre le risque et le dommage ?
En droit de la responsabilité, un dommage direct, légitime et certain doit nécessairement être démontré pour engager la responsabilité du responsable de traitement.
En droit administratif, ce n’est pas la Cnil qui subit le dommage, mais les personnes concernées par le traitement de leurs données. La Cnil vise donc à sanctionner le risque potentiel qui repose sur les utilisateurs d’un service dont le responsable de traitement ne respecte pas ses obligations de moyens.
En pratique, le prononcé d’une sanction administrative pour défaut de sécurité est très corrélé à l’existence d’un dommage certain, celui-ci étant le principal moyen d’apprécier la nature et la gravité d’un manquement. La Cnil a à ce titre sanctionné :
- Dailymotion, à hauteur de 500.000 euros pour une fuite de données caractérisée vers les Etats-Unis.
- Un médecin, à hauteur de 3.000 euros, qui n’avait pas suffisamment sécurisé les accès de sa box internet par un mot de passe wifi, ce qui a permis le téléchargement non autorisé de données à caractère médical.
- Un responsable de traitement et son sous-traitant, à hauteur de 150.000 et 75.000 euros, qui avaient insuffisamment protégé leur site contre des attaques de type credential stuffing qui ont occasionné des fuites de données personnelles.
Exceptionnellement, la Cnil sanctionne des responsables de traitement pour le risque potentiel de réalisation d’un dommage du fait de la gravité particulière des manquements.
- Une société d’assurance française, à hauteur de 180.000 euros, pour une faille de sécurité permettant à n’importe quel utilisateur de récupérer des documents sensibles comme des RIB ou des permis de conduire.
- Un administrateur de biens, à hauteur de 400.000 euros, pour un défaut de sécurité permettant de récupérer des documents tels que des fiches de paie, contrat de travail ou encore des avis d’imposition directement sur le web.
La question de la preuve du dommage
La Cnil prononce donc des sanctions administratives de manière discrétionnaire en fonction des circonstances de l’affaire.
Pourtant, la preuve de la possibilité d’accéder à des données personnelles, comme démontrée lors du contrôle de la Cnil sur le site de la société d’assurance et de l’administrateur ne vaut pas la preuve que les données ont été effectivement téléchargées par un tiers non autorisé.
En réalité, la Cnil sanctionne ici des manquements extrêmement graves du fait de l’insuffisance caractérisée des moyens de sécurité mis en œuvre pour protéger des données très sensibles. Elle présume le dommage du fait de l’existence d’un risque potentiel tellement élevé de fuite des données qu’il est hautement improbable qu’un utilisateur « moyen » n’ait pas réussi à mettre la main sur ces données par le même procédé. Les informations étaient en effet directement référencées et téléchargeables sur le web.
Ces sanctions sont données à titre d’exemple, pour inciter les acteurs à sécuriser correctement leurs données personnelles. Pour des données moins sensibles et des failles de sécurité moins importantes, il est probable que la Cnil choisisse la voie de la pédagogie et préfère une injonction de mettre le traitement en conformité, sauf à ce que le risque potentiel de fuite se soit matérialisé par un dommage.
Ainsi, si vous êtes responsable du traitement de données sensibles, telles que des documents révélant les opinions politiques, l’état de santé ou encore les coordonnées bancaires et personnelles d’une personne, il vous appartient d’être particulièrement au fait de la gestion des risques liés à une fuite de données et de vous conformer aux exigences de sécurité de l’article 32 du RGPD.
***
Le cabinet Haas Avocats vous accompagne dans la protection de vos données. Pour en savoir plus, rendez-vous ici.