CNIL : Les amendes avant et après RGPD (Partie 1)

4 février 2020

La transposition en droit national du règlement européen sur la protection des données a-t-elle véritablement changé la donne au regard des sanctions infligées aux entreprises non respectueuses du règlement ? Doté d’un pouvoir coercitif depuis plus de quinze ans, la CNIL investit d’année en année son rôle de gendarme de la donnée.
Benjamin, Consultant GDPR Rating a minutieusement analysé de 2013 à 2019, quel manquement, comment et pourquoi, la CNIL a cloué au pilori. Restitution.

01 – Un pouvoir de sanction à prendre au sérieux ?

Créée en 1978, la CNIL a été doté avec la loi du 6 août 2004 de la faculté de prononcer des sanctions pécuniaires. Ces sanctions sont prononcées en fonction :

  • De la gravité du ou des manquements au règlement européen
  • Des avantages tirés par l’entreprise à ne pas respecter la réglementation
  • Du caractère intentionnel ou non des manquements
  • Des mesures prises afin d’y remédier
  • De la coopération avec les différents organes de la CNIL et de la catégorie de données concernées.

Avec l’entrée en application du RGPD, et l’augmentation du montant maximal des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel, la CNIL a désormais un pouvoir coercitif fort.

11 077
C’est le nombre de plaintes qui ont été déposées auprès de la CNIL en 2018, soit une augmentation de 32,5% par rapport à l’année précédente.

02 – Une inflation des sanctions ?

Moyenne des montants des sanctions par année
Ce calcul ne tient pas compte de l’amende de 50 millions d’€ à l’encontre de GOOGLE

245%
Entre 2013 et 2014

La société GOOGLE a été condamnée pour la première fois le 3 janvier 2014. À l’époque le montant maximal était de 150 000€. Cette amende gonfle la moyenne de 2014.
Cette même année, la Commission et le Parlement européen sont en pleine réflexion sur le RGPD.

231%
Entre 2017 et 2018

En trois ans, les effets du RGPD se font ressentir. Dès 2018, la CNIL inflige des amendes dont les montants sont inédits (250 000€, le 07 mai 2018) ou sanctionne plus sévèrement certains manquements.

107%
Entre 2018 et 2019

En 2019, l’ancien plafond des amendes de 150 000€ est définitivement oublié, la CNIL prononce même une sanction de 50 millions d’€ (non incluse dans la moyenne pour ne pas biaiser le résultat) à l’encontre de GOOGLE LLC.

03 – Une diversification de traitements concernés ?

 

Traitements sanctionnés entre 2016 et 2019
Traitements sanctionnés entre 2013 et 2015

Sites web/
applications mobiles

Les sites web et applications mobiles récoltent autant de données qu’elles en diffusent. Certains de ces sites web et application permettent à l’utilisateur de créer, gratuitement ou non, un compte afin de bénéficier de plus de services en ligne, qui accroit de manière industrielle la collecte de données.

Depuis 2014, la CNIL est en mesure de contrôler en ligne les sites web, applications ou cloud public afin de vérifier notamment la proportionnalité des données collectées, la gestion des traceurs (dont les Cookies), les mentions d’information ou encore la sécurité du site ou de l’application.

4 amendes
Entre 2013 et 2015

Moyenne : 19 500€
+ grande : 50 000€
- grande : 3 000€

15 amendes
Entre 2016 et 2019

Moyenne : 125 000€
+ grande : 400 000€
- grande : 10 000€

Services numériques des GAFAM

 

Les données, les grandes firmes en sont friandes ! Mais quand GOOGLE, AMAZON, FACEBOOK, APPLE ou encore MICROSOFT tombe dans les filets de l’autorité de régulation, en général, les sanctions pécuniaires prononcées à leur égard atteignent en général le plafond maximal. La raison ?
La plupart du temps, les manquements concernent plusieurs services à la fois, dû à leur caractère transversal : moteur de recherche, boite mail, réseau social, système d’exploitation, e-commerce, hébergement et lecture de vidéos/musique…

En janvier 2014 la première amende de la CNIL à l’encontre d’un GAFAM (GOOGLE) a été prononcé. Elle a atteint le plafond maximal autorisé : 150 000€. Depuis cette date, la société GOOGLE LLC a été condamnée deux fois.
En 2016 pour ne pas avoir donné droit à des plaignants de ne plus figurer dans les résultats du moteur recherche, et en 2019 à la suite de plaintes collectives déposées par les associations spécialisées dans la défense des droits et libertés sur internet (record pour la CNIL avec 50 millions d’euros). FACEBOOK a été condamné une fois en 2017 à la suite d’un contrôle des locaux par la CNIL.

1 amende
Entre 2013 et 2015

Moyenne : 150 000€

3 amendes
Entre 2016 et 2019

Moyenne : 12 600 000€
+ grande : 50 000 000€
- grande : 100 000€

Surveillance des salariés

 

Les données personnelles sont générées par l’ensemble des moyens utilisés par un employeur pour contrôler l’activité de ses salariés (enregistrement des appels, contrôle des horaires, géolocalisation des véhicules, analyse de la navigation web, enregistrement des frappes de clavier…). Ainsi que pour assurer la sécurité des biens et personnes (vidéosurveillance).

Dans les années qui ont précédé celle de l’adoption du RGPD, on constate que la CNIL a prononcé plusieurs amendes à l’encontre de dispositifs de surveillance des salariés. En effet, la non-conformité de ces dispositifs, notamment la vidéosurveillance utilisée pour contrôler l’activité des salariés alors qu’elle ne doit être réservée qu’à assurer la sécurité des biens et personnes, est une pratique courante.
La CNIL a effectué beaucoup de sensibilisation à ce sujet, car elle reçoit régulièrement des plaintes de salariés concernant une vidéosurveillance abusive (caméras en surnombre, salariés filmés constamment, lieux de repos/privés filmés…).

 

9 amendes
Entre 2013 et 2015

Moyenne : 8 111€
+ grande : 10 000€
- grande : 3 000€

3 amendes
Entre 2016 et 2019

Moyenne : 10 033€
+ grande : 20 000€
- grande : 1 000€

Autres traitements

 

Les données personnelles peuvent être collectées et traitées pour diverses finalités. Pour ces 3 sanctions ne rentrant dans aucune des catégories de traitements précédentes, les données étaient regroupées dans des bases de données utilisées à des fins de prospection et/ou de gestion clientèle.

2017

Un ancien patient souhaite consulter son dossier médical. Le cabinet médical qui le détient n’accède pas à sa demande.
Il est donc sanctionné à hauteur de 10000€.
Montant motivé par la non-coopération avec les services de la CNIL et par le fait d’avoir priver pendant plusieurs mois le plaignant du bénéfice de ses droits.

2018

Un locataire se plaint de recevoir un courrier de la Présidence d’un Office de gestion et location de logements sociaux dont le sujet est un message politique qui sort donc du cadre des finalités propres aux activités et missions d’un bailleur social. La société a été sanctionnée à hauteur de 30 000 €, notamment au regard du nombre important de personnes concernées (environ 16 000 logements sociaux).

2019

Une personne souhaite mettre fin, sans succès, à la prospection commerciale téléphonique intempestive qu’elle subit. La société avait été sanctionné à hauteur de 500 000€, notamment au regard du manque de coopération de l’organisme avec la CNIL, de la pluralité des manquements en cause ainsi que de leur persistance et de leur gravité.

Source : cnil.fr/opendata
Benjamin BARATTA - Consultant RGPD