Le règlement général de protection des données (RGPD) est un texte européen qui encadre le traitement des données personnelles sur le territoire de l’Union Européenne.
Les objectifs du RGPD sont pluriels : renforcer les droits des personnes, responsabiliser les acteurs traitant des données, et renforcer la coopération entre les autorités nationales de protection des données. Une protection bienvenue, à l’heure où le numérique règne en maître.
Mais que se passe-t-il en cas de non-respect du RGPD ? Quelles sont les sanctions susceptibles d’être prononcées à l’égard des responsables de traitement qui ne respecteraient pas ses dispositions ? Existe-t-il des voies de recours ?
Me Sarah Benhammou, avocate spécialisée en droit du numérique et des sociétés, répond dans cet article aux questions que vous vous posez.
Quelle est la procédure de contrôle de la CNIL relative au RGPD ?
La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante, chargée de la protection des données personnelles en France. Elle dispose du pouvoir de réaliser des contrôles auprès des organismes disposant d’un établissement en France, ou concernant des personnes résidant en France, qui traitent des données à caractère personnel. Ces organismes peuvent être des entreprises privées, des associations ou encore des organismes publics. S’il est avéré qu’ils ne respectent pas les dispositions du RGPD, la CNIL est fondée à prononcer des sanctions à leur égard. Les contrôles de la CNIL peuvent se dérouler sur place, sur audition, en ligne ou sur pièces. Ils peuvent avoir des origines différentes :
- Les réclamations et les signalements : la CNIL peut mener des contrôles suite à la réception de réclamations (plaintes) ou de signalements portant à sa connaissance des faits non conformes aux dispositions relatives à la protection des données personnelles. Ces contrôles visent à vérifier les allégations portées et à s’assurer du respect des dispositions du RGPD.
- Les initiatives : des investigations peuvent être menées par la CNIL suite à l’identification par celle-ci de thématiques susceptibles de soulever des enjeux de protection des données personnelles.
- Les dispositifs de vidéoprotection : chaque année, la CNIL réserve une partie de son activité de contrôle à la vérification des dispositifs de surveillance qui filment des lieux ouverts au public (musées, centres commerciaux, etc).
- Les procédures de contrôle clôturées : des investigations supplémentaires peuvent être menées à la suite d’une procédure de contrôle clôturée, d’une mise en demeure ou d’une sanction, ceci afin de vérifier que les mesures de mise en conformité préconisées par la CNIL ont bien été adoptées par les organismes concernés.
Quelles sont les étapes de la procédure de sanction par la CNIL ?
A l’occasion d’un contrôle, la délégation de la CNIL a vocation à relever toute information technique et juridique nécessaire pour apprécier les conditions dans lesquelles les traitements de données sont mis en œuvre. Elle peut ainsi demander à l’organisme contrôlé de lui communiquer tous documents nécessaires à l’exercice de sa mission. Elle peut également s’entretenir avec le personnel susceptible de disposer d’informations utiles (ex : le DPO s’il y en a un, un informaticien…). Ensuite, les contrôleurs peuvent demander la copie de certains contrats (ex : contrats de sous-traitance informatique), de formulaires, de bases de données, etc.
A la suite d’un contrôle révélant une violation du RGPD, la CNIL désigne un rapporteur et saisit la formation restreinte, composée de 5 membres et d’un Président. L’organisme mis en cause en est alors informé.
Avant la séance restreinte
Un rapport est rédigé, dans lequel est proposée une des mesures prévues par la loi. Il est notifié à l’organisme, qui peut présenter des observations écrites. Le rapporteur de la CNIL a alors 15 jours pour répondre. Suite à cette réponse, l’organisme peut présenter de nouvelles observations.
Lors de la séance
Le rapporteur, puis l’organisme (qui a été convoqué au moins 1 mois avant la séance) présentent des observations orales, basées sur les écrits qu’ils ont produits. Ils répondent ensuite aux questions des membres de la formation restreinte. Le commissaire du gouvernement, qui est présent, peut également donner son avis. L’organisme prend la parole en dernier.
À l’issue de la séance, après délibération à huis clos des membres de la formation restreinte, la décision est notifiée à l’organisme mis en cause. Si sanction il y a, celle-ci peut être non-pécuniaire ou pécuniaire, en fonction de la gravité des faits constatés.
