A 18 mois de l’entrée en vigueur du RGPD, dressons rapidement le palmarès des dernières décisions rendues et publiées par la formation restreinte de la CNIL, en matière de sanctions.
A la lecture des décisions rendues, l’on peut commencer à voir se profiler une gradation des peines dont certaines sont financièrement très lourdes.

Pour 2019, la CNIL avertit, dans son 39ème rapport annuel 2018 :

« En matière de contrôles et de politique répressive, l’année 2019 marque l’achèvement de la phase de transition entre l’ancienne législation et la nouvelle, que la CNIL avait annoncée début 2018. En s’abstenant jusqu’ici de sanctionner le non-respect des obligations nouvelles du RGPD, et en focalisant son action répressive sur les obligations s’inscrivant dans la continuité de la loi du 6 janvier 1978, la CNIL souhaitait permettre aux responsables de traitement de comprendre et d’assimiler progressivement les exigences du RGPD adopté en 2016. Désormais, la CNIL vérifiera pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations) et tirera, au besoin, toutes les conséquences en cas de constatation de manquements. »

Il faut distinguer entre les amendes qui viennent sanctionner un manquement aux grands principes du RGPD de celles qui viennent sanctionner une faille de sécurité, celles-ci étant généralement plus lourdes.

1. Sanctions pour violation aux principes posés par le RGPD.

Le 8 octobre 2018, la formation restreinte a rendu une décision à l’encontre de la société Singlespot pour les faits suivants :
 La société Singlespot collectait et traitait 14.344.670 données, dont 5.529.383 données de géolocalisation à des fins publicitaire pour lesquelles elle n’avait pas reçu le consentement des personnes concernées. En outre, ces dernières n’étaient pas informées des finalités poursuivies par ce traitement ;
 Ces données de géolocalisation étaient conservées pendant treize (13) mois ;
 Le compte administrateur de la société Singlespot permettant d’accéder à la base de données utilisait un mot de passe de seize (16) caractères, composé de trois (3) types de caractères différents ;
 La société Singlespot utilisait des données personnelles réelles aux fins de phases de développement et de test.

La formation restreinte a constaté des manquements à l’obligation de disposer d’une base légale pour la mise en œuvre du traitement, au principe de limitation de la durée de conservation des données, et à l’obligation d’assurer la sécurité et la confidentialité des données.

A cet égard, une simple mise en demeure de se conformer au RGPD était prononcée à l’encontre de la société Singlespot (décision n°MED-2018-043 du 8 octobre 2018).

La formation restreinte s’est également prononcée dans le cadre d’une violation au principe de limitation des finalités. Dans les faits, un traitement de données personnelles avait été réalisé par l’Office Public de l’Habitat de Rennes Métropole Archipel Habitat (envoi de courriels) mais était incompatible avec la finalité pour laquelle ses données étaient initialement collectées (à savoir, gestion du patrimoine immobilier).
L’Office Public de l’Habitat de Rennes traitait par conséquent des données personnelles en l’absence de toute base légale. La formation restreinte a sanctionné un tel manquement d’une amende administrative de 30.000 euros (délibération n°SAN-2018-007 du 24 juillet 2018).

En 2018, la CNIL était saisie de plaintes pour la mise en place par la société Uniontrad Company d’un dispositif de vidéosurveillance en continue dans ses locaux sans en avoir informé ses salariés. La société conservait par ailleurs les images enregistrées pour une durée, considérée par la CNIL, comme excessive comparée à la finalité de contrôle. Le 26 juillet 2018, la présidente de la CNIL mettait en demeure la société Uniontrad Company de modifier le dispositif de vidéosurveillance, mettre en œuvre une politique de durée de conservation des images enregistrées, procéder à l’information des personnes dont les données étaient traitées et mettre en place diverses mesures nécessaires à la sécurité et la confidentialité des données dans les deux mois suivants la décision. Lors d’un second contrôle opéré en octobre 2018, la CNIL a constaté que le dispositif de vidéosurveillance en continue ne présentait aucune modification.

La CNIL a par suite prononcé une amende administrative de 20.000 euros à l’encontre de la société Uniontrad Company pour manque de célérité, soit 0,44% de son chiffre d’affaire.

2. Sanctions dans le cadre d’une faille de sécurité.

Récemment, la formation restreinte a prononcé une sanction pécuniaire de 180.000 euros à l’encontre d’Active Assurance non seulement pour avoir exposé 300.000 données de ses clients en raison d’une faille de sécurité mais également pour avoir imposé comme règles de protection des mots de passe de connexion aux espaces clients, leur date de naissance, le format étant par ailleurs indiqué dans le formulaire de connexion (délibération n°2019-007 du 18 juillet 2019).

La majorité des sanctions prononcées par la CNIL en 2018 concernait en effet des incidents de sécurité, causés par un défaut dans les URL permettant de rendre des données personnelles librement accessibles et qui a été maintes fois signalé comme faisant partie des vulnérabilités les plus répandues.

Ainsi, à titre d’exemples, la CNIL a sanctionné plusieurs responsables de traitement pour un manquement à la sécurité et prononcé :
• 30.000 euros à l’encontre d’Alliance Française Paris Ile de France – soit 0,34% de son chiffre d’affaire- pour avoir exposé 413.144 données (délibération n°2018-010 du 6 septembre 2018) ;
• 250.000 euros à l’encontre d’Optical Center – soit 0,11% de son chiffre d’affaire - pour avoir exposé 2.085 données de ses clients considérées « sensibles » alors qu’elle avait déjà été condamnée en 2015 par la CNIL à 50.000 euros d’amende pour un défaut de sécurité (délibération n° SAN-2018-002 du 7 mai 2018) ;
• 250.000 euros à l’encontre de Bouygues Telecom – soit 0,005% de son chiffre d’affaire- pour avoir exposé plus de 2 millions de données pendant près de 2 ans (délibération n°SAN-2018-012 du 26 décembre 2018) ;
• 400.000 euros à l’encontre d’Uber France – soit 0,78 % de son chiffre d’affaire - pour avoir exposé plus d’1,4 millions de données (délibération n°2018-011 du 19 décembre 2018) ; et plus récemment
• 400.000 euros à l’encontre de Sergic soit 1 % de son chiffre d’affaire - pour avoir exposé plus 290.870 données (délibération n°2019-005 du 28 mai 2019).

Les entreprises doivent aujourd’hui prendre très au sérieux ces condamnations et se préoccuper de leur mise en conformité avec le RGPD… si elles ne l’ont pas déjà fait.

Se défendre devant la commission restreinte de la CNIL est un exercice périlleux : les délais d’instruction sont généralement courts, les rapports contre lesquels il faut se défendre souvent lourds et complexes à analyser, les observations à rédiger pour se défendre généralement uniques et concentrées en un seul jeu d’écriture et les sanctions préconisées par le rapporteur nécessitent, pour les combattre, de faire oeuvre de transparence sur son chiffre d’affaires, sa marge, ses effectifs, les personnes touchées, les particularités marché et les tendances du secteur, etc ...

Jérôme Giusti, Associé fondateur de Metalaw Spécialiste en droit de la propriété intellectuelle et en droit des nouvelles technologies, de l'informatique et de la communication