Walter Billet Avocats | View firm profile
A l’occasion du Data Protection Day *, le cabinet Walter Billet Avocats – qui intervient régulièrement aux côtés des entreprises pour les accompagner dans la gestion des problématiques liées au traitement des données personnelles – annonce la publication de « L’Observatoire des Sanctions CNIL ». Etabli sur la base des décisions publiées à la suite de manquements aux dispositions du Règlement général sur la protection des données (RGPD), entré en vigueur mi-2018, ce nouvel indicateur met en avant la progression des interventions de l’autorité administrative, ainsi que sa volonté de couvrir un large spectre d’entreprises dans ses investigations.
Un volume de sanctions en progression constante…
Au cours de l’année 2022, la CNIL a une nouvelle fois accru le nombre de ses décisions, en dévoilant ses prises de position à 23 reprises. Dans ce cadre, elle a notamment prononcé 19 amendes – un chiffre à comparer avec les 15 de l’année 2021 et les 11 évoquées lors du millésime précédent.
Source : L’Observatoire des Sanctions CNIL – Walter Billet AvocatsEn parallèle,
l’autorité chargée de s’assurer de la bonne mise en œuvre du RGPD a prononcé 1 clôture d’injonction (celle visant Facebook depuis le 31 décembre 2021) et 2 liquidations d’astreinte (concernant un notaire et une société de réparation et d’entretien de véhicules), mais aussi révélé avoir ouvert un dossier dans le cadre d’une coopération (après avoir été informée par Deezer d’un vol de données concernant les utilisateurs de la plateforme de musique en streaming).
… et une forte proportion d’amendes supérieures au million d’euros
Parmi les 19 sanctions prononcées au cours de l’année écoulée, 7 ont dépassé le seuil du million d’euros. La plus importante d’entre elles (60 millions d’euros) a concerné Microsoft, à l’issue d’opérations de contrôle confirmant :
- le dépôt de cookies sur le terminal des utilisateurs du site bing.com, sans demande expresse de leur consentement ;
- l’absence de bouton permettant de refuser les cookies aussi facilement que pour les accepter.
Clearview AI, qui traitait via son logiciel de reconnaissance faciale les données d’individus obtenues à partir de photos disponibles en ligne (sans leur consentement), a pour sa part fait l’objet d’une amende de 20 millions, tandis que celle visant Apple s’est élevée à 8 millions – la CNIL constatant la diffusion de publicités ciblées aux utilisateurs de l’App Store (version 14.6) sans demande expresse de leur consentement.
Source : L’Observatoire des Sanctions CNIL – Walter Billet Avocats
« En infligeant fréquemment des sanctions aux montants élevés, visant des grandes entreprises souvent très connues du grand public, la CNIL semble vouloir indiquer à l’ensemble du marché que le droit à l’erreur n’est plus véritablement de mise. Les premières années d’application, où il pouvait subsister une certaine ‘indulgence’ afin de s’adapter au nouveau règlement, prennent désormais fin. Par ailleurs, force est de constater qu’elle est intervenue tous azimuts l’an passé, en prononçant aussi des amendes à l’égard de professions individuelles et de TPE. Il apparait qu’elle continuera dans cette voie et que nul ne puisse se sentir à l’abri », analyse Alan Walter, associé-cofondateur de Walter Billet Avocats, expert en droit des nouvelles technologies, de l’informatique et des données personnelles.
Des sanctions de l’ordre de quelques milliers d’euros ont en effet été adressées en 2022 à plusieurs médecins ainsi qu’à une université – confirmant l’étendue du spectre d’intervention de la CNIL, comme cela avait déjà été le cas au cours de l’année 2021.
Autre fait marquant de l’année écoulée : la présence – parmi les 19 sociétés sanctionnées – de deux entreprises évoluant du public :
- Infogreffe, le GIE des greffes des tribunaux de commerce français, a fait l’objet d’une amende de 250 000 euros, en raison de la durée de conservation des mots de passe des utilisateurs (au-delà de ce qui était prévu) ;
- EDF a pour sa part été gratifiée d’une sanction de 600 000 euros en raison de plusieurs manquements au RGPD (démarchage commercial sans consentement, « charte de protection des données personnelles » lacunaire, manquement aux obligations de sécurité…).
Investigations spontanées ou faisant suite à des dépôts de plaintes
La variété des cas traités au cours de l’année 2022 démontre également que la CNIL affiche l’intention d’être présente sur tous les sujets liés au RGPD. L’autorité administrative a non seulement mené ses propres investigations – y compris dans le cadre de coopération avec ses homologues européens, comme ce fut le cas pour Clearview AI –, mais aussi diligenté des enquêtes à la suite de plaintes reçues de la part d’utilisateurs (comme pour Total Energies, Accor, Infogreffe, EDF, Free, Microsoft et Apple).
Il ressort aussi des décisions récentes que la CNIL pointe souvent du doigt l’attitude des entreprises lorsqu’elles font l’objet d’investigations. Tout défaut de coopération constitue un motif supplémentaire de grief et pèse parfois lourd dans la décision finale. Ce fut particulièrement le cas de Clearview AI, dont il a été indiqué qu’elle n’avait coopérer avec aucune des institutions européennes scrutant sa conformité au RGPD.
