Données personnelles

Les sanctions prononcées ces dernières semaines par la Commission Nationale de l’Informatique et des Libertés (CNIL) permet de rappeler que - passé le délai raisonnable de mise en conformité accordé par la CNIL - celle-ci n’hésite plus désormais à sanctionner les manquements au Règlement Européen relatif à la Protection des Données (RGPD).

Adopté le 27 avril 2016 par le Parlement européen et le Conseil de l’Union européenne, le RGPD est applicable depuis le 25 mai 2018 à tous les traitements de données à caractère personnel.

Même si les principes relatifs au traitement de données personnelles sont hérités de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés », le RGPD instaure une toute nouvelle logique de responsabilisation des acteurs impliqués dans le traitement (laquelle se substitue au régime précédent de déclarations et d’autorisations). En effet, les dispositions du RGPD sont articulées autour de la notion centrale et inédite d’ « accountability » qui signifie que le responsable de traitement doit toujours être en mesure de démontrer que les principes du RGPD sont respectés.

Le non respect des obligations du RGPD est assorti de la possibilité pour la CNIL de prononcer des sanctions administratives plus lourdes, pouvant aller jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise concernée, outre la publicité de la décision.

Dans deux délibérations du 31 décembre 2021, la CNIL a constaté que les sites facebook.com, google.fr et youtube.com ne permettent pas à leurs utilisateurs résidant en France de refuser les cookies aussi simplement que de les accepter (plusieurs clics sont nécessaires pour refuser tous les cookies, contre un seul pour les accepter).

Par conséquent, la CNIL a sanctionné GOOGLE pour un montant total de 150 millions d’euros (90 millions d’euros pour GOOGLE LLC et 60 millions d’euros pour GOOGLE IRELAND LIMITED) et FACEBOOK IRELAND LIMITED pour un montant de 60 millions d’euros et leur a enjoint de se mettre en conformité dans un délai de trois mois.

La CNIL a notamment justifié ces montants par le nombre de personnes concernées et par les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par les cookies.

Dans le cadre de son pouvoir de sanction, la CNIL a également sanctionné, le 28 décembre 2021, la société SLIMPAY, qui propose notamment des solutions de paiements récurrents à ses clients, d’une amende de 180 000 euros.

La CNIL a constaté plusieurs manquements de la société SLIMPAY concernant le traitement de données personnelles de ses clients, à savoir notamment le fait d’avoir insuffisamment protégé les données personnelles des utilisateurs (l’accès au serveur en question ne faisait l’objet d’aucune mesure de sécurité), ne pas les avoir informés d’une violation de données (le risque associé à la violation devait pourtant être considéré comme élevé en raison en particulier de la nature des données personnelles (comportant notamment des informations bancaires) et du volume de personnes concernées).

En outre, toujours le 28 décembre 2021, la CNIL a prononcé une sanction de 300 000 euros à l’encontre de la société FREE MOBILE (lequel montant prend à nouveau en compte la taille et la situation financière de la société).

Un contrôle de la CNIL a permis de constater des manquements aux droits des personnes concernées (FREE MOBILE n’a pas donné suite aux demandes de droit d’accès dans les délais et n’a pas pris en compte les demandes de plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé), à l’obligation de protéger les données dès la conception ainsi qu’à la sécurité des données (transmission des mots de passe en clair par courriel).

Tous les organismes traitant des données personnelles peuvent être sanctionnés, quelle que soit leur taille. Par exemple, en décembre 2020, la CNIL avait prononcé à l’encontre d’une très petite entreprise (TPE) une amende de 7 300 euros pour avoir notamment adressé des courriels de prospection commerciale sans preuve du consentement préalable des personnes et sans information satisfaisante.

Même si la règlementation RGPD a fait grand bruit au moment de son entrée en vigueur, beaucoup d’entreprises n’ont toujours pas opéré à ce jour une mise en conformité totale avec ces dispositions, en témoignent les sanctions prononcées par la CNIL. Au regard des sanctions prononcées récemment par la CNIL, il est indispensables de mettre en conformité de vos pratiques aux dispositions du RGPD. GPI Avocats vous accompagne dans cette mise en conformité.

Sources :
- Délibération de la formation restreinte n°SAN-2021-024 du 31décembre 2021 concernant la société FACEBOOK IRELAND LIMITED : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044840532 ;
- Délibération de la formation restreinte n°SAN-2021-023 du 31 décembre 2021 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044840062 ;
- Délibération de la formation restreinte n°SAN-2021-020 du 28 décembre 2021 concernant la société SLIMPAY : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044609709 ;
- Délibération de la formation restreinte n°SAN-2021-021 du 28 décembre 2021 concernant la société FREE MOBILE : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044609709 ;
- Délibération de la formation restreinte n°SAN-2020-016 du 7 décembre 2020 concernant la société PERFORMECLIC : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042774286?isSuggest=true.