L’application du RGPD depuis le 25 mai 2018 a fait évoluer le traitement par les entreprises de leurs bases de données. Cette prise de conscience est en partie attribuée aux nouvelles prérogatives de la CNIL dans ses contrôles ainsi que les sanctions envisagées.
Les sanctions financières pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial ont largement participé à la très grande médiatisation du Règlement.
RGPD : Des sanctions importantes touchant des startup aux GAFA
Ces derniers mois ont ainsi vu de nombreuses sociétés et associations ètre sanctionnées d’amendes aux montants particulièrement importants, dont certaines décisions ont été rendues publiques : https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil
L’impact du RGPD est d’autant plus forte que la CNIL a sanctionné non seulement les GAFA mais également des structures plus modestes jusqu’à des associations qui manquaient à leurs obligations en matière de protection des données.
Les conséquences d’une sanction de l’autorité indépendante ne se limitent cependant pas au simple versement d’une amende pécuniaire. En effet, l’autorité indépendante peut désormais imposer aux sociétés sanctionnées une variété de mesures notamment :
-
- l’avertissement,
- la mise en demeure,
- la sanction pécuniaire,
- l’injonction de cesser le traitement ou le retrait d’autorisation,
- l’interruption du traitement et le verrouillage de certaines données,
- l’information des personnes visées et la publicité des sanctions.
Information au public : un véritable dommage pour les sociétés
Parmi les injonctions de la CNIL se trouve l’obligation pour les sociétés d’informer leurs clients du contrôle opéré et manquements constatés par la CNIL. Également, la CNIL a la possibilité de publier sa décision de sanction, qui sera immanquablement diffusé et commenté en masse dans les médias et les réseaux sociaux.
Ces sanctions liées à l’image de la société constituent une véritable pénalité dont les répercussions économiques sont considérables : pertes de clients voire actions en justice et dédommagements, défiance des prospects, perte d’attractivité, etc.
Les recours existants contre une décision de la CNIL
La CNIL ayant le statut d’autorité administrative indépendante, les recours contre ses décisions sont effectués directement devant le Conseil d’État en pleine juridiction – premier et dernier ressort. Les modalités de ce recours sont strictes : délai d’action dans les deux mois à partir de la notification ou de la publication de la décision.
« L’article 79 du RGPD prévoit quant à lui un « droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant ». Le responsable du traitement est conçu par l’Union européenne comme étant l’entité qui détermine « les finalités et les moyens du traitement des données ».
Le responsable du traitement est donc celui décide de mettre en place le traitement des données et qui décide de quelles façons le traitement des données sera effectué. Par exemple, dans le cadre des personnes privées, c’est dans de nombreux cas les entreprises elles-mèmes. Le sous-traitant est de son côté l’entité qui effectue le traitement des données personnelles pour le compte du responsable du traitement, selon les conditions fixées par ce dernier ». Références.
Plusieurs décisions de sanctions de la CNIL ont ainsi été annulé notamment pour :
– Absence d’information de la CNIL de la possibilité de s’opposer à leurs opérations de contrôle, au cours desquels ils avaient relevé les manquements ayant donné lieu à sanction (CE, 7.07.2010, n° 309721).
– Publication de la décision sur le site de l’autorité et sur Légifrance sans que la formation restreinte ne précise la durée à l’issue de laquelle sa délibération serait anonymisées (CE, 28.09.2016, n° 389448).
L’efficacité d’une telle procédure est cependant relative dans la mesure où le recours n’a pas d’effet suspensif et impose au responsable de traitement de se conformer à la sanction décidée par la CNIL en attendant la décision du Conseil d’État.
Des alternatives judiciaires demeurent envisageables pour obtenir des résultats plus rapides :
– Le référé-suspension, permettant, dans un délai de 48 h à un mois, de suspendre partiellement ou totalement l’exécution de la décision. Cette procédure impose une requète en annulation ou réformation justifié par l’urgence à agir et les réserves sérieuses quant à la légalité de la décision ;
– Le référé-liberté, permettant, dans un délai de 48 h, de mettre fin à une atteinte grave et manifestement illégale d’une liberté fondamentale causée par la décision de la CNIL. Cette procédure se démarque par la compétence du juge judiciaire sur ce point.
