La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité compétente qui a pour rôle en France de contrôler la conformité des « organisations » (entreprises, administrations…) aux exigences, nombreuses et parfois complexes, du RGPD. Dans ce contexte, si l’Autorité constate des non-conformités, elle est revêtue d’un pouvoir de sanction qui peut aller du simple avertissement jusqu’à l’amende administrative. Pour mémoire, ces amendes peuvent s’élever jusqu’à 4% du chiffre d’affaires mondial d’une entreprise dont les activités manqueraient lourdement au RGPD, et jusqu’à 20 millions d’euros pour une organisation ne réalisant pas de chiffre d’affaires.
Ces sanctions sont prononcées au terme d’enquêtes parfois longues, qui permettent des échanges avec l’entité incriminée, et en principe dans le cadre d’une décision collégiale. Toutefois, certains manquements sont manifestes, notamment lorsque les caractéristiques juridiques d’un traitement (sa finalité, sa base légale, l’information due aux personnes…) ne sont pas respectées. À cet égard, un décret du 8 avril 2022[1] avait consacré les modalités d’une « procédure simplifiée de sanction » pouvant être mise en œuvre par la CNIL.
Cette procédure a vocation à être utilisée dès lors que le litige apparaît comme étant relativement aisé à résoudre. Dans ce cadre, ce n’est plus une formation collégiale qui tranche, mais le Président de la formation restreinte, ou un membre désigné en son sein par la CNIL. Autre particularité, aucune séance publique n’est organisée et les décisions ne sont pas non plus rendues publiques par la suite[2]. De plus, l’amende maximale prononcée ne peut alors dépasser 20.000 euros, et l’éventuelle astreinte de mise en conformité ne peut dépasser 100 euros par jour de retard. Cette procédure a connu un essor certain en raison de l’accroissement du nombre de plainte en 2022 (plus 12.000 plaintes reçues)[3].
Ainsi, le 12 mars dernier, la CNIL a annoncé avoir prononcé quinze nouvelles sanctions depuis le début de l’année 2024, pour un montant cumulé de 98.5000 euros[4]. Les principales violations sont diverses, mais ont le plus souvent concerné les thématiques suivantes : des entraves aux missions et ressources du délégué à la protection des données personnelles (« DPO »), des défauts plus ou moins graves de sécurité des données, le non-respect des droits des personnes, le défaut de base légale en matière de prospection commerciale (souvent, le consentement ne répond pas aux exigences du RGPD), l’absence d’encadrement suffisant des obligations du sous-traitant, ou encore des manques de coopération avec la CNIL. On rappelle à cet égard qu’existe un délit d’entrave aux opérations de vérification de la CNIL, sanctionné par l’article 51 de la loi du 6 Janvier 1978 modifiée (jusqu’à un an d’emprisonnement et 15.000 euros d’amende).
La CNIL n’a fourni de précisions qu’au sujet de trois des sanctions prononcées dans ce contexte, étant rappelé que ces décisions ne sont pas publiques.
En particulier, la CNIL a fourni des indications notamment les missions et ressources du délégué à la protection des données. Dans le cadre de l’une de ses sanctions, la CNIL a relevé que le DPO de l’organisation en cause n’avait pas été convié aux réunions internes relatives à la protection des données ainsi qu’à leur sécurité. Ses coordonnées n’avaient pas non plus été communiquées aux employés de l’entreprise. De plus, l’accès à la messagerie du site internet par laquelle étaient exercés les droits des personnes concernées, ne lui était pas accessible…
La CNIL a donc rappelé à cette occasion quelques fondamentaux qui s’appliquent aux missions du DPO dans l’organisation : il a un rôle très important de conseil et d’avis, et doit par conséquent participer à tout projet de l’entreprise qui implique une collecte ou un traitement de données à caractère personnel (qu’il s’agisse d’acquérir une nouvelle filiale et par conséquent d’insérer celle-ci dans le processus interne de conformité RGPD, qu’il s’agisse de lancer de nouveaux services fournis aux clients finaux, qu’il s’agisse d’acquérir un nouveau service numérique, ou plus généralement toute évolution structurelle ou organisationnelle de l’entreprise qui induit des modifications dans les traitements de données). Le DPO doit également être très facilement identifiable et joignable par toute personne concernée, qu’il s’agisse des salariés de l’entreprise, ou de personnes externes comme les clients, prospects ou encore fournisseurs de l’entreprise.
En matière d’information relative aux activités de prospection commerciale ou politique, la CNIL veille à ce que la base légale soit clairement définie – et sauf exceptions, il doit s’agir du consentement préalable, actif, non équivoque, éclairé et révocable de la part des contacts. En outre, l’information qui leur est due doit être dispensée conformément aux exigences des articles 12, 13 et 14 du RGPD. C’est à ce prix, d’ailleurs, que l’organisation peut revendiquer disposer d’une base légale licite : parce que le consentement est « éclairé ».
À cet égard, une association à caractère politique n’avait pas, durant la campagne présidentielle de 2022, fourni une information claire et transparente sur son site internet, de sorte qu’elle avait violé les articles afférents du RGPD. À cela s’ajoutait que des SMS et des messages vocaux de prospection politique, mais aussi des courriers électroniques ou postaux, ont été envoyés à des contacts sans toujours fournir les informations obligatoires relatives à l’exercice de leurs droits (dont le droit d’accès, de rectification ou de suppression de leurs données, ou encore en l’espèce le droit d’opposition au traitement).
