En France, depuis l’entrée en vigueur du RGPD, la Cnil a reçu de nombreuses plaintes pour non-conformité. Pourtant, peu ont abouti à une sanction financière. Un état de fait qui se répète ailleurs en Europe, un peu comme si le régulateur français et ses homologues européens avaient décidé de frapper fort une première fois pour ensuite privilégier une position d’accompagnateurs.
Sanctionner n’est pas une priorité
La Commission nationale de l’informatique et des libertés (Cnil) infligeait le 21 janvier sa première amende pour non-conformité au RGPD : Google France devra payer 50 millions d’euros. La sanction est symbolique. Les plaintes recensées en Europe sont nombreuses : 95 180 d’après un bilan de la Commission européenne, pour seulement trois sanctions.
Accompagner les entreprises
La plupart des dossiers dont les régulateurs nationaux sont saisis concernent des faits qui se sont produits avant mai 2018 et l’entrée en vigueur du texte. La toute première sanction financière pour non-conformité au RGPD est tombée le 19 octobre dernier : la Comissão Nacional de Protecção de Dados, commission de protection des données portugaise, a prononcé une amende de 400 000 euros contre l’hôpital de Barreiro pour dysfonctionnement de l’accès aux bases de données de ses patients. Est ensuite venu le tour de la Baden-Württemberg Data Protection Authority, son homologue allemand, de condamner le réseau social allemand Knuddels à payer 20 000 euros à la suite d’une fuite de plus de 2,6 millions de données des utilisateurs.
La Cnil peut prononcer des sanctions graduelles à l’encontre d’un organisme public ou privé qui viole le RGPD. En fonction du manquement commis, l’article 58 paragraphe 2 du RGPD prévoit qu’elles peuvent prendre la forme d’un avertissement ou d’une mise en demeure, d’une injonction, d’une limitation ou suspension temporaire des traitements et, enfin, d’une sanction administrative. Il s’agit ici des dispositions de l’article 83 du RGPD : selon la gravité du manquement, le régulateur peut condamner à une amende de 20 millions d’euros ou correspondant à 4 % du chiffre d’affaires mondial de l’entreprise , le montant le plus élevé étant retenu. Les États peuvent également mettre en place des sanctions pénales (article 83), les plus graves pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros. La personne lésée par le traitement de données non conforme au RPGD peut enfin décider de poursuivre l’entreprise pour obtenir des dommages et intérêts.
L’adaptation des regulateurs a leurs nouveaux pouvoirs
« Ces sanctions s’appliquent quelle que soit la taille de l’organisme », précise Francesca Serio, consultante chez Provadys. Les petites entreprises ne sont donc pas épargnées par la réglementation RGPD mais ne se trouvent pas pour autant livrées à elles-mêmes : « La Cnil a conçu un guide pour les PME », explique Jérôme Cail, le fondateur de la start-up Diginsight. Ce spécialiste du RGPD qui travaille aux côtés des petites structures se montre rassurant : « Son but n’est pas de sanctionner à tout prix les entreprises, mais de les accompagner dans leur mise en conformité. » Une démarche qui s’explique par la maturité du régulateur français alors que certains de ses homologues européens apprivoisent encore ce nouvel arsenal normatif.
Le contrôleur adjoint à la protection des données à Bruxelles relève en effet un décalage entre les différents régulateurs européens. « Certaines autorités se montrent prudentes puisque la procédure est assez novatrice pour elles, note Wojciech Wiewiórowski. Pour la Finlande ou l’Estonie par exemple, l’idée qu’une autorité administrative ait le droit de prononcer des sanctions est nouvelle. » Rien de plus long que de changer ses habitudes.
Marine Calvo (@marine_clv )
