Rétrospective : Décisions rendues par les APD européennes depuis l’entrée en vigueur du RGPD (1/2)
Notions clés :
RGPD ou Règlement Général (UE) n°2016/679 relatif à la Protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données : est applicable à toute entreprise établie sur le sol européen ou offrant des biens et services aux citoyens européens (ex : entreprise n’ayant pas de magasin physique dans l’UE mais dont la boutique en ligne affiche les prix en euros ou est disponible dans l’une des 24 langues officielles de l’UE). Le RGPD a pour objectif de replacer la personne concernée au centre de ses données en lui octroyant certains droits et en responsabilisant les organisations (qui doivent engager un processus de mise en conformité avec le RGPD).
Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée (ex : nom, prénom, adresse mail) ou identifiable (ex : numéro de téléphone, numéro de sécurité sociale ou recoupement d’informations).
CNIL ou Commission Nationale Informatique et Libertés : créée par la loi LIL (Loi Informatique et Libertés) n°78–17, prise dans sa rédaction en date du 6 janvier 1978. La CNIL est l’ADP (Autorité de Protection des Données) nationale en charge de la contrôler de la bonne application du RGPD et de la LIL en France. A ce titre, les missions suivantes lui incombent :
Tout au long des discussions ayant mené à son adoption, puis lors de son entrée en vigueur, le RGPD a fait grand bruit. En effet, le Règlement opère un changement de paradigme dans la manière qu’ont les entreprises de traiter les données à caractère personnel, puisque l’on passe d’une logique de déclaration préalable effectuée auprès de la CNIL, à une logique de responsabilisation des organisations, devant, par défaut, se conformer aux exigences du RGPD dès lors qu’ils traitent des données à caractère personnel.
Un an après l’entrée en vigueur du RGPD, il est temps de faire une rétrospective des différentes sanctions et mesures prises tant par la CNIL que par ses consœurs européennes, afin d’obtenir une bonne visibilité des tendances répressives des APD.
Bien que la présente rétrospective se place a posteriori de l’entrée en vigueur du RGPD, certaines sanctions et décisions prises par les APD européennes, ayant été ouvertes sous l’empire de la Directive de 1995 sont donc fondées sur cette Directive et non sur le RGPD. Toutefois, la mise en perspective des décisions de la CNIL et APD européennes permettra d’établir le niveau de conformité au sein de l’UE.
Le présent article traite uniquement des mises en demeure émises par la CNIL depuis le 25 mai 2018. Un prochain article présentera les sanctions pécuniaires rendues par la CNIL et ses consœurs européennes depuis l’entrée en vigueur du Règlement.
Rétrospective des mises en demeure publiques rendues par la CNIL depuis le 25 mai 2018
La Présidente de la CNIL peut enjoindre les organisations à se mettre en conformité dans un délai prédéfini, par le biais de mises en demeure (MeD). La CNIL a fait usage de cet outil à de nombreuses reprises au cours des derniers mois, afin de faire preuve de mansuétude et d’interpeler les organisations qui ne seraient pas encore en conformité. Depuis le 25 mai 2018, la Présidente de la CNIL a émis 49 mises en demeure dont seulement 13 publiques.
Les mises en demeure engagées contre les organisations précitées ont toutes été clôturées. Il est important de noter que la mise en demeure ne constitue pas une sanction en soi mais une injonction de faire dans un temps limité qui est fixé par la Présidente de la CNIL (24 heures en cas d’urgence, entre 10 jours et 6 mois dans les autres cas).
Bien que les procédures engagées contre ces organisations soient clôturées, la CNIL pourra toujours effectuer, a posteriori, un contrôle inopiné (en ligne ou sur site selon le cas de figure).
Ainsi, si le niveau de conformité au RGPD était considéré comme satisfaisant par la CNIL suite à la mise en demeure, ce niveau peut se dégrader dans le temps notamment en cas d’évolution des activités de l’organisation (ex : nouveaux traitements de données, nouvelle activité impliquant le traitement de données sensibles…) et par conséquent, entraîner une sanction pécuniaire si une infraction est constatée.
Enfin, on observe que la CNIL s’est attelée à contrôler les organisations traitant des catégories de données à caractère personnel dites sensibles (ex : données de santé, données relatives à un mineur…) ou bien des procédés faisant l’objet de controverses au sein de la société civile (ex : vidéosurveillance, profilage…).
Les sanctions pécuniaires rendues par la CNIL et ses consœurs européennes reflètent-elles également des tendances de contrôle ? Réponse dans le prochain article…
Sources :
- https://www.cnil.fr/fr/tag/sanctions
- https://www.cnil.fr/fr/thematique/cnil/mises-en-demeure#
- https://www.cnil.fr/fr/quelles-thematiques-prioritaires-et-quelle-strategie-de-controle-pour-2018
- https://www.cnil.fr/sites/default/files/atoms/files/cnil-39e_rapport_annuel_2018.pdf
- https://www.nextinpact.com/brief/rgpd---95-180-plaintes--3-sanctions-en-europe-7512.htm
- https://www.carler-france.com/rgpd-apres-40-ans-de-droit-donnees-personnelles-simple-evolution-reelle-revolution/