Le pouvoir de sanction de la cnil

Pour conduire à bien sa mission régalienne de défenseur des données personnelles sur internet, la CNIL (Commission Nationale de l'Informatique et des Libertés) dispose d'un certain nombre d'outils ou de moyens de répression qui lui permettent d'asseoir son autorité sur les entreprises, les particuliers, les organismes privés ou publics qui collectent et traitent lesdites données.

CNIL, RGPD, obligations, sanctions, respect des données personnelles,

Les textes fondateurs et les outils de sanction de la CNIL

Le RGPD

Le RGPD (Règlement Général sur la Protection des Données) est le premier outil de la CNIL en matière de sanction. Son organe interne (la formation restreinte) est l'instance dans laquelle les sanctions de la CNIL sont prises. Les sanctions de la CNIL découlent très souvent du non-respect du RGPD. À l'étape de création d'une entreprise collectant et utilisant des données personnelles, peu importe sa catégorie, celle-ci doit respecter scrupuleusement le RGPD et doit s'arrimer à ses règles au risque de se voir infliger de lourdes sanctions. Lesdites sanctions sont en générales progressives et s'alourdissent selon les situations et la gravité des faits reprochés à la structure impliquée.

Entré en vigueur en mai 2018, le RGPD a fait naitre un cadre juridique nouveau pour la défense des données personnelles des utilisateurs des nouvelles technologies de l'information et de la communication. Il a consolidé les droits des personnes et en installé de nouvelles prescriptions pour les entreprises et les structures administratives qui effectuent des opérations sur les données personnelles. Il s'applique à toute organisation dès lors que celle-ci traite des données permettant d'identifier indirectement ou directement des personnes. Pour ce qui est de son champ d'application, il s'avère être très large. Les non-respects du RGPD portés à la connaissance de la formation restreinte de la CNIL font office de sanctions qui peuvent être très lourdes de conséquences.

Les sanctions graduelles

Les procédés dissuasifs orientant la CNIL se trouvent à l'article 58 a2 du RGPD. Son intervention est progressive et dépend de la gravité du manquement de l'organisme concerné à une prescription découlant du RGPD. Les sanctions sont alors graduelles et sont fonction de la gravité du manquement. Nous avons notamment par ordre de gravité les sanctions suivantes :

Les sanctions administratives

Le coût des sanctions administratives

Il existe deux grands groupes de sanctions administratives en fonction de la nature, de la gravité et de la durée de la violation.

Dans quel cas intervient la sanction administrative ?

Les obligations que doivent respecter les entreprises

Depuis sa mise en application le 25 mai 2018, le RGPD tient à respect les organismes publics et entreprises qui collectent et traitent les données personnelles des internautes.

Les obligations auxquelles sont assujetties les organismes et les entreprises

Sous l'influence des pouvoirs de la CNIL, les entreprises et organismes collectant et traitant les données des personnes doivent respecter les obligations suivantes :

Une sanction sans précédent

Il s'agit ici de la plus lourde sanction historique que la CNIL ait infligé à une entreprise, en l'occurrence Google. Le géant Américain a été victime d'une amende astronomique sans précédent. Du fait de n'avoir pas respecté le règlement général sur la protection des données personnelles (RGPD), Google s'est vu infliger une sanction record assortie d'une amende s'élevant à 50 millions d'euros. En effet, il est reproché à Google de sous-informer ses utilisateurs sur l'utilisation de leurs données personnelles. Plusieurs plaintes collectives de la Quadrature du Net et de None of your Business ont été déposées.

À la suite de ces démarches, la CNIL a entrepris un contrôle en ligne, via l'analyse du parcours d'un des utilisateurs et la documentation à laquelle il a accès lorsqu'il crée un compte Google sur son smartphone. Il a été constaté un manquement aux obligations d'information et de transparence au terme dudit contrôle. De même, le temps de stockage de certaines données n'est pas précisé et l'acquiescement obtenu n'est ni univoque ni spécifique. La CNIL est donc devenue la toute première instance de régulation à sanctionner un des géants de l'Internet en utilisant le RGPD.

La sanction de Google montre que tous les acteurs du domaine de l'exploitation des données personnelles en informatique dans le monde peuvent être sanctionnés par la CNIL, bien qu'ils soient implantés en dehors de la France.

Pour en savoir plus pour mettre en conformité votre entreprise avec le RGPD si vous avez une réclamation à faire en cas d'utilisation non autorisée de vos données personnelles, ce sera à travers ce site de la CNIL où vous aurez toutes les coordonnées pour contacter l'organisme.