5 - Non-conformité au RGPD : quelles sont les sanctions encourues ?

Blandine Allix et Stéphanie Dumas

Avocats associés, Cabinet Flichy Grangé Avocats

Flichy Grangé Avocats - www.flichygrange.com

Depuis le 25 mai 2018, date d’entrée en vigueur du Règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), qui vise à renforcer la protection des données à caractère personnel, le rôle de la Commission nationale de l’informatique et des libertés (CNIL) est plus que jamais au premier plan. Si cette dernière a accepté de laisser aux entreprises une période d’adaptation pour se mettre en ordre de marche, cette bienveillance a pris fin depuis quelques mois.

Or, les sanctions en matière de protection de données à caractère personnel ont été fortement renforcées avec le RGPD. Certes, la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi dite « Informatique et libertés ») prévoyait déjà à l’époque des sanctions pénales mais le RGPD a institué des sanctions financières particulièrement dissuasives. Ainsi, aujourd’hui, il existe, outre des sanctions pénales, des sanctions administratives et notamment des amendes pécuniaires importantes pouvant aller jusqu’à 20 millions d’euros ou, pour les entreprises, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

C’est l’occasion de faire un point sur les sanctions applicables en cas de non-conformité au RGPD.

Quels contrôles de la CNIL et selon quelles modalités ?

Un large accès aux données

5-1

Les agents de la CNIL peuvent obtenir du responsable de traitement et du sous-traitant l’accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l’accomplissement de leurs missions. Ils peuvent également demander communication et prendre copie de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support. Seuls le secret entre un avocat et son client, le secret des sources journalistiques ou encore le secret médical peuvent leur être opposés (loi 78-17 du 6 janvier 1978, art. 19, III, JO du 7).

Dans l’exercice de cette mission, la CNIL peut effectuer des contrôles selon quatre modalités qui peuvent être combinées (voir §§ 5-2 à 5-5).

Des contrôles sur place

5-2

Tout d’abord, les agents de la CNIL peuvent avoir accès « aux lieux, locaux, accès, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel », que ces lieux soient d’usage professionnel ou personnel (loi 78-17 du 6 janvier 1978, art. 19, I). L’ensemble de ces contrôles suit le même régime que celui applicable aux perquisitions.

Lorsqu’il s’agit de locaux partiellement ou totalement affectés au domicile privé, la CNIL doit préalablement obtenir du juge des libertés et de la détention une autorisation d’y accéder.

Les responsables de traitement ou sous-traitants contrôlés disposent d’un droit d’opposition à la visite des agents de la CNIL, droit dont ils doivent être informés au plus tard lors de l’arrivée sur place de ces derniers (décret 2019-536 du 29 mai 2019, art. 26, JO du 30). Ce droit d’opposition peut toutefois être neutralisé lorsque l’urgence, la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie et après autorisation préalable du juge des libertés et de la détention (loi 78-17 du 6 janvier 1978, art. 19, II).

Des contrôles en ligne

5-3

Les agents de contrôle de la CNIL peuvent également procéder à des contrôles en ligne aussi bien à partir d’un service de communication au public en ligne qu’en entrant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations (loi 78-17 du 6 janvier 1978, art. 19, III).

Les agents de la CNIL peuvent même recourir à une identité d’emprunt (loi 78-17 du 6 janvier 1978, art.19 III). Les agents doivent alors établir un procès-verbal reprenant les opérations en ligne réalisées, les modalités de consultation et d’utilisation des services du responsable de traitement ou sous-traitant contrôlé, les réponses obtenues et leurs constatations. Ce procès-verbal est ensuite adressé au responsable de traitement ou au sous-traitant (décret 2019-536 du 29 mai 2019, art. 33).

Des contrôles sur convocation

5-4

Les agents de la CNIL peuvent également « convoquer » les responsables de traitement ou sous-traitants (loi 78-17 du 6 janvier 1978, art. 19, III). La convocation doit alors respecter certaines formalités et notamment rappeler à la personne convoquée qu’elle peut se faire assister par un conseil de son choix (décret 2019-536 du 29 mai 2019, art. 34). Si le responsable de traitement ou le sous-traitant convoqué ne se présente pas à l’audition, un procès-verbal de carence sera dressé par les agents de la CNIL.

Des contrôles sur pièces

5-5

Enfin, les agents de contrôle de la CNIL peuvent adresser des questionnaires aux organismes en leur demandant de fournir des pièces (loi 78-17 du 6 janvier 1978, art. 19, III).

Qui peut être sanctionné ?

