Rétrospective : Décisions rendues par les APD européennes depuis l’entrée en vigueur du RGPD (2/2)
V
ous pouvez retrouver la première partie de l’article ici. Ce second volet met en lumière les décisions pécuniaires rendues d’une part par la CNIL, et d’autre part par les APD européennes depuis l’entrée en vigueur du RGPD le 25 mai 2018.
Rétrospective des sanctions pécuniaires rendues par la CNIL depuis le 25 mai 2018
En 2018, la CNIL a effectué pas moins de 310 contrôles dont 10 ont abouti à des sanctions pécuniaires. Il faut souligner que les sanctions rendues par l’autorité de contrôle ont été entamées sous l’empire de la Directive de 1995 et n’ont donc pas été rendues sur le fondement du RGPD, à l’exception des sanctions à l’encontre de Google et Sergic.
La Directive de 1995 laissait aux Etats membres la libre appréciation du montant des amendes administratives à infliger aux organisations en violation de la Directive (article 57). Ainsi, en France, il a fallu attendre l’adoption de la loi pour une République numérique, le 7 octobre 2016, pour voir le plafond des amendes rehaussé à 3 millions d’euros ; les amendes infligées par la CNIL ne pouvaient, avant cette loi, dépasser 150.000 euros.
L’entrée en vigueur du RGPD permet d’imposer des sanctions bien plus dissuasives, comme en témoigne l’amende de 50 millions d’euros infligée à Google LLC le 21 janvier 2019. En effet, le Règlement prévoit des sanctions modulables en fonction des infractions commises et pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial total de l’exercice précédent.
Comme le montre le tableau ci-dessus, la majorité des sanctions rendues par la CNIL (7 sur 10) concernaient des failles de sécurité liées à un manque de mesures de sécurité (techniques et/ou organisationnelles) des plateformes, sites web et magasins en ligne.
Cela est révélateur d’un manque de prise de conscience de l’importance de la sécurité des systèmes d’information de la part du management et des instances décisionnelles des organisations et ce, malgré les scandales qui défraient régulièrement la chronique. Par conséquent, et en l’absence de politique de sécurité interne favorable, on aperçoit également un manque cruel de sensibilisation et de formation des collaborateurs à l’hygiène informatique.
Si en 2018 la CNIL avait annoncé les trois « thématiques de contrôle» sur lesquelles elle souhaitait concentrer ses contrôles (pièces justificatives dans le cadre d’une demande de logement, gestion du stationnement par des prestataires privés, les données à caractère personnel liées à l’emploi et au recrutement), dans un objectif d’accompagnement et de clémence, cette largesse touche à sa fin.
En effet, la CNIL compte à présent pleinement contrôler les nouveaux droits et obligations créés par le RGPD, tels que la tenue d’un registre des traitements et des violations, le respect du droit des citoyens (rectification, suppression…) au niveau européen, ou encore une analyse d’impact sur la vie privée.
Rétrospective des sanctions pécuniaires rendues par les APD européennes depuis le 25 mai 2018
Les APD européennes ne sont pas en reste puisqu’en début 2019, la Commission européenne considérait qu’elles avaient recueilli plus de 95.000 plaintes depuis l’entrée en vigueur du RGPD.
Malgré cette quantité dantesque de plaintes reçues, les APD européennes ont fait preuve de célérité et de réactivité puisque les autorités de 19 Etats membres sur 28 ont rendu une voire plusieurs sanctions sur le fondement du RGPD.
Si le RGPD permet d’imposer des amendes administratives dissuasives, on constatera que seulement deux sanctions (rendues par la CNIL et l’ICO, APD Britannique, qui n’a pour l’instant communiqué qu’une intention d’infliger l’amende) dépassent largement la dizaine de millions d’euros.
Si ces deux APD se positionnent en tant qu’autorités leaders de la protection des données en Europe, non seulement sur la sévérité de leurs sanctions mais également via les outils mis à disposition sur leurs sites web (ex : logiciels DPIA ; MOOC protection des données ; guidelines…), cela ne signifie pas pour autant que les autres autorités européennes font preuve de laxisme.
