Sanction RGPD et montant record
Le Règlement général sur la protection des données (RGPD) est un texte européen entré en vigueur le 25 mai 2018. Ce texte garantie la protection de la vie privée des personnes physiques et assure plus précisément la protection de leurs données à caractère personnel.
Pour ce faire, ce règlement confère aux individus, dont les données personnelles font l’objet d’un traitement opéré par un organisme, une série de droits, qu’ils peuvent faire valoir devant les juridictions compétentes en cas de violation.
Ce règlement impose également plusieurs obligations aux responsables de traitement, c’est-à-dire aux organismes mettent en œuvre le traitement des données personnelles en déterminant leurs finalités et les moyens du traitement.
La Commission nationale de l’informatique et des libertés est l’autorité administrative indépendante française en charge de veiller sur l’application du RGPD afin d’assurer la protection des données personnelles.
L’article 57 du RGPD énonce les différentes missions des autorités de contrôle. Elles jouent un rôle d’alerte, de conseil, d’information, permettant ainsi la compréhension des risques des règles, des garanties et des droits relatifs au traitement.
L’article 58 du RGPD donne aux autorités de contrôle plusieurs pouvoirs afin de mener à bien leurs missions. Elles disposent d’un pouvoir d’enquête ainsi que des pouvoirs d’autorisation et de consultation. Elles peuvent également adopter des mesures correctives, telles que des avertissements ou bien des mises en demeure.
Ces autorités de contrôle disposent donc d’un pouvoir de contrôle et de sanction.
L’article 83 du RGPD énonce que les autorités de contrôle peuvent prononcer des amendes administratives dont le montant peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces amendes RGPD peuvent être rendues publiques, ce qui a pour conséquence d’entacher fortement l’image de l’organisme responsable.
La CNIL est l’autorité de contrôle compétente pour sanctionner les responsables de traitement en France. Pour prononcer ces diverses sanctions l’égard des responsables de traitement qui ne respecteraient pas la loi, la CNIL, composée de 18 membres, se constitue en formation restreinte de 5 membres.
Quel est le montant de l'amende la plus élevée qui a été infligée à ce jour pour Non-respect du RGPD ?
À l’occasion de la journée de la protection des données, le 28 janvier 2022, la CNIL a publié un bilan énonçant les différentes actions répressives prononcées en 2021. Ce bilan permet de démontrer que l’année 2021 a été une année record en matière de répression.
En effet, au cours de l’année 2021 la CNIL a prononcé 18 sanctions pour un montant total de plus de 214 millions d'euros d’amendes. Sur ces 18 sanctions, 12 d’entre elles ont été rendues publiques.
Les manquements relatifs à la durée de conservation ainsi qu’à la sécurité des données sont les plus fréquemment constatés.
L’amende la plus élevée infligée en 2021 par la CNIL a été prononcée à l’encontre de AG2R La Mondiale, qui est un organisme français à but non lucratif proposant des services de conseil et d’expertise en matière de protection sociale et patrimoniale.
Cet organisme avait manqué à deux obligations imposées par le RGPD et a reçu une amende de 1,75 millions d’euros calculée sur la base de son chiffre d’affaires et ses revenues net.
AG2R La Mondiale a tout d’abord manqué à l’obligation imposée par l’article 5 point e) du RGPD sur la durée de conservation des données, mais également à son obligation d’information, consacrée aux articles 12, 13 et 14 du Règlement général sur la protection des données.
Ce bilan a également permis de constater que 135 mises en demeure avaient été prononcées par la CNIL en 2021, contrairement à 49 en 2020 et 42 en 2019. Ces mises en demeure sont généralement prononcées pour mauvaise gestion des traceurs (cookies), qui permettent de capter les données personnelles seulement si les internautes donnent leur consentement.
La CNIL peut prononcer ces sanctions grâce au fonctionnement d’une chaîne répressive composée de plusieurs étapes clés :
- Tout d’abord, les manquements sont signalés à la CNIL par différents procédés.
Les individus peuvent déposer des réclamations à la CNIL, par courriel ou directement sur le site internet de la CNIL. La CNIL a également la faculté de s’autosaisir ou de recevoir des signalements grâce à une coopération efficace avec d’autres autorités de contrôle européennes. Il arrive également que des évènements soient mis en lumière par la presse.
A lire egalement : Qui peut saisir la CNIL ?
- Ensuite, la CNIL procède au contrôle du traitement des données effectué par le responsable des données concernées. Elle peut réaliser des contrôles directement dans les locaux du responsable de traitement, sur convocation, sur les données directement accessibles en ligne et sur les pièces qu’elle aura préalablement demandé au responsable de traitement.
- À la suite de ce contrôle, la CNIL peut décider de clôturer le dossier ou bien de sanctionner l’organisme pour manquement sérieux aux obligations prévues par le RGPD. Cette sanction peut être d’ordre pécuniaire ou non, rendue publique ou non.
Selon l’article 83 du RGPD, le fait que le responsable de traitement coopère avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs permet de diminuer la sanction pécuniaire. À l’inverse, l’utilisation de moyens frauduleux pour dissimuler des pratiques sanctionnables par le RGPD peut augmenter considérablement le montant de l’amende délivrée par l’autorité de contrôle.
Malgré les records atteints par la CNIL, c’est l’autorité de contrôle luxembourgeoise qui a prononcé l’amende la plus élevée pour non-respect du RGGP.
Le 16 juillet 2021, la Commission Nationale pour la Protection des Données luxembourgeoise (CNPD), a prononcé une amende d’un montant de 746 millions d’euros à l’encontre de la société Amazon Europe Core.
La CNPD était l’autorité compétente en Europe pour traiter de la plainte collective à l’encontre d'Amazon Europe Core. La CNPD doit attendre l’épuisement de toutes les voies de recours avant de rendre la décision publique.
La CNIL a déjà eu l’occasion de sanctionner des géants du web.
Par exemple, le 7 décembre 2020, la CNIL a prononcé une amende de 100 millions d’euros contre Google et une amende de 35 millions d’euros contre Amazon Europe Core pour non-respect de la gestion des cookies publicitaires (traceurs).
L’amende prononcée par la CNPD reste à ce jour la plus importante. La CNIL évoque cette décision comme marquant « un tournant dans l’application du RGPD et la protection des droits des ressortissants européens. »
Nos prestations
- Accompagnement de tout organisme de traitement des données à caractère personnel pour en assurer la protection.
Notre cabinet Avomedias est à vos côtés afin de vérifier que le traitement des données personnelles opéré par votre organisme assure une protection suffisante des données à caractère personnel.
- Nous vous accompagnons tout au long du processus de mise en conformité RGPD avec la loi de protection des données personnelles et plus précisément avec le RGPD, règlement européen garantissant la protection des données à caractère personnel.
- Nous pouvons par exemple vous proposer des audits du respect des règles en vigueur pour s’assurer que vous ne violez par la loi.
- Nous vous accompagnons également en cas de contentieux devant les juridictions compétentes ou la CNIL.
- Accompagnement en cas de réclamation à votre encontre
Notre cabinet Avomedias demeure à vos côtés en cas de réclamation et nous vous accompagnons au cours de la procédure contentieuse afin de diminuer, voire d’éviter, toute sanction pécuniaire ou non et de réduire tout risque de condamnation.
- Accompagnement en cas de poursuite par une autorité administrative
Notre cabinet Avomedias vous accompagne également en cas de poursuites par la Commission nationale de l’informatique et des libertés (CNIL) si vous n’avez pas respecté vos différentes obligations en matière de données personnelles.