5-6

Une des grandes nouveautés du RGPD est que la responsabilité, qui incombait jusqu’alors seulement au responsable de traitement, est désormais étendue aux sous-traitants (règlt UE 2016/679 du 27 avril 2016, art. 28 à 31, JOUE 4 mai 2016).

Le sous-traitant, tout comme le responsable de traitement, peut donc être sanctionné par la CNIL en cas de violation du RGPD. Le sous-traitant peut également être tenu pour responsable du dommage causé par la violation du RGPD (par exemple, à un salarié).

Ainsi, un sous-traitant qui n’a pas respecté les obligations qui lui incombaient spécifiquement et/ou qui a agi en dehors ou contrairement aux instructions licites du responsable de traitement (par exemple, en cas de non-respect de la durée de conservation demandée par le responsable de traitement), peut désormais être sanctionné. Il peut aussi être tenu de réparer le dommage causé par son manquement.

La procédure de mise en demeure : mesure correctrice facultative que peut prendre la CNIL avant d’édicter une sanction

5-7

Lorsque la CNIL constate des manquements peu importants, elle privilégie le simple échange de courriers afin d’obtenir la mise en conformité.

Lorsqu’un manquement plus important est constaté par les agents de la CNIL et que celui-ci peut encore être corrigé, le président de la CNIL peut choisir de ne pas sanctionner directement l’auteur de la violation et de prononcer une mise en demeure à son encontre afin que ce dernier, dans un délai déterminé, en fonction du manquement concerné (loi 78-17 du 6 janvier 1978, art. 20, II) :

-satisfasse aux demandes présentées par la personne concernée par un traitement de données à caractère personnel en vue d'exercer ses droits ;

-mette ses opérations de traitement en conformité avec les dispositions applicables ;

-prévienne la personne concernée de la violation de ses données à caractère personnel ;

-rectifie, efface ou limite le traitement de certaines données à caractère personnel, voire notifie aux personnes concernées par le traitement de ces données les mesures prises.

Cette décision de la CNIL de déclencher une procédure de mise en demeure au lieu d’une sanction directe est en général dictée par plusieurs facteurs, notamment la gravité du manquement (par exemple le fait d’avoir traité des données sensibles à l’insu des personnes sans avoir garanti la sécurité du traitement), le type de données collectées, le défaut de coopération, l’accumulation de manquements, ou encore le nombre de personnes concernées.

À l’expiration du délai imposé dans le cadre de la mise en demeure (qui peut être de 24 heures en cas d’extrême urgence) (loi 78-17 du 6 janvier 1978, art. 20, II), si le responsable de traitement ou le sous-traitant s’est mis en conformité, le Président de la CNIL pourra prononcer la clôture de la procédure de mise en demeure. À défaut, et si le manquement perdure, la formation restreinte de la CNIL pourra être saisie et prononcer une sanction.

Il est à noter que la mise en demeure peut être rendue publique, ce qui peut impacter l’image de l’entreprise concernée. Dans ce cas, la décision de clôture le sera également.

Quelles sanctions en cas de violation des dispositions relatives à la protection des données à caractère personnel ?

Des sanctions pénales et civiles

5-8

En cas de violation des dispositions relatives à la protection des données à caractère personnel, différentes sanctions peuvent être prononcées directement ou après la procédure de mise en demeure si cette voie n’a pas permis d’obtenir la mise en conformité.

En application de l’article 84 du RGPD, les États membres peuvent instaurer des sanctions autres que celles prévues par le RGPD en cas de violation et en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues par l’article 83 du RGPD.

En France, des sanctions pénales sont fixées par les articles 226-16 à 226-24 du code pénal. À titre d’exemple, une sanction pénale est prévue en cas de détournement de la finalité du traitement de données à caractère personnel (c. pén. art. 226-21). Les sanctions pénales peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende.

Outre ces sanctions pénales, des sanctions civiles (condamnation à régler des dommages-intérêts) peuvent être prononcées dans le cadre d’actions en responsabilité pouvant être introduites par les personnes ayant subi un dommage matériel ou moral du fait de la violation de leurs données à caractère personnel (règlt UE 2016/679 du 27 avril 2016, art. 79 à 82).

Des sanctions administratives

5-9

De même, le responsable de traitement ou le sous-traitant peut se voir infliger par la CNIL une sanction administrative en cas de violation des dispositions légales françaises et/ou du RGPD (règlt UE 2016/679 du 27 avril 2016, art. 83 et 84 ; loi 78-17 du 6 janvier 1978, art. 20 à 23).

Ces sanctions administratives sont prononcées sur la base d’un rapport établi par un membre de la CNIL désigné par le Président de la CNIL. Ce rapport est notifié au responsable de traitement ou au sous-traitant, qui peut déposer des observations et se faire représenter ou assister (loi 78-17 du 6 janvier 1978, art. 22).