La mansuétude de certaines sanctions à faible montant n’est qu’apparente. En effet, certaines sanctions peuvent avoir un impact conséquent sur l’organisation contre laquelle elles sont infligées (ex : 400.000 euros contre un établissement hospitalier Portugais, somme conséquente pour un organisme public). Les APD doivent moduler leurs sanctions en fonction de différents éléments : la nature du manquement, la taille et les moyens financiers de l’organisation, le nombre de personnes concernées et de DCP (données à caractère personnel) touchées. Ainsi, le clivage des montants des sanctions peut s’expliquer par trois arguments qui peuvent s’entrecouper :
- Mansuétude (accordé tout au long de la première année suivant l’entrée en vigueur du RGPD pour la mise en conformité des organisations) ;
- Adaptation de la sanction en fonction de l’organisation et de la nature du manquement (indisponibilité des DCP, vol ou destruction de DCP, taille de l’organisation, nombre de personne concernées…) ;
- Interprétation exégétique (application stricte de la lettre du Règlement) ou téléologique (application de la finalité, du but du Règlement : la protection des personnes concernées) du Règlement.
Comme le montre le tableau ci-dessus, la plupart des sanctions infligées par les APD sont relatives à un manque de mesures techniques et organisationnelles de sécurité des DCP traitées par les organisations. Cela est révélateur d’un manque de maturité des organisations en termes de sécurité des données et d’un manque de prise de conscience des enjeux de la sécurité du patrimoine informationnel, auquel participe les données à caractère personnel, et donc d’un manque de maturité concernant la sécurité des données.
Un peu plus d’un an après l’entrée en vigueur du RGPD et malgré les nombreux scandales (ex : Equifax, Cambridge Analytica, Facebook…), on constate que des efforts de sensibilisation et de formation des organisations et de leurs collaborateurs restent nécessaires.
L’objectif principal étant d’acquérir une bonne hygiène de sécurité, nécessaire à la protection des données à caractère personnel.
Néanmoins, ce n’est pas suffisant : l’engagement de la direction et du top-management est nécessaire afin d’allouer un budget, de piloter la sensibilisation et de suivre le déploiement des mesures de sécurité adéquates.
S’il l’on compare les manquements relevés par les autorités de contrôle européennes et ceux relevés par la CNIL, il semble que le niveau de conformité aux exigences de l’article 32 du RGPD (sécurité du traitement) des organisations françaises, ou tout du moins domiciliées sur le territoire français, se situe dans la moyenne européenne.
Sources :
- https://www.cnil.fr/fr/tag/sanctions
- https://www.cnil.fr/fr/thematique/cnil/mises-en-demeure#
- https://www.cnil.fr/fr/quelles-thematiques-prioritaires-et-quelle
- strategie-de-controle-pour-2018
- https://edpb.europa.eu/news/national-news_enhttps://www.cnil.fr/sites/default/files/atoms/files/cnil-39e_rapport_annuel_2018.pdf
- https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-ico-announces-intention-to-fine-british-airways/
- https://www.nextinpact.com/brief/rgpd---95-180-plaintes--3-sanctions-en-europe-7512.htm
- https://www.publico.pt/2018/10/22/sociedade/noticia/hospital-barreiro-contesta-judicialmente-coima-400-mil-euros-comissao-dados-1848479
- http://info.haas-avocats.com/droit-digital/rgpd-focus-sur-les-sanctions
- https://www.groupe-fiba.fr/P-108-216-B2-rgpd-les-premieres-sanctions-tombent.html
- http://www.lefigaro.fr/secteur/high-tech/rgpd-marriott-et-british-airways-lourdement-sanctionnes-au-royaume-uni-20190710
- http://info.haas-avocats.com/droit-digital/rgpd-focus-sur-les-sanctions
- https://www.blakemorgan.co.uk/property-businesses-and-data-protection-compliance-estate-agency-fined-80000-for-failing-to-keep-tenants-data-safe/
- https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037085952&categorieLien=id
- https://uodo.gov.pl/en/553/1087
- https://www.nextinpact.com/brief/rgpd---640-000-euros-d-amende-pour-un-site-d-e-commerce-polonais-insuffisamment-protege-9745.htm
- https://www.autoriteprotectiondonnees.be/news/lautorite-de-protection-des-donnees-prononce-une-reprimande-contre-le-spf-sante-publique
- https://gdpr.ie/estate-agency-fined-80000-for-failing-to-keep-tenants-data-safe/ https://www.blakemorgan.co.uk/property-businesses-and-data-protection-compliance-estate-agency-fined-80000-for-failing-to-keep-tenants-data-safe/
- https://www.carler-france.com/rgpd-apres-40-ans-de-droit-donnees-personnelles-simple-evolution-reelle-revolution/
- http://www.enforcementtracker.com/
- https://www.avocats-mathias.com/wp-content/uploads/2019/06/Livre-Blanc-Sanctions-UE-Mathias-Avocats-072019.pdf