Sanctionner n’est pas une priorité

Sanctionner n’est pas une priorité

© Ivan Marc

En France, depuis l’entrée en vigueur du RGPD, la Cnil a reçu de nombreuses plaintes pour non-conformité. Pourtant, peu ont abouti à une sanction financière. Un état de fait qui se répète ailleurs en Europe, un peu comme si le régulateur français et ses homologues européens avaient décidé de frapper fort une première fois pour ensuite privilégier une position d’accompagnateurs.

La Commission nationale de l’informatique et des libertés (Cnil) infligeait le 21 janvier sa première amende pour non-conformité au RGPD : Google France devra payer 50 millions d’euros. La sanction est symbolique. Les plaintes recensées en Europe sont nombreuses : 95 180 d’après un bilan de la Commission européenne, pour seulement trois sanctions.

Accompagner les entreprises

La plupart des dossiers dont les régulateurs nationaux sont saisis concernent des faits qui se sont produits avant mai 2018 et l’entrée en vigueur du texte. La toute première sanction financière pour non-conformité au RGPD est tombée le 19 octobre dernier : la Comissão Nacional de Protecção de Dados, commission de protection des données portugaise, a prononcé une amende de 400 000 euros contre l’hôpital de Barreiro pour dysfonctionnement de l’accès aux bases de données de ses patients. Est ensuite venu le tour de la Baden-Württemberg Data Protection Authority, son homologue allemand, de condamner le réseau social allemand Knuddels à payer 20 000 euros à la suite d’une fuite de plus de 2,6 millions de données des utilisateurs.

La Cnil peut prononcer des sanctions graduelles à l’encontre d’un organisme public ou privé qui viole le RGPD. En fonction du manquement commis, l’article 58 paragraphe 2 du RGPD prévoit qu’elles peuvent prendre la forme d’un avertissement ou d’une mise en demeure, d’une injonction, d’une limitation ou suspension temporaire des traitements et, enfin, d’une sanction administrative. Il s’agit ici des dispositions de l’article 83 du RGPD : selon la gravité du manquement, le régulateur peut condamner à une amende de 20 millions d’euros ou correspondant à 4 % du chiffre d’affaires mondial de l’entreprise , le montant le plus élevé étant retenu. Les États peuvent également mettre en place des sanctions pénales (article 83), les plus graves pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros. La personne lésée par le traitement de données non conforme au RPGD peut enfin décider de poursuivre l’entreprise pour obtenir des dommages et intérêts.

L’adaptation des regulateurs a leurs nouveaux pouvoirs

« Ces sanctions s’appliquent quelle que soit la taille de l’organisme », précise Francesca Serio, consultante chez Provadys. Les petites entreprises ne sont donc pas épargnées par la réglementation RGPD mais ne se trouvent pas pour autant livrées à elles-mêmes : « La Cnil a conçu un guide pour les PME », explique Jérôme Cail, le fondateur de la start-up Diginsight. Ce spécialiste du RGPD qui travaille aux côtés des petites structures se montre rassurant : « Son but n’est pas de sanctionner à tout prix les entreprises, mais de les accompagner dans leur mise en conformité. » Une démarche qui s’explique par la maturité du régulateur français alors que certains de ses homologues européens apprivoisent encore ce nouvel arsenal normatif.

Le contrôleur adjoint à la protection des données à Bruxelles relève en effet un décalage entre les différents régulateurs européens. « Certaines autorités se montrent prudentes puisque la procédure est assez novatrice pour elles, note Wojciech Wiewiórowski. Pour la Finlande ou l’Estonie par exemple, l’idée qu’une autorité administrative ait le droit de prononcer des sanctions est nouvelle. » Rien de plus long que de changer ses habitudes.

Marine Calvo (@marine_clv )

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Protection des données personnelles : l’Union (européenne) fait la force

Avec le RGPD, l’Europe se dote pour la première fois d’une réglementation extraterritoriale. Ce qu’elle impose aux organismes européens en matière de protection des données personnelles, elle l’exige aussi des entreprises dont le siège est hors de l’Union lorsqu’elles traitent des données des Européens.
Sommaire RGPD : une arme de construction massive Wojciech Wiewiórowski : « Ce qui change, ce ne sont pas les contraintes mais la menace d’une sanction » RGPD, une protection tous azimuts Jean Lessi (Cnil) : « La Cnil continue d’accompagner, de contrôler et de sanctionner » RGPD : surmonter les obstacles Droits de l'homme : l'Europe protectrice Le RGPD à la conquête du monde Huawei prise dans la guerre digitale USA-Chine
Un petit quiz avant l'été ?

Un petit quiz avant l'été ?

Le conseil de la rédaction pour des vacances sereines et reposantes ? Vérifier que l'actualité des six derniers mois est bien maîtrisée. À vous de jou...

Les professionnels de la gestion de patrimoine face à la réforme du label ISR

Les professionnels de la gestion de patrimoine face à la réforme du label ISR

Le nouveau comité du label investissement socialement responsable (ISR), présidé par Michèle Pappalardo, travaille à sa modernisation. Les grandes lig...

Lanceurs d’alerte : 9 États européens sur 27 sont en règle

Lanceurs d’alerte : 9 États européens sur 27 sont en règle

La directive sur la protection des lanceurs d'alerte imposait comme date butoir de transposition par les États de l’Union européenne le 17 décembre 20...

Quels sont les sujets incontournables de l’été pour les DPO ?

Quels sont les sujets incontournables de l’été pour les DPO ?

Jérôme Deroulez, associé fondateur du cabinet Deroulez Avocats, revient pour Décideurs Juridiques sur les thèmes qui devraient occuper les délégués à...

Le réseau d’audit GMBA se dote d’un cabinet d’avocats

Le réseau d’audit GMBA se dote d’un cabinet d’avocats

Les six professionnels du cabinet Nosten Avocats ont rejoint en mai dernier le cabinet d’experts comptables GMBA, formalisant ainsi une collaboration...

Une gouvernance paritaire pour l’AFJE

Une gouvernance paritaire pour l’AFJE

Incarner la diversité des juristes d’entreprise pour mieux répondre aux défis du métier. C’est l’objectif que l’Association française des juristes d’e...

Oui, investir dans le Bitcoin peut être une bonne idée

Oui, investir dans le Bitcoin peut être une bonne idée

Longtemps mal vues des régulateurs car jugées trop volatiles, les monnaies virtuelles convainquent de plus en plus largement les investisseurs en quêt...

Brune Poirson (Accor) : "Le dialogue avec les gestionnaires d’actifs est crucial"

Brune Poirson (Accor) : "Le dialogue avec les gestionnaires d’actifs est crucial"

Directrice du développement durable au sein du groupe hôtelier Accor et présidente du jury du Prix de la Finance verte 2022, Brune Poirson évoque la m...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message