Sanctionner n’est pas une priorité

En France, depuis l’entrée en vigueur du RGPD, la Cnil a reçu de nombreuses plaintes pour non-conformité. Pourtant, peu ont abouti à une sanction financière. Un état de fait qui se répète ailleurs en Europe, un peu comme si le régulateur français et ses homologues européens avaient décidé de frapper fort une première fois pour ensuite privilégier une position d’accompagnateurs.

© Ivan Marc

En France, depuis l’entrée en vigueur du RGPD, la Cnil a reçu de nombreuses plaintes pour non-conformité. Pourtant, peu ont abouti à une sanction financière. Un état de fait qui se répète ailleurs en Europe, un peu comme si le régulateur français et ses homologues européens avaient décidé de frapper fort une première fois pour ensuite privilégier une position d’accompagnateurs.

La Commission nationale de l’informatique et des libertés (Cnil) infligeait le 21 janvier sa première amende pour non-conformité au RGPD : Google France devra payer 50 millions d’euros. La sanction est symbolique. Les plaintes recensées en Europe sont nombreuses : 95 180 d’après un bilan de la Commission européenne, pour seulement trois sanctions.

Accompagner les entreprises

La plupart des dossiers dont les régulateurs nationaux sont saisis concernent des faits qui se sont produits avant mai 2018 et l’entrée en vigueur du texte. La toute première sanction financière pour non-conformité au RGPD est tombée le 19 octobre dernier : la Comissão Nacional de Protecção de Dados, commission de protection des données portugaise, a prononcé une amende de 400 000 euros contre l’hôpital de Barreiro pour dysfonctionnement de l’accès aux bases de données de ses patients. Est ensuite venu le tour de la Baden-Württemberg Data Protection Authority, son homologue allemand, de condamner le réseau social allemand Knuddels à payer 20 000 euros à la suite d’une fuite de plus de 2,6 millions de données des utilisateurs.

La Cnil peut prononcer des sanctions graduelles à l’encontre d’un organisme public ou privé qui viole le RGPD. En fonction du manquement commis, l’article 58 paragraphe 2 du RGPD prévoit qu’elles peuvent prendre la forme d’un avertissement ou d’une mise en demeure, d’une injonction, d’une limitation ou suspension temporaire des traitements et, enfin, d’une sanction administrative. Il s’agit ici des dispositions de l’article 83 du RGPD : selon la gravité du manquement, le régulateur peut condamner à une amende de 20 millions d’euros ou correspondant à 4 % du chiffre d’affaires mondial de l’entreprise , le montant le plus élevé étant retenu. Les États peuvent également mettre en place des sanctions pénales (article 83), les plus graves pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros. La personne lésée par le traitement de données non conforme au RPGD peut enfin décider de poursuivre l’entreprise pour obtenir des dommages et intérêts.

L’adaptation des regulateurs a leurs nouveaux pouvoirs

« Ces sanctions s’appliquent quelle que soit la taille de l’organisme », précise Francesca Serio, consultante chez Provadys. Les petites entreprises ne sont donc pas épargnées par la réglementation RGPD mais ne se trouvent pas pour autant livrées à elles-mêmes : « La Cnil a conçu un guide pour les PME », explique Jérôme Cail, le fondateur de la start-up Diginsight. Ce spécialiste du RGPD qui travaille aux côtés des petites structures se montre rassurant : « Son but n’est pas de sanctionner à tout prix les entreprises, mais de les accompagner dans leur mise en conformité. » Une démarche qui s’explique par la maturité du régulateur français alors que certains de ses homologues européens apprivoisent encore ce nouvel arsenal normatif.

Le contrôleur adjoint à la protection des données à Bruxelles relève en effet un décalage entre les différents régulateurs européens. « Certaines autorités se montrent prudentes puisque la procédure est assez novatrice pour elles, note Wojciech Wiewiórowski. Pour la Finlande ou l’Estonie par exemple, l’idée qu’une autorité administrative ait le droit de prononcer des sanctions est nouvelle. » Rien de plus long que de changer ses habitudes.

Marine Calvo (@marine_clv )

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Protection des données personnelles : l’Union (européenne) fait la force

Avec le RGPD, l’Europe se dote pour la première fois d’une réglementation extraterritoriale. Ce qu’elle impose aux organismes européens en matière de protection des données personnelles, elle l’exige aussi des entreprises dont le siège est hors de l’Union lorsqu’elles traitent des données des Européens.
Sommaire RGPD : une arme de construction massive Wojciech Wiewiórowski : « Ce qui change, ce ne sont pas les contraintes mais la menace d’une sanction » RGPD, une protection tous azimuts Jean Lessi (Cnil) : « La Cnil continue d’accompagner, de contrôler et de sanctionner » RGPD : surmonter les obstacles Droits de l'homme : l'Europe protectrice Le RGPD à la conquête du monde Huawei prise dans la guerre digitale USA-Chine
P-S. Bénac (Label Relance) : "Nous avons dépassé les 200 fonds labellisés distribués par plus de 110 sociétés de gestion"

P-S. Bénac (Label Relance) : "Nous avons dépassé les 200 fonds labellisés distribués par plus de 110...

Un an après son lancement, le label Relance s’est fait un nom auprès des sociétés de gestion. Paul-Simon Bénac, adjoint au chef du bureau Épargne et m...

Le legal design, outil de développement des "soft skills" au service de la transformation numérique des directions juridiques

Le legal design, outil de développement des "soft skills" au service de la transformation numérique...

Lors de ce premier Décideurs Talk, Sihem Ayadi, CEO et fondatrice de Juridy Legal Design, et Carla Hegly Chung, Global Head of Sales & Marketing d...

Watson Farley & Williams renforce son bureau de Dubaï

Watson Farley & Williams renforce son bureau de Dubaï

Alhassane Barry rejoint le département finance de Watson Farley & Williams à Dubaï en qualité d’associé. Il fait notamment bénéficier la firme int...

Maestria Blockchain : un nouvel acteur pour encadrer et sécuriser les projets innovants

Maestria Blockchain : un nouvel acteur pour encadrer et sécuriser les projets innovants

Seconder et sécuriser les entreprises en pleine mutation numérique sur le plan technique financier et juridique. Telle est l’ambition de la société Ma...

Sécurité des données : quel rôle pour le DPO ?

Sécurité des données : quel rôle pour le DPO ?

Si sa fonction est souvent méconnue, le DPO – délégué à la protection des données – est aujourd’hui un acteur clé pour les entreprises comme pour les...

L'accès au private equity grâce à Private Corner

L'accès au private equity grâce à Private Corner

Avec l’adoption de la loi Pacte, les acteurs privés et autres professionnels cherchent aujourd’hui à investir le réel. Illustrée par le fléchage d’une...

Création du cabinet Exso

Création du cabinet Exso

Gépy Koudadje lance Exso, nouveau cabinet de niche en droit social qui ouvrira ses portes en janvier prochain au 219, rue Saint-Honoré à Paris. Partic...

TGS France Avocats promeut une avocate à Lille

TGS France Avocats promeut une avocate à Lille

Avocate chez TGS France Avocats depuis presque quatre ans, Claire Cambernon prend la direction du bureau lillois de l’enseigne.

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message

Ce site utilise des cookies. En continuant la navigation, vous acceptez nos conditions d'utilisation des cookies.
Plus d'informations

J'accepte