Pa Gérard HAAS et Alexandre LOBRY
Le Règlement général sur la protection des données dit RGPD est un règlement européen qui a pour but d’encadrer le traitement des données personnelles de manière égalitaire sur tout le territoire de l’Union européenne.
Depuis le 25 mai 2018, date de l’entrée en vigueur du RGPD, la Commission nationale de l’informatique et des libertés (CNIL) a reçu plus de 6 000 plaintes.
Cette autorité accompagne les professionnels dans leurs mises en conformité au RGPD ; mais elle sanctionne également ces derniers en cas de non-respect des droits personnels du citoyen.
1. Des sanctions graduelles offertes à la CNIL
A l’issue de contrôles ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL peut prononcer les sanctions suivantes :
-
Prononcer un rappel à l’ordre ;
-
Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
-
Limiter temporairement ou définitivement un traitement ;
-
Suspendre les flux de données ;
-
Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
-
Prononcer une amende administrative. Cette sanction administrative peut être de deux ordres :
-
Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default, en matière de PIA, etc. ;
-
Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).
Dans chacun des cas, le montant le plus élevé est celui pris en compte.
2. Des exemples de sanctions
Certes depuis la mise en place du RGPD, la CNIL n’a pas eu encore l’occasion de prononcer les amendes décrites ci-dessus. Il n’en demeure pas moins que pour des faits antérieurs à la mise en place du RGPD, elle a pu prononcer des amendes sévères à l’encontre de grandes entreprises :
-
Le 20 décembre 2018, elle a prononcé à l’encontre de la société UBER une amende de 400 000 euros pour atteinte à la sécurité des données de ses utilisateurs.
-
Le 26 décembre 2018, elle a prononcé à l’encontre de la société BOUYGUES TELECOM une amende de 250 000 euros pour avoir insuffisamment protégé les données de clients B&You.[1]
-
Le 24 juillet 2018, elle a prononcé à l’encontre de la société DAILYMOTION une amende de 50 000 euros pour avoir insuffisamment sécurisé les données des utilisateurs inscrits sur sa plateforme d’hébergement de contenus vidéo.[2]
-
Le 21 janvier 2019, la CNIL a adressé une amende d’un montant de 50 millions d’euros à l’encontre de Google (soit près de 4 fois le montant de l’impôt sur les sociétés payé par Google en France en 2017), considérant que le ciblage publicitaire que la société réalise sur son système d’exploitation Android n’est pas conforme au RGPD.
3. Des sanctions pénales possibles
L’article 84 1° du Règlement énonce que les États peuvent déterminer le régime des sanctions applicables en cas de violation des obligations prévues, autres que les sanctions administratives.
Les sanctions pénales en cas de manquement aux règles en matière de protection des données sont déjà prévues en droit français et réprimées par les articles 226-16 à 226-24 du Code pénal. Celles-ci peuvent aller jusqu’à une amende de 300 000 euros et 5 ans d’emprisonnement.
***
Pour en savoir plus sur le RGPD, cliquez ici
***