Depuis le 25 mai 2018 et même bien plus tôt, nombreuses sont les entreprises qui ont engagé un processus de mise en conformité au RGPD au sein de leur structure. Bien souvent, la peur de la sanction a été un élément déclencheur de la démarche.
Un an plus tard, la question se pose de savoir qui a été contrôlé mais surtout sanctionné en raison du non-respect des dispositions de la conformité RGPD ? Les autorités de contrôle à travers l’Europe ont-elle adopté le même niveau de sévérité ?
En premier lieu, il convient de noter que seules 15 autorités de contrôle nationales sur les 28 ont prononcé des sanctions sur le fondement du RGPD.
Par ailleurs, la Norvège qui n’appartient pas à l’Union Européenne mais à l’Espace Économique Européen (EEE), a quant à elle prononcé sa première sanction à l’encontre de la Municipalité de Bergen.
Plusieurs autorités nationales n’ont pas tardé à publier leurs premières décisions parmi lesquelles l’Allemagne et la République Tchèque qui ont d’ores et déjà prononcé des sanctions chacune à l’encontre de 9 organismes.
Elles sont suivies par la Bulgarie et la Hongrie qui ont sanctionnés des acteurs sur leur territoire à 7 reprises.
Pour rappel, les pays de l’EEE situés hors de l’Union Européenne (Islande, Norvège et Liechtenstein) peuvent, si le texte présente un intérêt pour l’EEE, voir l’application d’un texte européen étendue à leur territoire. Concernant le RGPD, cette décision a été prise à Bruxelles le 6 juillet 2018[1] et ainsi le texte est entré en vigueur en Islande, Norvège et Liechtenstein à compter du 20 juillet 2018.
A noter, à plusieurs reprises, des particuliers ont été condamnés 3 reprises à des amendes entre 300 et 2200 euros en raison dans 2 cas d’un usage inapproprié d’un système de vidéosurveillance[1] et pour l’usage par un particulier d’adresses de courrier électronique visibles de tous les destinataires.
Le nombre de sanctions prononcées ne signifie pas pour autant que les entreprises ou organismes ont été condamnés à des amendes élevées. En effet, les montants sont très variables d’une autorité à l’autre et vont de 388 € prononcés en République Tchèque à plusieurs reprises, aux 50 millions d’euros sanctionnant Google en France.
En France, la CNIL s’est prononcée à 3 reprises depuis le début de l’année 2019 en condamnant, sans grand surprise, Google en début d’année à verser 50 millions d’euros.
Au mois de juin, la CNIL a, cette fois-ci, prononcé une sanction à l’encontre de la société Sergic (Agence Immobilière) pour 400 000 euros en raison d’une vulnérabilité sur son site internet qui avait été constatée via une plainte puis un contrôle en ligne. Les informations transmises par les candidats à la location étaient librement accessibles à quiconque visitait le site sans authentification préalable et ce, en modifiant légèrement l’url.
Enfin, au moins de juin, une dernière décision a été rendue par la CNIL à l’encontre de la société UNIONTRAD COMPANY qui a mis toutes les chances de son côté pour être condamnée à 20 000 euros d’amende (malgré un résultat net négatif) sur le cas d’école de la vidéosurveillance sur le lieu de travail.
Parmi les sanctions marquantes, chez nos voisins Espagnol, l’autorité nationale a condamné la Liga, plus connue pour ses activités dans le football que dans celui de la protection des données personnelles, à une amende de 250 000 euros. Il lui était reproché d’accéder au microphone des smartphones des utilisateurs de son application afin de détecter les lieux diffusant en public des matchs sans payer de droits, ce dont les utilisateurs n’étaient nullement informés.
L’information des personnes concernées apparaît dans le top 5 des bases légales des décisions rendues par l’ensemble des autorités nationales. Les autres fondements des décisions sont très majoritairement le non-respect d’un ou plusieurs principes relatifs au traitement de données énumérés à l’article 5 du Règlement, la question de la licéité (article 6) et la sécurité du traitement (article 32).
Enfin, le non-respect de l’article 15 relatif à l’application du droit d’accès de la personne concernée à ses données est fréquemment cité dans les décisions rendues.
Le 19 avril dernier, la CNIL a communiqué sa stratégie de contrôle.
Sans surprise, le respect des nouvelles obligations issues du RGPD va être largement contrôlé et potentiellement sanctionné. Comme l’a rappelé la Présidente de la CNIL il y a quelques semaines « La Cnil a volontairement fait preuve de patience et de tolérance car le RGPD est un changement profond. Mais, même s’il est entré en application depuis seulement un an, le règlement a été adopté en 2016, il y a trois ans. Je considère qu’il faut désormais faire preuve de davantage de fermeté. Notre action de régulation ne sera efficace que si nous actionnons à parts égales les deux leviers à notre disposition, c’est-à-dire la pédagogie d’un côté, et le contrôle avec éventuellement des sanctions de l’autre. ».[5]
Ainsi, dans son programme annuel des contrôles (qui représente environ ¼ des investigations menées), nous trouverons au menu le respect des droits des personnes, le traitement des données des mineurs et la répartition des responsabilités entre responsables de traitements et sous-traitants.
Ces thématiques semblent logiques dans une dynamique de responsabilisation des acteurs propre au principe central du RGPD d’accountability.
Dans le même thème : Le RGPD, 2 ans après : bilan et perspectives
Pour conclure, les autorités de contrôle de l’ensemble des pays européens ne se sont pas encore toutes prononcées. Toutefois, les premières décisions de l’autorité Irlandaise sont fortement attendues en raison de la domiciliation des GAFA sur leur sol.
Concernant les montants des sanctions, ils sont aujourd’hui relativement disparates en fonction des autorités et des manquements à la réglementation relevés. La France semble toutefois relativement sévère sur le montant des amendes.
Les préoccupations constantes des résidents européens à l’égard de l’utilisation faite de leurs données à caractère personnel laissent penser que le nombre de plaintes déposées à la CNIL ne devrait pas diminuer et la vigilance des responsables de traitement, des sous-traitants et DPO externe ne pourra que s’intensifier.
Retrouvez plus d’informations complémentaires dans cet article sur le MDM (Master Data Management : outil indispensable à la mise en conformité pérenne au RGPD)
[1]https://www.datatilsynet.no/en/about-privacy/reports-on-specific-subjects/administrative-fine-of-170.000–imposed-on-bergen-municipality/
[5]https://www.latribune.fr/technos-medias/internet/rgpd-la-cnil-sera-plus-ferme-envers-les-entreprises-annonce-sa-presidente-marie-laure-denis-814287.html
– Céline Gallay