La Commission nationale de l’informatique et des libertés (CNIL) n’a encore sanctionné aucune entreprise pour non-respect du Règlement Général sur la Protection des Données (RGPD). Comment l’expliquer alors que le nombre de plaintes a augmenté depuis l’entrée en vigueur du RGPD ? Est-ce la confirmation que ce nouveau règlement risque de faire chou blanc ?
Le nombre de plaintes augmente, pourtant toujours aucune sanction
Il y a maintenant près de 7 mois, le Règlement européen pour la Protection des Données faisait son entrée dans l’Union européenne. Le mois dernier, la Commission nationale de l’informatique et des libertés, autorité en charge de veiller à la bonne application du RGPD, dressait un premier bilan dans lequel on apprenait que le nombre de plaintes déposées par les internautes avait augmenté de 34 % depuis mai 2018. Or, malgré cette prise de conscience des citoyens français autour de l’importance de leurs données personnelles, aucune sanction n’a encore été prononcée par la CNIL. Une situation qui interroge, notamment dans le milieu entrepreneurial, où beaucoup y voient la confirmation que le RGPD n’atteint pas son objectif.
Un délai de onze mois environ entre le dépôt d’une plainte et l’application d’une sanction
Pourquoi le délai entre le dépôt d’une plainte auprès du gendarme français des données personnelles et la prononciation d’une sanction par cette dernière est-il si long ? Si l’on se penche sur la question, l’on peut constater qu’il s’écoule environ onze mois entre le dépôt d’une plainte auprès de la CNIL et une éventuelle sanction. Un délai qui explique donc en majeure partie pourquoi aucune sanction n’a encore été prononcée contre une entreprise française par la Commission nationale de l’informatique et des libertés.
Un délai de onze mois qui peut paraître long, mais il faut bien comprendre que la CNIL n’a pas pour seul rôle celui d’appliquer les sanctions en cas de non-conformité avec le RGPD. Cette commission doit également accompagner les entreprises dans leur mise en conformité avec ce nouveau règlement en tenant compte de leur situation. De plus, la prononciation d’une sanction par la CNIL n’entraîne pas son application immédiate, puisque tout organisme à la possibilité de fournir un argumentaire en cas de contrôle ou bien suite à un dépôt de plainte.
La CNIL n’est donc pas, pour l’instant du moins, encline à prononcer une sanction sans laisser à l’entreprise concernée la possibilité de fournir une explication. La Commission en charge de l’application du RGPD envoie en premier lieu une mise en demeure à l’organisme visé, tout en lui laissant le temps de prouver sa bonne foi et de réparer ses éventuelles erreurs – à condition toutefois que ces erreurs n’aient pas de conséquences pour les personnes physiques concernées ou bien qu’elles n’aient pas été commises en tout état de cause -. Autant de raisons qui expliquent donc pourquoi la CNIL n’a pas encore prononcé de sanctions effectives en France, pour non-respect du RGPD.
Les premières sanctions de la CNIL sont attendues pour début 2019
Mais attention aux entreprises qui prendraient ce manque de sanction pour un laxisme de la CNIL ou bien qui attendraient forcément d’être mises en demeure par la Commission pour réagir… Optical Center en a d’ailleurs fait les frais. La société, dont l’un des sites commerciaux présentait une importante faille de sécurité rendant facilement accessibles les données personnelles de ses utilisateurs, est bien visée par une procédure de sanction. Dans son cas, ce défaut de sécurité majeur avait été découvert avant l’entrée en vigueur du RGPD, mais Optical Center n’avait pas jugé bon d’y remédier au plus vite. L’entreprise a même exigé l’annulation de la procédure de sanction et les 250 000 euros d’amende, au motif que la CNIL ne lui avait pas fait parvenir de mise en demeure au préalable. Ce à quoi le gendarme des données personnelles s’est montré on ne peut plus clair sur la question, en assurant être en mesure de prendre des sanctions sans aucune mise en demeure.
Le fait que la Commission nationale de l’informatique et des libertés n’ait pas encore prononcé de sanction contre une entreprise en France, et ce malgré l’augmentation des plaintes ne veut donc pas pour autant dire que le RGPD ne porte pas ses fruits. Cela s’explique tout simplement par le fait que le rythme de travail de la Commission et ses nombreuses missions entraîneront une application effective des sanctions début 2019, guère avant. Les sociétés qui se savent en non-conformité avec les exigences du RGPD, mais qui comptent sur un éventuel laxisme de la CNIL, risquent donc fort d’en faire les frais dans les mois qui viennent. Rappelons qu’en cas de non-respect du Règlement Général pour la Protection des Données, les sanctions encourues sont particulièrement sévères : jusqu’à 20 millions d’euros ou bien jusqu’à 4 % du chiffre d’affaires annuel mondial d’une société.
Que les entreprises qui ne se sentent pas encore à l’aise avec le RGPD, mais qui font tout leur possible pour le respecter se rassurent, la formation restreinte de la CNIL en charge de l’application des sanctions peut également prononcer un simple rappel à l’ordre avant la prononciation d’une amende administrative.
Laisser un commentaire
Participez-vous à la discussion?N'hésitez pas à contribuer!