En 2021, les autorités européennes de protection des données ont été plus que jamais actives. Ola Mohty, juriste et experte RGPD chez Data Legal Drive, fait le point dans le détail.
Depuis l’entrée en application du RGPD, les autorités de contrôle européennes ont prononcé au moins 907 amendes, parfois extrêmement lourdes[1], et un très grand nombre de mises en demeure publiques.
Le Règlement européen sur la protection des données continue à susciter la crainte chez les organismes autant publics que privés. Les sanctions infligées montrent que les entreprises peinent à respecter l’ensemble des exigences en la matière et qu’elles sont le plus souvent bien loin de démontrer une conformité effective.
Le respect de ces obligations n’est toutefois guère une option et une application incomplète ou erronée de la règle pourrait conduire au prononcé d’une sanction. C’est bien le résultat qu’a tenté d’obtenir le législateur européen en rendant possible le prononcé d’une amende pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel. En plus de supprimer les formalités préalables et d’introduire une gestion interne de la conformité, le RGPD confère aux autorités de protection le pouvoir de prononcer des sanctions lourdes.
Quelles ont été les sanctions de l’année 2021, quelle a été la démarche adoptée ?
Une disparité d’application
Le bilan des sanctions prononcées en Europe en 2021 dévoile une disparité d’application selon les pays. Les autorités de contrôle les plus actives sont situées principalement en Espagne, en Italie et en Roumanie[2]. Une analyse reposant sur les montants des sanctions permet toutefois d’aboutir à un constat différent.
Le nombre de sanctions
Alors que certaines autorités privilégient une démarche stricte en prononçant une sanction de manière quasi-systématique, d’autres suivent une stratégie moins rigide et un écart remarquable quant au nombre de sanctions prononcées par ces autorités peut être relevé.
En France, le nombre de sanctions infligées est relativement constant : 17 sanctions ont été prononcées en 2021[3] contre 14 en 2020[4]. Les sanctions touchent à la fois le secteur privé et le secteur public, montrant ainsi que l’Etat n’est pas à l’abri et qu’il doit être exemplaire lorsqu’il s’agit de protection des données personnelles. A titre d’exemple, le ministère de l’Intérieur a été rappelé à l’ordre en septembre 2021 pour sa mauvaise gestion du fichier automatisé des empreintes digitales[5]. Cinq manquements ont été relevés par la CNIL dont une insuffisance des mesures de sécurité et la définition de durées de conservation excessives.
Le nombre d’amendes infligées par la CNIL reste toutefois inférieure à 40 sur une période de trois ans et les mises en demeure semblent être privilégiées. Bien que la mise en demeure ne soit plus un préalable nécessaire à la sanction, les investigations de la CNIL en matière de cookies ont abouti à une vingtaine de mises en demeure en mai 2021[6], une quarantaine en juillet 2021[7], et une trentaine en décembre 2021[8]. Cinq sanctions ont jusqu’à présent permis de condamner des pratiques en matière de cookies et ces sanctions ont concerné notamment des géants de l’internet[9].
En Europe, des stratégies distinctes peuvent être observées et certains pays semblent privilégier une réaction plus sévère. En Espagne, l’autorité de contrôle a atteint les 351 sanctions depuis l’entrée en vigueur du RGPD[10]. Il en est de même pour l’autorité italienne avec 101 sanctions[11]. Ces pays ne sont pas réticents à infliger activement à des entreprises de petite taille des amendes d’un montant dérisoire. Ainsi, un supermarché a été sanctionné par l’autorité espagnole de protection des données par une amende de 1000 euros pour manquement aux obligations d’information. La Belgique ou encore la Pologne semble quant à elles privilégier une stratégie analogue à celle de la France avec un petit nombre de sanctions.
