Vient de paraître en librairie le livre « Jurisprudence données personnelles 2018-2020 Décisions tendances », édité par Lexing Editions, filiale du cabinet Lexing Alain Bensoussan Avocats. Il recense et commente la jurisprudence Informatique et libertés française en matière de sanctions de la Cnil depuis l’entrée en application du RGPD.
Fin 2020, la formation restreinte de la Cnil condamnait deux géants du numérique à des amendes spectaculaires d’un montant total de 135 millions € pour non-respect de la réglementation Informatique et libertés.
Deux ans auparavant, dès janvier 2019 soit quelques mois après l’entrée en application du Règlement général sur la protection des données (RGPD), la Cnil avait déjà prononcé la sanction la plus lourde – 50 millions d’euros – jamais décidée en Europe par une autorité de protection des données.
Confirmée quelques mois plus tard par le Conseil d’Etat, cette dernière décision marquait alors la première traduction concrète de la plus grande sévérité souhaitée par le législateur européen en matière de sanctions pour manquement par les responsables de traitement au respect de leurs obligations découlant du RGPD.
RGPD : des sanctions record de la Cnil en 2020
En effet, aux amendes longtemps peu dissuasives qui pouvaient être prononcées, le RGPD a substitué des sanctions financières beaucoup plus lourdes, pouvant s’élever jusqu’à 20 millions € ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Depuis la mise en place du nouveau cadre juridique national relatif à la protection des données, les décisions de la formation restreinte de la Cnil se sont multipliées, dessinant peu à peu les contours du nouveau barème répressif de la protection des données.
RGPD : tout le monde est concerné
Une chose est certaine : toutes les entreprises sont concernées, des géants internationaux à cotations multiples aux simples entrepreneurs individuels, comme en témoignent les deux dernières décisions de la Cnil du 7 décembre 2020 condamnant de deux médecins libéraux à 3 000 € et 6 000 € pour avoir insuffisamment protégé les données personnelles de leurs patients.
C’est cette nouvelle jurisprudence Informatique et libertés, complétées par les arrêts rendus par le Conseil d’Etat et la Cour de cassation au cours de la même période, que recense l’ouvrage rédigé par Alain, Virginie et Jérémy Bensoussan, à jour des dernières décisions rendues en décembre 2020.
Un chapitre est consacré à l’analyse quantitative des décisions prononcées par la Cnil depuis 2018 afin de cerner les tendances à moyen terme (classement des décisions selon le montant des sanctions actualisé, les types de manquements constatés, la publicité et les délais de procédure).
A l’heure où le Conseil d’Etat vient de se prononcer (le 4 mars 2021) sur l’injonction faite par la Cnil à Google de se conformer à la réglementation Informatique et libertés en matière de cookies, son actualité revêt une acuité toute particulière.