Les sanctions non-pécuniaires peuvent être constituées :
- d’un rappel à l’ordre ;
- d’une injonction de se mettre en conformité avec le RGPD, pouvant être assortie d’une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard ;
- du retrait d'une certification ;
- de la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale.
Les sanctions pécuniaires sont constituées :
- D’une amende administrative dont le montant ne peut excéder 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial de l’entreprise. Pour les manquements les plus graves, le montant de l’amende peut s'élever jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial. Cette sanction peut s’accompagner, dans les cas les plus graves, d’une dénonciation au Parquet.
Des exemples de sanction ayant été prononcées en 2020
En France, Carrefour a été condamné à une amende de 3 millions d’euros pour avoir utilisé les données personnelles des clients souscrivant à la carte Pass de sa filiale bancaire, et imposé des traceurs de navigation (cookies) aux internautes, avant que ceux-ci aient pu donner leur consentement.
Les magasins H&M ont été condamnés à 35 millions d’euros d’amende pour surveillance illégale de leurs employés, via la collecte de données personnelles relatives à leur vie privée et à leur état de santé.
Enfin, la boutique de chaussures en ligne Spartoo a été condamnée à 250 000 euros d’amende pour collecte illégale de données. Elle avait notamment enregistré et conservé les coordonnées bancaires de certains clients sans leur consentement, et collecté illégalement la copie de la carte “santé” de ses clients italiens.
Au-delà de la sanction : les issues possibles
Une plainte reçue par la CNIL ou un contrôle effectué par celle-ci n’appellent pas nécessairement une sanction. En dehors des sanctions, plusieurs réponses peuvent ainsi y être apportées :
- La clôture de la procédure de contrôle, sans observations particulières ;
- La clôture de la procédure de contrôle, assortie d’observations et de recommandations ;
- La mise en demeure de l’organisme d’adopter des mesures dans un délai imparti.
La mise en demeure est une injonction du Président de la CNIL, adressée à un organisme ou à un sous-traitant, de cesser le ou les manquements constatés dans un délai particulier. Elle ne constitue pas une sanction.
Le délai pour répondre à une mise en demeure varie ; il est fixé entre 10 jours et 6 mois, renouvelable une fois. En cas d'urgence et suivant la gravité des faits, il peut être réduit à 24 heures.
Quelles sont les voies de recours ?
À partir de la date de notification de la décision rendue par la CNIL, l'organisme mis en cause dispose d'un délai de deux mois pour former un recours devant le Conseil d'État. Ce délai est porté à 4 mois dans le cas d'un organisme situé à l'étranger.
Il s’agit d’un recours en premier et dernier ressort, c’est-à-dire qu’il ne peut pas faire l’objet d’un appel. Par ailleurs, il convient de noter que la décision de la CNIL est exécutoire dès sa notification et que le recours formé devant le Conseil d’État n’a pas d’effet suspensif : le responsable de traitement doit donc se conformer à la décision (ou à la sanction) de la CNIL dans l’attente que son recours soit examiné.
Enfin, l’organisme mis en cause peut déposer une requête en référé-suspension pour demander au juge des référés de suspendre l’exécution de la décision, ou certains de ses effets, dans l’attente d’un verdict du juge du fond.
Attention : cette procédure doit être justifiée par l’urgence (par exemple, en raison de la publicité de la sanction prononcée), et un doute sérieux doit subsister quant à la légalité de la décision rendue.
- La CNIL est l’autorité administrative indépendante en charge de la protection des données personnelles en France. Dans ce cadre, elle a la possibilité de réaliser des contrôles auprès des organismes traitant des données à caractère personnel.
- Les contrôles de la CNIL peuvent être d’origines diverses (réclamation, signalement, initiative de la CNIL…).
- À la suite d’un contrôle, la CNIL peut clôturer la procédure si elle ne détecte aucun manquement au RGPD, mettre en demeure l’organisme ou saisir la formation restreinte qui a le pouvoir de prononcer des sanctions. Ces dernières peuvent être non-pécuniaires ou pécuniaires, selon le degré de gravité des manquements relevés.
- Toutes les sanctions prononcées par la CNIL peuvent être rendues publiques.
- L'organisme mis en cause a la possibilité de former un recours devant le Conseil d’Etat. Il dispose pour cela d'un délai de deux mois à compter de la date de notification de la décision rendue par la CNIL. Il peut également déposer une requête en référé-suspension.
Une question ? Laissez votre commentaire