CNIL: Eviter une sanction après une mise en demeure, est-ce possible ?

 

Sanction_cnil

 

Par Amélie Szczepanski
Consultante Juriste RGPD

 

L’arrivée sur le sol européen du Règlement Général sur la Protection des Données (RGPD) représente un bouleversement dans les pratiques de toutes les entreprises, établissements privés et publics, organismes, associations, etc. Ce nouveau Règlement est également l’occasion pour la Commission Nationale de l’Informatique et des Libertés (CNIL) de renforcer son autorité et d’accroître l’étendue de ses missions.

Jusqu’à présent, la CNIL assurait davantage des missions de conseil et de régulation et permettait à une entreprise mise en défaut de respecter la grande Loi Informatique et Liberté de 1978. En effet, l’Autorité de régulation a toujours offert la possibilité aux entreprises concernées, de pouvoir régulariser leur situation afin de faire cesser tout trouble. Une entreprise peut ainsi éviter une sanction en prenant soin de suivre les préconisations de la CNIL suivant la mise en demeure. Aujourd’hui, le RGPD prévoit de nouveaux droits pour les personnes physiques et de nouvelles obligations pour tous les acteurs de collecte et de traitement.

Lorsque l’Autorité de régulation, la CNIL, met en demeure un organisme privé ou public, elle prévoit de laisser un délai de quelques mois pour permettre au contrevenant mis en cause de se régulariser. Ce n’est que par la suite qu’elle effectue un nouveau contrôle et décide s’il est toujours opportun de sanctionner ledit contrevenant.

Cette démarche s’inscrit avant tout dans son désir de voir les entreprises et organismes, appliquer les bonnes pratiques relatives à la protection des données personnelles et de faire prendre massivement conscience de l’importance de ce type de protection pour les individus.
Ainsi, en mai 2017, la CNIL a mis fin à la mise en demeure pour des manquements sur les traitements des données personnelles de la société CDISCOUNT. Cette dernière ayant pris toutes les mesures nécessaires pour endiguer rapidement les diverses violations de droits sur les données personnelles et pour réhausser son niveau de protection. L’entreprise n’a cependant pas pu échapper au caractère public de la procédure et a souffert d’une mauvaise publicité.

Toutefois, il est nécessaire de nuancer deux points. Une mise en conformité n’est pas toujours gage de fin de clôture de la procédure et ne permet pas forcément d’éviter une sanction. Ce fut le cas pour la société Hertz en 2017. Dans un premier temps, HERTZ a subi un incident de sécurité ayant entraîné la violation des données personnelles par son sous-traitant. Un accès libre aux données de plus de 35 000 personnes était possible (identité, coordonnées, numéro de permis de conduire, numéro de téléphone). Malgré la réactivité de l’entreprise pour résoudre cette violation de données, améliorer la sécurité et s’assurer qu’un tel incident ne se reproduire plus, la CNIL a condamné la société Hertz à une amende de 40 000 euros.

Dans une décision plus récente, la CNIL a, pour la première fois, sanctionné une entreprise sans mise en demeure préalable. Dans cette affaire, la société OPTICAL CENTER  a été condamnée au paiement d’une amende s’élevant à 250.000€ au motif d’une atteinte grave à la sécurité des données ses clients depuis son site internet. Il était en effet possible, au travers des URLs, d’accéder à la facturation des clients. Malgré la célérité d’OPTICAL CENTER dans le règlement des failles informatiques avec son prestataire et le rehaussement de ses niveaux de sécurité, la CNIL a fait le choix de sanctionner immédiatement OPTICAL CENTER sans passer par une mise en demeure. Une nouveauté pour l’Autorité de régulation qui s’est justifiée par le risque trop élevé pour les données concernées, le volume et le cas de récidive de la part d’OPTICAL CENTER. En effet, en 2015, la société d’optique avait déjà été sanctionnée pour sa gestion des données à caractère personnel à hauteur de 50 000 euros. Cet élément de récidive semble avoir été déterminant pour la CNIL dans son choix de modifier sa façon d’agir. Il semble à présent fort probable d’observer à l’avenir, d’autres décisions s’inscrivant dans la même vague, tant le RGPD met l’individu au centre des décisions relatives à ses données personnelles.


accueil Blog Actu-CIL