« Il faut garder à l’esprit que les investigations de la CNIL durent généralement plusieurs mois. Les entreprises doivent profiter de cette possibilité de mettre en place les premières actions correctrices durant la période entre le contrôle, la mise en demeure et la sanction éventuelle, relève Alan Walter. Elles ont donc tout intérêt à coopérer et se montrer proactives pour démontrer leur bonne volonté et espérer, in fine, ne pas voir s’envoler le montant de l’amende – dans le cas où la CNIL estimerait encore que ces modifications ne sont pas suffisantes pour être tout à fait en ligne avec la législation. »
Pas de barème des sanctions disponible
A ce stade, et bien que l’on compte désormais une cinquantaine de décisions en l’espace de trois ans, il demeure impossible d’établir un barème des sanctions prononcées par la CNIL : non seulement, celles-ci font écho à une grande variété de cas d’espèce, mais elles s’appuient aussi sur une règlementation particulièrement dense et dont les contours prêtent parfois à interprétation.
« En 2022, la CNIL a invoqué pas moins d’une douzaine d’articles du RGPD pour qualifier les griefs adressés aux entreprises. La mise en œuvre de ce texte ouvre donc la voie à une multitude de manquements possibles des entreprises, parmi lesquels il est encore difficile d’établir une gradation à l’heure actuelle, analyse Alan Walter. Cela est d’autant plus impossible que les textes sont parfois assez flous : à titre d’exemple, ils mentionnent l’obligation de disposer en interne d’un délégué à la protection des données (DPO) en cas de traitement de données à grande échelle, sans jamais préciser un ordre de grandeur qui permettrait de comprendre où se situerait la limite… Impossible, donc, pour les entreprises de quantifier ex ante le risque financier auquel elles s’exposent éventuellement. De toute façon, les inciter à faire un tel calcul ne serait pas leur rendre service, puisqu’il ne fait désormais aucun doute que la question de la conformité au RGPD devient incontournable. »
| Articles du RGPD invoqués par la CNIL dans ses sanctions en 2022 | |
| Article 5.1 c | Obligation de veiller à la minimisation des données |
| Article 5.1 e | Obligation de définir et respecter une durée de conservation des données |
| Article 6 | Licéité du traitement des données |
| Articles 12 et 13 | Droit à l’information des personnes concernées par le traitement des données |
| Article 15 | Droit d’accès des personnes concernées par le traitement des données |
| Article 17 | Droit à l’effacement (aussi appelé « droit à l’oubli ») |
| Article 21 | Droit de s’opposer au traitement des données à tout moment |
| Article 25.2 | Mise en œuvre des mesures techniques et organisationnelles appropriées pour garantir la protection des données personnelles |
| Article 28 | Obligation de s’assurer qu’un sous-traitant est en mesure d’intervenir dans le respect du RGPD |
| Article 29 | Le sous-traitant ne peut procéder au traitement des données que sur instruction du responsable du traitement |
| Article 32 | Liste non-limitative des mesures techniques et organisationnelles à prendre pour garantir la sécurité des données |
| Article 35 | Analyse d’impact relative à la protection des données |
Source : L’Observatoire des Sanctions CNIL – Walter Billet Avocats
NOTES
* Data Protection Day : C’est en avril 2006 que le Conseil de l’Europe a décidé de créer la Journée européenne de la protection des données, fixée chaque année au 28 janvier. A titre exceptionnel, en 2023, il a été décidé de le décaler au lundi 30 janvier – afin que la date corresponde à un jour ouvré.
Plus d’informations : https://www.coe.int/fr/web/portal/28-january-data-protection-day
Méthodologie : « L’Observatoire des Sanctions CNIL » du cabinet Walter Billet Avocats est réalisé sur la base des décisions rendues publiques par la CNIL. Les montants des sanctions, les articles du RGPD mentionnés et les identités des entreprises sont extraits des documents dévoilés par la CNIL et disponibles sur son site Internet.
Les commentaires figurant dans « L’Observatoire des Sanctions CNIL » relèvent de l’analyse faite par l’équipe IP-IT du cabinet Walter Billet Avocats.
À Propos de walter billet avocats
Créé en janvier 2015, le cabinet Walter Billet Avocats dédie son activité à l’accompagnement des entreprises et des fonds d’investissement dans les domaines du droit des sociétés (M&A, Private Equity), des technologies innovantes (en particulier informatique et internet), de la propriété intellectuelle et du droit social (contrats de travail, management packages, assistance RH…).
Walter Billet Avocats, qui s’appuie sur une compréhension globale de l’écosystème de l’innovation, se positionne comme une passerelle entre les entreprises ayant développé leur département de corporate venture, les start-up, les fonds d’investissement et les banques d’affaires.
Outre les services qu’il fournit aux sociétés innovantes, le cabinet assiste par ailleurs des industriels, en conseil comme en contentieux, sur leurs problématiques de droit social et de la sécurité sociale (risque URSSAF, restructuration, accords collectifs), leur conformité en matière de protection des données (RGPD), la gestion de leur portefeuille de marques ainsi que lors de leurs opérations de croissance externe.
Paris, le 30 Janvier 2023