Le montant des sanctions
Concernant le montant des sanctions, les GAFAM, qui étaient déjà sous étroite surveillance, ont encore une fois été sanctionnés par des amendes records. Au-delà du préjudice réputationnel, ils sont dans l’obligation de modifier leurs pratiques et ne peuvent plus ignorer les obligations qui leur sont imposées en matière de données personnelles. Amazon s’est ainsi vu infliger une amende record de 746 millions d’euros par l’autorité luxembourgeoise[12], et WhatsApp a été condamné à hauteur de 225 millions d’euros par l’autorité irlandaise[13]. Ces deux amendes sont les plus élevées depuis l’entrée en vigueur du RGPD et cette démarche visant à toucher les grands comptes n’est pas sans conséquence. Peut-être qu’en ciblant ces entreprises, les autorités cherchent à mettre en garde les entreprises nationales en les incitant à faire preuve de vigilance.
En France, les montants des amendes prononcées en 2021 sont en deçà de ces seuils. Or, malgré cet écart, les sanctions records de cette année ne doivent pas être ignorées : 150 millions d’euros à l’encontre de Google et 60 millions d’euros à l’encontre de Facebook pour non-respect des exigences relatives au consentement[14], et 1.75 million d’euros à l’encontre d’AG2R La Mondiale pour manquement à l’obligation d’information et à l’obligation de limiter la durée de conservation des données[15]. Des entreprises de petites tailles ont également été sanctionnées. A titre d’exemple, la société Nestor a été sanctionnée pour avoir transmis des courriels de prospection sans avoir recueilli au préalable le consentement des prospects, pour ne pas avoir informé les personnes concernées et pour avoir manqué aux exigences sur les droits des personnes[16]. Ceci confirme que le RGPD concerne tous les acteurs, quel que soit leur taille et leur moyen financier.
Ainsi, la CNIL, si elle est moins active que les autorités de contrôle espagnoles ou italiennes, garde tout de même une place centrale. Elle était à l’origine de sanctions records en 2020 et a activement pris part à la procédure engagée devant l’autorité luxembourgeoise contre Amazon qui a abouti à une sanction de 746 millions d’euros !
Pourquoi une telle disparité ?
Plusieurs raisons peuvent être évoquées. Il faut relativiser les chiffres dans la mesure où certaines autorités ne publient pas systématiquement toutes les sanctions qu’elles prononcent et se contentent de mettre en avant par exemple uniquement les amendes significatives. Une autre raison est inhérente aux moyens alloués et au nombre de personnes en charge de la procédure de sanction au sein des autorités de contrôle. Enfin, la procédure et la lourdeur des sanctions varient d’un pays à l’autre.
Ces sanctions dépendent également de plusieurs paramètres qui varient selon les pays. Elles réagissent à la fois à l’actualité, s’inscrivant ainsi dans la stratégie de contrôle adoptée par l’autorité de protection qui diffère d’un pays à l’autre. En 2021, les thématiques prioritaires de contrôle de la CNIL portaient sur la sécurité des données de santé et l’utilisation des cookies. D’autres sanctions réagissent à des plaintes de personnes concernées ; notamment quant à la gestion de leurs demandes d’exercice de droits. Ainsi, si la CNIL reçoit un certain nombre de plaintes, et/ou que le manquement est criant, elle pourra initier un contrôle, peu importe que celui-ci s’inscrive dans sa stratégie.
Mais que les sanctions soient fréquentes et modérées ou qu’elles soient plus rares mais lourdes, un risque existe pour toutes les entreprises, entrainant un préjudice financier, un préjudice d’image ou une réorganisation forcée et urgente des processus.
Des manquements variés
Certains manquements ont été sanctionnés pour la première fois par la CNIL en 2021. Ceci atteste d’une volonté de mettre en garde les entreprises sur la nécessité de respecter l’ensemble des obligations du RGPD. Ainsi, le 28 décembre 2021 et avec la condamnation à 180.000€ d’amende de la société Slimpay, la CNIL sanctionne pour la première fois un manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués par un sous-traitant[17]. La sanction de 300.000€ d’amende à l’encontre de Free Mobile a permis de sanctionner pour la première fois un manquement à l’obligation de protéger les données dès la conception, une des obligations clé du RGPD[18].