Cette sanction fait d’ailleurs écho à une publication récente de la CNIL, qui a annoncé un plan d’action pour protéger les données des électeurs en vue des élections européennes de 2024[5]. La CNIL a notamment indiqué dans ce plan qu’elle se concentre sur les pratiques de prospection téléphonique ainsi que sur la réutilisation des fichiers pour la mise en place d’actions de propagande. La CNIL porte également une attention particulière au futur règlement européen relatif à la transparence et au ciblage de la publicité à caractère politique.
Des manquements au RGPD sont souvent induits par des failles en matière de sécurité de l’information. On ne répétera jamais assez que derrière le RGPD se profile le paradigme de la sécurité des actifs incorporels de l’organisation, et donc également des données personnelles que l’organisation collecte et traite dans le cadre de ses activités.
Les condamnations liées à des défauts de sécurité des données personnelles sont parmi les plus fréquentes, pour des failles de gravités très diverses. À titre d’exemple, dans ce recensement des décisions prononcée dans le cadre de la procédure simplifiée de la CNIL, des organisations ont été condamnées pour ne pas avoir utilisé de versions récentes du protocole de sécurité « TLS » (successeur du fameux protocole « SSL »), ou encore pour ne pas avoir utilisé de suites cryptographiques conformes à l’état de l’art. La CNIL avait adressé des mises en demeure, prévoyant un délai de remise en conformité, que certaines des organisations visées n’ont malheureusement pas respecté.
On note au passage que les principales violations recensées par la CNIL dans le cadre de cette procédure simplifiée ne correspondent pas exactement avec les quatre thématiques prioritaires de contrôle annoncées par la CNIL pour l’année 2024[6]. Pour mémoire, la CNIL avait annoncé que pour cette année, elle axerait ses contrôles sur des traitements portant sur les données des mineurs, sur les « données des Jeux Olympiques » dont les expérimentations de vidéosurveillance mises en place par l’État à cette occasion, sur les traitements des tickets de caisse dématérialisés, ou encore le respect et la mise en œuvre du droit d’accès des personnes concernées à leurs données.
En outre, le plan stratégique de 2022/2024 défini par la CNIL[7] prévoyait de s’intéresser aux caméras augmentées et leur usage, aux transferts de données dans l’informatique en nuage (le cloud), ainsi qu’aux collectes de données dans les applications de smartphones. Notons toutefois qu’il s’agit là de thématiques constantes, et que la CNIL ne cessera évidemment pas de s’intéresser à de tels traitements au-delà de l’année 2024.
En revanche, des convergences apparaissent entre les thèmes prioritaires annoncés en 2023 (dont les traitements des données de santé et les accès au dossier médical informatisé), et les sanctions prononcées dans le cadre de la procédure simplifiée cette même année. À ce titre, l’une des sanctions prononcées via cette procédure simplifiée, en décembre 2023, était également relative au non-respect du droit d’accès au dossier médical. Par ailleurs, en novembre 2023, la CNIL a sanctionné un dispositif de géolocalisation et de vidéo-surveillance, jugés excessif et disproportionné au regard de la finalité poursuivie [8].
Ainsi, on note qu’il a peu de convergence entre les sanctions prononcées au titre de la procédure simplifiée depuis le début de l’année 2024 et les thématiques prioritaires annoncées par la CNIL pour cette même année (hormis la thématique du droit d’accès). Il ne faut cependant pas douter que la CNIL poursuivra ses contrôles dans le cadre des thématiques de 2024 (entre autres), et que des sanctions en résulteront nécessairement, que ce soit via la procédure simplifiée ou la procédure collégiale.
Il est donc opportun de se souvenir que, si les nécessaires actions de mise en conformité de l’entreprise aux exigences du RGPD peuvent représenter des projets coûteux et parfois frustrants puisqu’ils doivent mobiliser de nombreux métiers dans l’entreprise, de telles actions restent objectivement moins onéreuses que les sanctions qui peuvent être prononcées par la CNIL en cas de manquement, en ce comprises les mises en demeure publiques qui, même si elles n’accompagnent pas d’amende administrative, peuvent entraîner une perte d’image de l’entreprise sur le marché et auprès de sa clientèle.
Thomas Beaugrand, Avocat Counsel
Margaux De Marcellus, Elève Avocat
DS Avocats
[1] Décret n°2022-517 du 8 avril 2022 modifiant le décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[2] CNIL, besoin d’aide, questions, Sanctions : quelles sont les étapes des procédures de sanction à la CNIL ?
[3] Lexis Pratique Social, étude S 20-50, Conditions de travail – Mise en œuvre de la procédure de sanction simplifiée par la CNIL pour des dispositifs de géolocalisation et de vidéosurveillance des salariés.
[4] CNIL actualité, 12 mars 2024, la CNIL a prononcé 15 nouvelles sanctions dans le cadre de la procédure simplifiée
[5] CNIL, actualités, 11 mars 2024, Elections européennes 2024 : le plan d’action de la CNIL pour protéger les données des électeurs
[6] CNIL, 8 février 2024, les contrôles de la CNIL en 2024 : données des mineurs, Jeux Olympiques, droit d’accès et tickets de caisse dématérialisés
[7] Plan stratégique de la CNIL, 2022/2024, axe 3 : nos priorités face à l’intensification de usages des données personnelles
[8] CNIL, actualité, 7 novembre 2023, la CNIL prononce 10 nouvelles sanctions dans le cadre de sa procédure simplifiée