Les sanctions administratives que peut prendre la CNIL sont, notamment, les suivantes (règlt UE 2016/679 du 27 avril 2016, art. 83 ; loi 78-17 du 6 janvier 1978, art. 20) :

-un rappel à l'ordre ;

-une injonction de mettre en conformité le traitement ou de satisfaire aux demandes présentées par les personnes concernées en vue d’exercer leurs droits, injonction qui peut parfois être assortie d’une astreinte pouvant aller jusqu’à 100 000 € par jour de retard ;

-la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation accordée ;

-une amende administrative d’un montant maximal de 10 millions d’euros pouvant être porté, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent ; dans certains cas (par exemple, en cas de violation des droits dont bénéficient les personnes concernées en vertu des articles 12 à 22 du RGPD), le montant de l’amende peut atteindre 20 millions d’euros pouvant être porté, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

Quelle que soit la sanction retenue, la CNIL peut décider de la rendre publique, voire ordonner son insertion dans des publications, journaux et supports qu'elle désigne, aux frais des personnes sanctionnées (loi 78-17 du 6 janvier 1978, art. 22). Cette décision de publication est bien évidemment particulièrement dommageable à l’entreprise compte tenu de l’atteinte que cela peut porter à son image et sa réputation.

Il convient de préciser que ces sanctions administratives peuvent faire l’objet d’un recours devant le Conseil d’État dans un délai de 2 mois (c. justice adm. art. R. 421-1). Si le juge administratif réforme une mesure rendue publique, la CNIL doit alors procéder à la publication de la décision de réformation de la sanction sur son site internet (CE 17 avril 2019, n° 422575).

Comment le montant de l’amende administrative est-il déterminé par la CNIL dans la limite du plafond retenu ?

5-10

L’article 84 du RGPD indique que les sanctions prononcées par les autorités de contrôle « sont effectives, proportionnées et dissuasives ».

En France, la CNIL est l’ « autorité de contrôle ».

L’article 83 du RGPD précise quels critères peuvent être pris en compte par les autorités de contrôle pour apprécier le montant de l’amende. Parmi ces critères figurent notamment :

-la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ;

-le fait que la violation a été commise délibérément ou par négligence ;

-toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;

-le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ;

-les catégories de données à caractère personnel concernées par la violation.

Quelle procédure particulière adopte la CNIL en cas d’urgence et de violation des droits et libertés ?

5-11

Lorsqu’il est constaté qu’un responsable de traitement ou qu’un sous-traitant commet des manquements qui constituent une violation des droits et libertés et qu’il est urgent d’intervenir, le Président de la CNIL peut prendre différentes mesures provisoires telles que (loi 78-17 du 6 janvier 1978, art. 21, I) :

-l'interruption provisoire de la mise en œuvre du traitement, y compris d'un transfert de données hors de l'Union européenne, pour une durée maximale de trois mois ;

-la limitation du traitement de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois.

Quelles sanctions administratives ont déjà été infligées par la CNIL en 2018 et 2019 ?

5-12

En 2018, la CNIL a reçu 11 077 plaintes et procédé à 310 contrôles ayant donné lieu à 48 mises en demeure dont 13 ont été publiées. Les sociétés contrôlées ont, pour la plupart, mis fin aux pratiques reprochées par la CNIL. Ces contrôles ont abouti à 11 sanctions dont 9 sanctions pécuniaires publiées.

Le tableau ci-après illustre les types de manquements qui ont entraîné en 2018 et en 2019 une mise en demeure et, le cas échéant, des sanctions de la part de la CNIL.

