Au fil des années, les sanctions infligées par la CNIL ont pris de plus en plus d’ampleur. Cette montée en puissance a été marquée par l’entrée en vigueur du RGPD en 2018, instaurant des amendes considérables en cas de non-respect des règles de protection des données. Depuis cette date, la CNIL a infligé plus de 500 millions d’euros d’amende et ce chiffre ne cesse de grimper.
Si vous êtes en infraction avec le RGPD, à quelle sanction pouvez-vous vous attendre ? Plus important encore, que devez-vous faire pour être en règle et éviter les amendes RGPD ? Explications.
Le cadre juridique des amendes RGPD
Le rôle de la CNIL, l’autorité chargée de faire respecter le RGPD
La CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité administrative indépendante qui est chargée de veiller au respect des principes du RGPD par tous les organismes en France. Elle a un rôle de conseil, d’alerte et d’information vers tous les publics, les particuliers et les professionnels, mais dispose également d’un pouvoir de contrôle et de sanction.
Les contrôles, qu’ils soient effectués sur place, sur pièces, sur audition ou encore en ligne, permettent à la CNIL de vérifier la mise en œuvre concrète du RGPD par les organismes. À l’issue du contrôle et de l’instruction réalisés par les services, la présidente de la CNIL peut décider, selon les manquements constatés, de clôturer le dossier, de prononcer une mise en demeure ou de saisir la formation restreinte de la CNIL en vue de prononcer une sanction à l’encontre de l’organisme.
L’origine des amendes RGPD
Les amendes RGPD trouvent leur origine dans principalement deux sources :
– Les plaintes des personnes concernées : les citoyens sont beaucoup plus conscients des risques et de leurs droits en matière de vie privée, et n’hésitent plus à les exercer. C’est pourquoi les sanctions infligées par la CNIL proviennent majoritairement des plaintes de personnes concernées ou d’associations. Ces plaintes sont de plus en plus nombreuses depuis l’entrée en vigueur du RGPD, avec plus de 12 000 plaintes déposées en 2022, selon le bilan 2022 de la CNIL. Sur ces plaintes, la CNIL a exercé 345 contrôles, prononcé 147 mises en demeure et 21 sanctions pour un total de 101 millions d’euros d’amende ;
– Le choix de procéder à un contrôle s’effectue également en fonction de l’actualité et des thématiques prioritaires de la CNIL. Il s’agit d’un programme annuel élaboré par la CNIL sur la base de thématiques pour lesquelles un enjeu de vie privée a été identifié. En 2023, la CNIL se concentre sur :
- L’utilisation de caméras « augmentées » par les acteurs publics ;
- L’utilisation du fichier des incidents de crédit aux particuliers ;
- La gestion des dossiers de santé ;
- Et les applications mobiles.
Le processus de sanctions CNIL
Si un manquement est constaté à la suite d’une plainte ou d’une mission de contrôle de la CNIL, l’organisme est informé et dispose d’un mois pour formuler ses observations. Lorsque l’instruction est close, une séance de formation restreinte est organisée. À l’issue de la séance, les membres de la formation restreinte de la CNIL décident des sanctions et peuvent décider de les rendre publiques.
Si ce sont essentiellement les grosses entreprises américaines qui ont écopé des plus grosses amendes RGPD (jusqu’à 150 millions d’euros à l’encontre de Google), il ne faut pas oublier que toutes les structures sont concernées, peu importe leur taille, notamment depuis la mise en place de la procédure de sanction simplifiée.
La nouvelle procédure de sanction simplifiée
Instaurée en avril 2022, cette procédure permet à la CNIL de traiter rapidement les dossiers impliquant de petites structures et ne présentant pas de difficultés particulières. Elle vise donc divers acteurs : PME, université, médecins ou encore collectivités. Les sanctions infligées dans le cadre de cette nouvelle procédure ne peuvent pas dépasser 20 000 € et ne sont pas rendues publiques. Par exemple, la CNIL a sanctionné via cette procédure simplifiée :
- une agence marketing pour défaut de coopération avec la CNIL : 10 000 euros d’amende et injonction ;
- une université pour non-respect du principe de limitation des finalités de traitement de données : 10 000 euros d’amende.
Comment sont déterminées les sanctions CNIL et quels sont leurs impacts pour les entreprises ?
La détermination du montant des amendes RGPD par la CNIL
La CNIL évalue les amendes RGPD en fonction de la gravité des infractions commises par les entreprises. Il existe deux niveaux d’amende :
– Jusqu’à 2 % du chiffre d’affaires annuel mondial de l’entreprise ou 10 millions d’euros (pour les manquements relatifs au recueil du consentement des mineurs, au privacy by design, etc.) ;
– Et un niveau plus sévère pouvant atteindre 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros (en cas de violation des principes de protection des données ou des conditions de licéité, par exemple).
Les sanctions infligées par la CNIL en vertu du RGPD ne sont pas imposées arbitrairement. Au contraire, elles sont déterminées selon un processus structuré qui tient compte de plusieurs facteurs. L’article 83 du RGPD énonce les critères pris en compte pour déterminer l’amende appropriée :
- Nature, gravité et durée du manquement ;
- Nombre de personnes concernées ;
- Données personnelles concernées ;
- Coopération avec la CNIL ;
- Mesures prises par l’organisme pour atténuer le dommage subi par les personnes concernées ;
- Antécédents de l’entreprise en termes de conformité RGPD.
Aussi, une coopération proactive avec la CNIL lors du contrôle et la mise en œuvre rapide de mesures correctives jouent un rôle crucial pour minimiser le montant de l’amende.
