Les sanctions avant et après RGPD
Un pouvoir de sanction à prendre au sérieux ?
Créée en 1978, la CNIL a été doté avec la loi du 6 août 2004 de la faculté de prononcer des sanctions pécuniaires. Ces sanctions sont prononcées en fonction :
- De la gravité du ou des manquements au règlement européen
- Des avantages tirés par l’entreprise à ne pas respecter la réglementation
- Du caractère intentionnel ou non des manquements
- Des mesures prises afin d’y remédier
- De la coopération avec les différents organes de la CNIL et de la catégorie de données concernées.
Avec l’entrée en application du RGPD, et l’augmentation du montant maximal des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel, la CNIL a désormais un pouvoir coercitif fort.
Une inflation des sanctions ?
Nous avons volontairement enlevé l’amende de 50 millions d’€ à l’encontre de GOOGLE qui a tendance à fausser la visibilité.
Si l’on reprend le graphique, l’on constate qu’en 2013 les amendes étaient quasiment anecdotique.
Sur la période entre 2013 et 2014 il faut prendre en compte que GOOGLE a été condamnée pour la première fois le 3 janvier 2014. À l’époque le montant maximal était de 150 000€. Cette amende gonfle la moyenne de 2014.
C’est pendant cette période que la Commission et le Parlement européen sont en réflexion sur le RGPD.
Entre 2014 et 2017, les montants restent stables attestant d’une faible coercition de la part de la CNIL.
A partir de 2017, arrive l’effet RGPD. Tout d’abord via des condamnations qui sont encore placées sur le barème de l’ancienne loi I&L mais avec des montants inédits (250 000€, condamnation pour récidive pour Optical Center le 07 mai 2018) et une politique plus sévère sur certains manquements
2019 voit le montant et le nombre de sanction exploser. L’ancien plafond des amendes de 150 000€ est définitivement oublié, la CNIL prononce même une sanction de 50 millions d’€ (non incluse dans la moyenne pour ne pas biaiser le résultat) à l’encontre de GOOGLE LLC.
Une diversification de traitements concernés ?
Sites web/applications mobiles
Les sites web et applications mobiles récoltent autant de données qu’elles en diffusent. Certains de ces sites web et application permettent à l’utilisateur de créer, gratuitement ou non, un compte afin de bénéficier de plus de services en ligne, qui accroit de manière industrielle la collecte de données.
Depuis 2014, la CNIL est en mesure de contrôler en ligne les sites web, applications ou cloud public afin de vérifier notamment la proportionnalité des données collectées, la gestion des traceurs (dont les Cookies), les mentions d’information ou encore la sécurité du site ou de l’application.
Chiffres clés
Entre 2013 et 2015 : 4 amendes, moyenne de 19 500€, minimum 3 000€, maximum 50 000€
Entre 2016 et 2019 : 15 amendes, moyenne de 125 000€, minimum 10 000€, maximum 400 000€
Services numériques des GAFAM
Les données, les grandes firmes en sont friandes ! Mais quand GOOGLE, AMAZON, FACEBOOK, APPLE ou encore MICROSOFT tombe dans les filets de l’autorité de régulation, en général, les sanctions pécuniaires prononcées à leur égard atteignent en général le plafond maximal. La raison ?
La plupart du temps, les manquements concernent plusieurs services à la fois, dû à leur caractère transversal : moteur de recherche, boite mail, réseau social, système d’exploitation, e-commerce, hébergement et lecture de vidéos/musique…
En janvier 2014 la première amende de la CNIL à l’encontre d’un GAFAM (GOOGLE) a été prononcé. Elle a atteint le plafond maximal autorisé : 150 000€. Depuis cette date, la société GOOGLE LLC a été condamnée deux fois.
En 2016 pour ne pas avoir donné droit à des plaignants de ne plus figurer dans les résultats du moteur recherche, et en 2019 à la suite de plaintes collectives déposées par les associations spécialisées dans la défense des droits et libertés sur internet (record pour la CNIL avec 50 millions d’euros). FACEBOOK a été condamné une fois en 2017 à la suite d’un contrôle des locaux par la CNIL.
Chiffres clés
Entre 2013 et 2015 : 1 amende, moyenne de 150 000€
Entre 2016 et 2019 : 3 amendes, moyenne de 12 600 000€, minimum 100 000€, maximum 50 000 000€
Surveillance des salariés
Les données personnelles sont générées par l’ensemble des moyens utilisés par un employeur pour contrôler l’activité de ses salariés (enregistrement des appels, contrôle des horaires, géolocalisation des véhicules, analyse de la navigation web, enregistrement des frappes de clavier…). Ainsi que pour assurer la sécurité des biens et personnes (vidéosurveillance).
Dans les années qui ont précédé celle de l’adoption du RGPD, on constate que la CNIL a prononcé plusieurs amendes à l’encontre de dispositifs de surveillance des salariés. En effet, la non-conformité de ces dispositifs, notamment la vidéosurveillance utilisée pour contrôler l’activité des salariés alors qu’elle ne doit être réservée qu’à assurer la sécurité des biens et personnes, est une pratique courante.
La CNIL a effectué beaucoup de sensibilisation à ce sujet, car elle reçoit régulièrement des plaintes de salariés concernant une vidéosurveillance abusive (caméras en surnombre, salariés filmés constamment, lieux de repos/privés filmés…).
Chiffres clés
Entre 2013 et 2015 : 9 amendes, moyenne de 8 111€, minimum 3 000€, maximum 10 000€
Entre 2016 et 2019 : 3 amendes, moyenne de 10 033€, minimum 1 000€, maximum 20 000€
Autres traitements
Les données personnelles peuvent être collectées et traitées pour diverses finalités. Pour ces 3 sanctions ne rentrant dans aucune des catégories de traitements précédentes, les données étaient regroupées dans des bases de données utilisées à des fins de prospection et/ou de gestion clientèle.
2017
Un ancien patient souhaite consulter son dossier médical. Le cabinet médical qui le détient n’accède pas à sa demande.
Il est donc sanctionné à hauteur de 10000€.
Montant motivé par la non-coopération avec les services de la CNIL et par le fait d’avoir priver pendant plusieurs mois le plaignant du bénéfice de ses droits.
2018
Un locataire se plaint de recevoir un courrier de la Présidence d’un Office de gestion et location de logements sociaux dont le sujet est un message politique qui sort donc du cadre des finalités propres aux activités et missions d’un bailleur social. La société a été sanctionnée à hauteur de 30 000 €, notamment au regard du nombre important de personnes concernées (environ 16 000 logements sociaux).
2019
Une personne souhaite mettre fin, sans succès, à la prospection commerciale téléphonique intempestive qu’elle subit. La société avait été sanctionné à hauteur de 500 000€, notamment au regard du manque de coopération de l’organisme avec la CNIL, de la pluralité des manquements en cause ainsi que de leur persistance et de leur gravité.
Source : cnil.fr/opendata