Près de 4 mois après l’entrée en application du RGPD, l’exercice effectif des pouvoirs de contrôle et de sanction par la CNIL questionne.
L’efficacité mais aussi toute la crédibilité du système de protection des données à caractère personnel mis en place par le RGPD(1) repose, en effet, sur cette question : la CNIL va-t-elle oser utiliser l’arsenal de sanctions prévu par le RGPD (2) ?
Pour disposer d’un début de réponse, l’étude des dernières décisions ,nous renseigne sur l’attitude de la CNIL, étant bien rappelé que la bonne compréhension du cadre juridique suppose de lire de manière combinée le RGPD et la loi du 6 janvier 1978 modifiée par la loi n° 2018-493 du 20 juin 2018, aussi appelée LIL (3).
En premier lieu, il y a la procédure de mise en conformité (article 45 de la LIL) : est en cause, dans un tel cas, un acteur économique qui ne respecte pas les textes légaux (RGPD et LIL) mais sans qu’aucune violation des données personnelles ni aucune atteinte à la vie privée des personnes concernées n’ait été commise. Dans cette hypothèse, la mise en conformité des traitements est possible : on constate que la CNIL se montre dans de pareils cas relativement pédagogue et que l’audit qui est réalisé est plutôt constructif. On peut citer la décision Microsoft du 27 juin 2017.
En revanche, lorsqu’a été constatée une violation des données à caractère personnel – par attaque du système d’information ou par découverte d’une faille de sécurité – la CNIL se montre plus sévère : on peut ainsi citer les sanctions prononcées à l’encontre de DailyMotion (50 000 euros), ADEF – Association pour le développement des Foyers (75 000 euros), Optical Center (250 000 euros) ou encore Darty (100 000 euros). Ces sanctions sont antérieures à l’entrée en vigueur du RGPD mais postérieure à celle de la réforme du 7 octobre 2016 issue de la loi pour une République numérique qui avait, déjà, augmenté sensiblement le montant possible des sanctions (les faisant passer de 150 000 euros à 3 millions d’euros). D’aucuns diront que, dans ces décisions, on est loin des 3 millions – et c’est vrai – mais les sanctions sont toutefois plus lourdes qu’auparavant. Avec le RGPD elles pourront encore être aggravées.
Que peut-on retenir de ces décisions ?
D’ores et déjà, l’annonce d’un contrôle par la CNIL devrait déclencher chez la personne contrôlée, l’engagement, sans délais et de manière simultanée, des 3 actions suivantes :
– la collaboration avec la CNIL qui peut prendre la forme de l’affectation d’un interlocuteur privilégié sauf si un DPO a été nommé (dans ce cas, c’est lui qui travaillera avec les équipes de la CNIL),
– la correction de la faille de sécurité et ce, sans délai,
– le lancement d’un audit de sécurité portant sur le système d’information après la correction.
L’analyse des décisions précitées montre que la mise en œuvre de ces 3 actions par la société contrôlée et à son initiative, a un effet très largement positif : le montant de la sanction proposée par le rapporteur de la CNIL est alors minoré et est même parfois réduit de moitié.
On peut également retenir que l’obligation du responsable de traitement, quant à la sécurité des traitements réalisés, est bien une obligation de moyens et non une obligation de résultat. Néanmoins, toute absence de « mesures élémentaires de sécurité » sera sanctionnée : existence de mots de passe en clair, connexions externes non sécurisées, prévisibilité des URL, inexistence de procédure d’identification des personnes concernées, etc.
Il sera également souligné:
– l’obligation de surveillance par le responsable de traitement de son sous-traitant : il n’est pas suffisant de se contenter de la notoriété de celui-ci ni d’une déclaration de sa part certifiant qu’il est en conformité avec les règles de sécurité. Ceci renvoie au principe des tests réguliers pour vérifier la conformité du site Internet ou de la plateforme ou du système d’information.
– la nécessité d’un cahier des charges émanant du responsable de traitement ; tout comme un PV de recette définitive après toute livraison d’un site Internet, d’une nouvelle fonctionnalité, d’une migration, etc.
Au-delà de ses recommandations pratiques, la question reste ouverte de la façon dont la CNIL va, ou ne va pas, s’emparer des nouveaux et nombreux moyens mis à sa disposition pour sanctionner les atteintes aux données personnelles.
Pour approfondir ce sujet, un tableau récapitulatif mettant en exergue ce que l’on peut retenir des exigences de la CNIL peut vous être adressé sur simple demande (cf ci-dessous).
Marie-Pierre L’HOPITALIER, avocat associée
Pôle Propriété Intellectuelle et Nouvelles Technologies.
Cette chronique juridique s’appuie sur l’étude des dernières décisions CNIL de avril 2017 à juillet 2018. Vous pouvez demander à recevoir gratuitement l’exhaustivité de l’étude ainsi que le tableau récapitulatif sur simple demande par courriel : mplhopitalier@parthema.fr.
NB : votre email sera alors conservé et utilisé exclusivement par PARTHEMA pour recevoir les actualités du cabinet. Vous pouvez à tout moment exercer vos droits d’accès, d’interrogation, de rectification, d’opposition, droit à l’effacement, droit à la limitation du traitement et droit à la portabilité des données en envoyant un mail à accueilnantes@parthema.fr.