Les autres sanctions CNIL
Outre les amendes, la CNIL peut également infliger d’autres types de sanctions RGPD, entre autres :
– Un rappel à l’ordre ;
– La restriction ou la suspension temporaire de certaines activités de traitement de données qui ne respectent pas le RGPD ;
– La publication de communiqués de presse ou d’autres déclarations publiques pour informer le public des infractions commises par une entreprise. Cette mesure peut avoir un impact significatif sur la réputation de l’entreprise ;
– Des mesures permettant de réparer les dommages subis par les personnes concernées : restitution des données, communication d’une violation aux personnes concernées et autres actions correctives ;
– La suspension des transferts de données hors UE jusqu’à ce que des mesures de protection adéquates soient mises en place.
Le réel impact des sanctions RGPD
Plus les revenus d’une entreprise sont importants, plus le risque est grand et les amendes RGPD élevées.
Quelques exemples de sanctions pécuniaires prononcées par la CNIL :
– Le 14 juin 2021, à la suite d’une mission de contrôle, la CNIL a prononcé à l’encontre de la société Brico Privé une amende de 500 000 € pour avoir manqué à plusieurs obligations du RGPD. Cette décision est très intéressante, notamment en ce qui concerne les modalités d’information des personnes concernées et le dépôt des cookies dans le cadre de la mission de contrôle en ligne de la CNIL.
Ce qu’il faut retenir de cette décision : la nécessité de mettre à disposition des utilisateurs du site web une information complète au sens de l’article 13 du RGPD. À savoir :
- L’identité et les coordonnées du responsable de traitement et du DPO ;
- L’ensemble des finalités de traitement de données et la base légale justifiant chaque traitement ;
- Les destinataires ou les catégories de destinataires des données ;
- Les éventuels transferts de données hors de l’Espace Economique Européen ;
- La durée de conservation ou les critères de conservation des données pour chaque finalité de traitement ;
- Les droits dont bénéficient les personnes concernées ;
- Ainsi que le droit d’introduire une réclamation auprès de la CNIL.
– Plus récemment, le 11 mai 2023, la CNIL a infligé deux amendes à la société Doctissimo, dont une qui s’élève à 100 000 € concernant un manquement relatif aux cookies. En effet, à la suite d’une plainte de l’association Privacy International, la CNIL a constaté lors d’un contrôle le dépôt d’un cookie publicitaire sur le terminal de l’utilisateur dès l’arrivée sur le site sans consentement, ainsi que le dépôt de deux cookies publicitaires déposés même après avoir cliqué sur le bouton « Refuser » de la bannière.
La CNIL rappelle dans cette décision que les cookies publicitaires ne sont pas considérés comme strictement nécessaires à la fourniture du service et sont donc soumis au recueil du consentement. Elle rappelle également que les cookies soumis à consentement ne peuvent être déposés avant que l’utilisateur donne son consentement ou lorsqu’il clique sur « Refuser ».
Outre les sanctions financières, les manquements au RGPD peuvent entraîner d’autres conséquences :
– La publication de la sanction par la CNIL, à sa discrétion, qui peut avoir un effet négatif sur la réputation de l’organisme, attirant l’attention des médias et pouvant susciter la méfiance des clients et des partenaires ;
– Des sanctions pénales pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende en cas d’absence d’information des personnes concernées, de non respect des droits des personnes, des obligations de sécurité des données ou encore de détournement de finalité ;
– Le versement de dommages et intérêts en réparation du préjudice subi par les personnes concernées victimes du manquement en cas de recours devant les juridictions, notamment dans le cadre d’actions collectives.
Les bonnes pratiques pour éviter les amendes RGPD
La plus évidente : respecter les obligations imposées par le RGPD
Pour éviter les amendes RGPD, la première étape la plus évidente est de prendre le RGPD au sérieux et de respecter les obligations qui sont imposées. Ces obligations comprennent notamment la nécessité de traiter les données personnelles de manière légale et éthique, d’informer les personnes concernées sur la manière dont leurs données sont utilisées, et de garantir la sécurité de ces données. Pour s’assurer de la conformité, il est recommandé, voire obligatoire dans certains cas, de désigner un DPO (délégué à la protection des données).
L’importance de la documentation et de la tenue des registres
L’entrée en application du RGPD a opéré un véritable renversement de la charge de la preuve par rapport à ce que prévoyait la loi informatique et libertés auparavant, avec l’instauration du principe d’accountability (ou responsabilisation) : à présent, c’est à l’organisme d’être en mesure de démontrer sa conformité à tout moment. Cela passe notamment par la tenue du registre des traitements, la réalisation d’AIPD (analyse d’impact sur la protection des données) pour les traitements les plus risqués, la sensibilisation du personnel, etc. Cette documentation est essentielle pour démontrer la conformité en cas de contrôle par la CNIL.
Avoir un site web conforme au RGPD
Dans le dernier bilan de la CNIL, les contrôles en ligne de sites web ou d’applications mobiles représentent la deuxième modalité de contrôle la plus employée par la CNIL (37 %). Par conséquent, il est crucial d’avoir un site web conforme au RGPD.
Pour être conforme à la réglementation, vous devez respecter plusieurs obligations :
– Générer une politique de confidentialité et une politique de cookies complètes, claires et accessibles à tout moment pour informer les utilisateurs de ce que vous faites de leurs données. Il est important de noter que la politique de confidentialité ne concerne pas seulement les données des visiteurs de votre site web. Elle englobe tous les traitements externes de votre organisme ;
– Gérer efficacement vos cookies avec une bannière permettant d’informer les utilisateurs du site de l’utilisation des différents cookies ainsi qu’un gestionnaire de consentement. Cela leur permet de choisir les types de cookies qu’ils acceptent ou qu’ils refusent et donc à documenter les consentements obtenus.
Grâce à ces éléments, vous assurez votre conformité RGPD et ePrivacy, tout en renforçant la confiance avec vos utilisateurs.