Exemples de manquements au RGPD ayant entraîné une mise en demeure
Secteur	Nature du manquement	Action du responsable de traitement	Sanction
Établissement supérieur de formation	Vidéosurveillance excessive :*		Clôture de la mise en demeure Aucune sanction
	-caméras visualisant les postes du personnel administratif et les espaces de pause et de travail occupés par les étudiants	-Réorientation ou suppression des caméras
	-information incomplète des salariés	-mise à jour des panneaux d'information
	-droit d'accès disproportionné aux images (accès des étudiants aux images en temps réel)	-suppression du droit d'accès aux images en temps réel
	-mots de passe des agents de sécurité ayant accès à la vidéosurveillance insuffisamment sécurisés	-exigence de mots de passe régulièrement renouvelés pour l'accès au système de vidéosurveillance
Établissement supérieur de formation	Vidéosurveillance excessive :*		Clôture de la mise en demeure Aucune sanction
	-salles de cours, espaces de détente et postes de travail placés sous vidéosurveillance permanente	-Réorientation ou suppression des caméras
	-durée de conservation des images excessives	-conservation des images limitée à 30 jours
	-insuffisance de l'information des salariés	-modification des clauses contractuelles à cet égard et panneaux d'information complétés
	-défaut de sécurisation des images issues de la vidéosurveillance	-mesures prises pour sécuriser l'accès aux images
Agence de traduction	Vidéosurveillance excessive :		20 000 € d'amende (pour la globalité des manquements)
	-caméras visionnant les postes de certains salariés en continu -information incomplète des salariés -durée de conservation des images disproportionnée	Mise en conformité tardive s'agissant de la vidéosurveillance
	Absence de traçabilité des accès individuels à la messagerie professionnelle	Absence de mise en conformité s'agissant de la traçabilité des accès individuels à la messagerie professionnelle	Injonction d'assurer la traçabilité des accès individuels à la messagerie professionnelle, sous astreinte de 200 € par jour
	Accès aux postes informatiques insuffisamment sécurisés	Mise en conformité tardive s'agissant de la modification des mots de passe pour accéder aux postes informatiques
Centre d'appel téléphonique	(notamment) Mise en œuvre d'un dispositif de pointage biométrique à des fins de contrôle des horaires des salariés*	Absence de suppression du dispositif de pointage biométrique, peu important qu'il ne soit pas effectivement utilisé par le service paie	10 000 € d'amende (pour la globalité des manquements)
	Défaut d'information complète des salariés sur leurs droits en matière de protection des données à caractère personnel	Absence d'information complète des salariés sur leurs droits en matière de protection des données à caractère personnel
	Insuffisance des mots de passe pour accéder aux postes informatiques	Absence de preuve de la mise en conformité ou mise en conformité tardive s'agissant de l'accès aux postes informatiques
Assurances	Défaut de sécurité des données clients et comptes des clients accessibles via :		Amende de 180 000 € du fait de la gravité de la violation caractérisée par : -un site défectueux dès sa conception -des mesures élémentaires de sécurité non prises en amont -le nombre important de données (données identifiantes) -le nombre important de personnes concernées
	-des liens hypertextes accessibles sur internet	Mesures insuffisantes pour empêcher le référencement
	-un simple changement dans l'URL
	-mots de passe imposés par la société aux clients pas assez robustes et transmis par mails non chiffrés aux clients	Non contesté par la société
Agence de gestion immobilière	Défaut de sécurité des données clients accessibles via : -un simple changement dans l'URL -l'absence de procédure d'authentification des utilisateurs Conservation des données clients pour une durée disproportionnée (plus de 3 mois) et aucune solution d'archivage intermédiaire mise en place	Aucune mesure d'urgence prise pour faire cesser la violation alors que la société avait connaissance de la faille depuis au moins 6 mois	Amende de 400 000 € du fait de la gravité de la violation caractérisée par : -des mesures élémentaires de sécurité non prises en amont -l'absence de réaction rapide en présence d'une violation des données -le nombre important de données identifiantes (plus de 290 000) -le nombre important de personnes concernées (plus de 29 000)
Application mobile VTC	Atteinte à la sécurité des utilisateurs :* -défaut du système d'authentification -stockage non chiffré des identifiants sur la plateforme collaborative de développement de l'application Il en a résulté une attaque au cours de laquelle deux individus ont dérobé les données personnelles de 57 M d'utilisateurs dans le monde et 1,4 M en France	Ici, l'entreprise a été directement sanctionnée	Amende de 400 000 € du fait de la gravité de la violation caractérisée par : -le nombre important de données (données identifiantes) -le nombre important de personnes concernées (1,4 M)
Téléphone mobile	Défaut de sécurité des données clients :* -désactivation, du fait d'une erreur humaine non décelée par la société, du système d'authentification -vulnérabilité du système de traitement des données (accès aux factures de clients en modifiant l'adresse URL) -absence de mise en œuvre de mesures efficaces permettant de découvrir la faille pendant plus de 2 ans	Réaction rapide pour résoudre l'incident : -cellule de crise -mesures visant à rendre inaccessible les données à des clients -mesures visant à minimiser l'impact d'une éventuelle violation des données (par exemple, rappel des bonnes pratiques, mise à disposition de fiches conseil pour les clients, formations pour les salariés)	Amende de 250 000 € du fait de la gravité de la violation caractérisée par : -le nombre important de données (données identifiantes) -le nombre important de personnes concernées (2 M) -la durée de la violation (plus de 2 ans)
* Faits antérieurs à l'entrée en vigueur du RGPD.