Au-delà, les manquements relevés par les autorités européennes sont variés et portent notamment sur l’obligation de sécurité, l’information des personnes, les bases légales, les droits des personnes ou encore les grands principes du RGPD.
En matière de sécurité des données, les violations ne manquent pas. Les sanctions les plus marquantes en France sont celle prononcée le 28 décembre 2021 à l’encontre de la société SLIMPAY (180.000€)[19], celle infligée le 29 octobre 2021 à l’encontre de la RATP (400.000€)[20], et celle prononcée le 14 juin 2021 à l’encontre de la société Brico Privé (500.000€)[21]. D’autres sanctions ont été prononcées par nos voisins européens pour manquement à l’obligation de sécurité telle que celle infligée le 12 novembre 2021 au Pays-Bas à l’encontre de Transavia (400.000€)[22], ou encore celle prononcée le 25 mai 2021 par l’autorité espagnole à l’encontre de Vodafone (100.000€)[23].
En matière d’obligation d’information, la CNIL a sanctionné la société Monsanto d’une amende de 400 000 euros pour ne pas avoir informé les personnes dont les données étaient enregistrées dans un fichier à des fins de lobbying[24]. La société Nestor a également été sanctionnée d’une amende de 20.000 euros pour non-respect des exigences portant sur l’information des personnes. Plus précisément, il lui est reproché de ne pas présenter la totalité des informations obligatoires et de manquer aux obligations d’accessibilité et de transparence[25].
On peut s’interroger sur les raisons de la prédominance de ces violations. Ceci est-il dû à une simple négligence du responsable de traitement ou plutôt à un manque de clarté au niveau des obligations concernées ? Des difficultés dans la mise en pratique de ces obligations constituent-elles un obstacle à une conformité effective ? Sans vouloir remettre en cause la nécessité pour les entreprises de faire preuve d’une grande vigilance quant à la protection des données personnelles, le manque de précision de la règle légale peut dans certains cas être à l’origine du non-respect effectif de l’obligation.
A titre d’exemple, le RGPD présente la pseudonymisation et le chiffrement des données en tant que techniques permettant de préserver la sécurité des données27. Or, ce ne sont que des exemples et il revient à l’organisme de définir les mesures adéquates afin d’assurer un niveau de sécurité « approprié » tout en tenant compte des risques. En dépit de ces éléments, aucune disposition n’évoque la nécessité d’une collaboration entre les juristes et les techniciens. De même, les détails quant aux modalités pratiques permettant le respect des exigences de forme en matière d’obligation d’information ne se retrouvent pas dans le texte et une marge de manœuvre est laissée au responsable de traitement qui doit juger des moyens permettant une intégration effective de l’information par l’utilisateur.
Or est-ce du ressort de la loi de détailler les éléments d’ordre technique ? Une telle approche ne peut être encouragée, au risque d’une désuétude rapide des textes législatifs. Même si les manquements relevés peuvent parfois être dus à des règles imprécises, recourir à des règles flexibles doit être privilégié pour anticiper l’innovation.
Il est indéniable que 2021 a été une année riche en sanctions. La CNIL, comme les autres autorités de contrôle européennes, a fait preuve d’un comportement actif, vis-à-vis des grands comptes comme des petites entreprises. Rien ne permet de penser que l’année 2022 sera différente, et en France, le projet de loi de finances pour 2022 augmente le budget de la CNIL de 21,890 millions d’euros à 24,314 millions, ce qui est un signal fort en matière de protection des données personnelles.
