Les sanctions du RGPD : la CNIL osera-t-elle ?

Le RGPD a prévu tout un arsenal de sanctions dont les montants donnent le vertige. La CNIL osera-t-elle les appliquer ?

D'aucuns annoncent qu'elle sera plus pédagogue que répressive. L'étude des décisions les plus récentes - après la réforme d'octobre 2016 alourdissant le montant des sanctions - révèle déjà son état d'esprit. Au delà de la sanction, cette étude permet d'alerter sur le comportement à avoir en cas de contrôle et aussi de présenter les actions à mettre d'ores et déjà en place. Les paris sont ouverts et comme le clame une publicité, "ce serait presque drôle, si ce n’était pas aussi grave !" car toute la crédibilité du système de protection des données à caractère personnel mis en place par le RGPD[1] est là, dans la réponse à cette question : la CNIL va-t-elle oser utiliser l’arsenal de sanctions prévu par le RGPD[2] ?  

Sans plus attendre et perclus de curiosité, l’étude des dernières décisions révèle l’attitude de la CNIL.

Bien évidemment, il y a la procédure de mise en conformité (article 45 de la LIL[3]). Il s’agit d’un acteur économique qui ne respecte pas les textes légaux (RGPD et LIL) mais aucune violation des données personnelles ni aucune atteinte à la vie privée des personnes concernées n’ont été commises. Dans ce cas, la mise en conformité des traitements est possible et il est vrai que la CNIL se montre dans de pareils cas très pédagogue. L’audit qui est réalisé est plutôt constructif. On peut citer la décision Microsoft du 27 juin 2017.

En revanche, quand il y a eu violation des données à caractère personnel – par attaque du système d’information ou par découverte d’une faille de sécurité – alors la CNIL se montre plus sévère : DailyMotion 50 000 euros, ADEF (Association pour le développement des Foyers) 75 000 euros, Optical Center 250 000 euros ou encore Darty 100 000 euros.

Ces sanctions ont été prononcées avant l’entrée en application du RGPD (le 25 mai 2018) mais après la réforme du 7 octobre 2016 issue de la loi pour une République numérique laquelle avait déjà augmenté le montant possible des sanctions de 150 000 euros à 3 millions d’euros. D’aucuns diront qu’on est loin des 3 millions - et c’est vrai - mais les sanctions sont toutefois plus lourdes.

Que faut-il retenir de ces décisions ?  

D’ores et déjà, quand un contrôle de la CNIL est annoncé, 3 actions simultanées doivent immédiatement être mises en œuvre par la personne contrôlée :

- la collaboration avec la CNIL qui peut prendre la forme de l’affectation d’un interlocuteur privilégié sauf si un DPO a été nommé (dans ce cas, c’est lui qui travaillera avec les équipes de la CNIL),

- la correction de la faille de sécurité et ce, sans délai,

- le lancement d’un audit de sécurité portant sur le système d’information après la correction.

La lecture des décisions montre que lorsque la société contrôlée a lancé volontairement ces trois actions, le montant de la sanction proposée par le rapporteur de la CNIL est très largement minoré voire est divisé par deux.

On retient également que l’obligation du responsable de traitement, quant à la sécurité des traitements réalisés, est bien une obligation de moyens et non une obligation de résultat. Néanmoins, toute absence de « mesures élémentaires de sécurité » sera sanctionnée : existence de mots de passe en clair, connexions externes non sécurisées, prévisibilité des URL, inexistence de procédure d’identification des personnes concernées, etc.

Encore, le responsable de traitement doit surveiller son sous-traitant et ne peut se contenter de la notoriété de celui-ci ni d’une déclaration de sa part certifiant qu’il est en conformité avec les règles de sécurité. Revient ici précisément le principe des tests réguliers pour vérifier la conformité du site Internet ou de la plateforme ou du système d’information.

Egalement et comme rappelé à maintes reprises, un cahier des charges émanant du responsable de traitement est absolument nécessaire ; tout comme un PV de recette définitive après toute livraison d’un site Internet, d’une nouvelle fonctionnalité, d’une migration, etc.

Alors, la CNIL osera-t-elle utiliser les moyens mis à sa disposition pour sanctionner les atteintes aux données personnelles, à nos données personnelles ? Qu’en pensez-vous ? Les paris sont ouverts …

[1] RGPD - Règlement général européen n°2016/679 relatif à la protection des données à caractère personnel

[2] Pour rappel, selon le type de violation, les amendes administratives peuvent s’élever jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial ou bien 20 millions d’euros et 4% du chiffre d’affaires annuel mondial (article 83 du RGPD et article 45 de la LIL).

[3] LIL - Loi Informatique et Libertés n°78-17 modifiée par la loi n°2018-493 du 20 juin 2018