[1] https://www.enforcementtracker.com/?insights
[2] https://www.enforcementtracker.com/?insights
[3] https://www.cnil.fr/fr/tag/sanctions
[4] CNIL, Rapport d’activité 2020, https://www.cnil.fr/sites/default/files/atoms/files/cnil_-_41e_rapport_annuel_-_2020.pdf
[5] https://www.cnil.fr/fr/fichier-automatise-des-empreintes-digitales-rappel-lordre-du-ministere-de-linterieur
[6] CNIL, Refuser les cookies doit être aussi simple que de les accepter : une vingtaine d’organismes mis en demeure, 25 mai 2021, https://www.cnil.fr/fr/cookies-une-vingtaine-organismes-mis-en-demeure
[7] CNIL, Refuser les cookies doit être aussi simple qu’accepter : La CNIL adresse une deuxième série de mises en demeure, 19 juillet 2021, https://www.cnil.fr/fr/refuser-cookies-doit-etre-aussi-simple-accepter-la-cnil-adresse-deuxieme-serie-de-mises-en-demeure
[8] CNIL, Refuser les cookies doit être aussi simple qu’accepter : la CNIL poursuit son action et adresse de nouvelles mises en demeure, 14 décembre 2021, https://www.cnil.fr/fr/refuser-cookies-doit-etre-aussi-simple-accepter-cnil-poursuit-action-adresse-mises-en-demeure
[9] Délibération de la formation restreinte no SAN-2020-012 du 7 décembre 2020 concernant les sociétés google LLC et google Ireland Limited, https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042635706/ ; Délibération de la formation restreinte no SAN-2020-013 du 7 décembre 2020 concernant la société Amazon Europe Core, https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042635729/ ; https://www.cnil.fr/fr/cookies-la-cnil-sanctionne-google-hauteur-de-150-millions-deuros-et-facebook-hauteur-de-60-millions
[10] Données disponibles sur : https://www.enforcementtracker.com/?insights
[11] Données disponibles sur : https://www.enforcementtracker.com/?insights
[12] CNIL, « L’autorité luxembourgeoise de protection des données a prononcé à l’encontre d’Amazon Europe Core une amnde de 746 millions d’euros », 3 août 2021, https://www.cnil.fr/fr/lautorite-luxembourgeoise-de-protection-des-donnees-prononce-lencontre-damazon-europe-core-une
[13] Le Monde, « WhatsApp sanctionné d’une amende record pour ne pas avoir respecté les normes de protection des données de l’UE », 2 septembre 2021, https://www.lemonde.fr/pixels/article/2021/09/02/donnees-personnelles-whatsapp-sanctionne-d-une-amende-record-par-le-regulateur-irlandais_6093152_4408996.html
[14] Délibération de la formation restreinte n°SAN-2021-023 du 31 décembre 2021 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044840062 ; Délibération de la formation restreinte n°SAN-2021-024 du 31décembre 2021 concernant la société FACEBOOK IRELAND LIMITED : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044840532
[15] https://www.cnil.fr/fr/sanction-1-75-million-deuros-ag2r-la-mondiale
[16] https://www.cnil.fr/fr/prospection-commerciale-sanction-de-20-000-euros-lencontre-de-la-societe-nestor
[17] https://www.cnil.fr/fr/violation-de-donnees-sanction-de-180-000-euros-lencontre-de-la-societe-slimpay
[18] https://www.cnil.fr/fr/sanction-de-300-000-euros-lencontre-de-la-societe-free-mobile
[19] https://www.cnil.fr/fr/violation-de-donnees-sanction-de-180-000-euros-lencontre-de-la-societe-slimpay
[20] https://www.cnil.fr/fr/fichiers-devaluation-des-agents-sanction-de-400-000-euros-lencontre-de-la-ratp
[21] https://www.cnil.fr/fr/sanction-de-500-000-euros-lencontre-de-la-societe-brico-prive
[22] https://autoriteitpersoonsgegevens.nl/en/news/dutch-dpa-fines-transavia-poor-personal-data-security
[23] https://www.aepd.es/es/documento/ps-00030-2021.pdf
[24] https://www.cnil.fr/fr/fichier-de-lobbying-sanction-de-400-000-euros-lencontre-de-la-societe-monsanto
[25] https://www.cnil.fr/fr/prospection-commerciale-sanction-de-20-000-euros-lencontre-de-la-societe-nestor