Le 26 février 2019, le Comité Européen de la Protection des Données (« CEPD ») publiait un premier rapport (« First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities » (le « Rapport »)) sur l’application du Règlement n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« RGPD »), dans lequel il dressait un bilan au 31 janvier 2019 des amendes prononcées par onze autorités de contrôle, pour un montant total de 55.955.871 euros. Bien qu’une large proportion de cette somme réside dans une seule sanction française de 50 millions d’euros, force est de constater que l’absence de publicité systématique des décisions des autorités de contrôle (quand bien même elles auraient, à l’instar de la CNIL, la qualité de « juridiction ») rend impossible un recensement exhaustif des sanctions prononcées à l’aune du RGPD. Néanmoins, dans le cadre de notre veille juridique, nous avons pu tracer directement (sites officiels des autorités de contrôle et du CEPD) ou indirectement (articles de presse, e.g. à la lecture d’un article de presse allemande interrogeant notamment un commissaire à la protection des données allemand, on apprend par exemple, qu’au moins 41 décisions auraient été rendues par les autorités allemandes alors qu’une seule sanction allemande a été relayée par le CEPD.) une soixantaine de sanctions (sur les 206.326 plaintes recensées par le CEPD dans son Rapport), prononcées par 20 des 28 États Membres de l’Union européenne, pour un montant cumulé de près de 370 millions d’euros (Les annonces d’intentions de sanctions de l’Information Commissionner Office, l’autorité de contrôle britannique (« ICO »), représentant à elles seules 85% de ce montant, restent encore à confirmer). Le présent article s’essaye à une analyse sur cette base aux fins d’esquisser un bilan et les perspectives de cette première année d’application du RGPD.
1.Le changement dans la continuité – Éclairages de la jurisprudence rendue sous la Directive antérieure
Cette première année de RGPD a été marquée par des problématiques relatives à la responsabilité du traitement… sous l’empire de l’ancien droit, la Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (la « Directive »). Néanmoins, dans la mesure où la définition du « responsable du traitement » demeure inchangée entre la Directive et le RGPD, les solutions retenues restent transposables à l’ère post-RGPD.
Ainsi, la CJUE a-t-elle pu se prononcer trois fois en un an (Arrêt « Wirtschaftsakademie » du 5 juin 2018 (C-210/16), Arrêt « Tietosuojavaltuutettu » du 10 juillet 2018 (C-25/17) et Arrêt « Fashion ID » du 29 juillet 2019 (C-40/17)) sur des questions préjudicielles portant sur les contours de la notion de responsable du traitement. Les réponses apportées par la CJUE soulignent une acception large de cette notion : elle a, d’une part, retenu que les administrateurs de Page Facebook étaient conjointement responsables avec Facebook du traitement des données des visiteurs de ces Pages, sans que cela n’implique un accès par chacun aux données personnelles concernées. Elle a également opéré un séquençage des responsabilités – successives et non conjointes – entre un éditeur de site intégrant un bouton « J’aime » opérant une collecte de données et Facebook. Cette position, contraire aux développements de l’Avocat Général dans l’affaire Fashion ID souligne l’importance des analyses de flux de données, qui sont à opérer in concreto, et de la documentation de ces flux pour scinder les responsabilités en présence.
Les juridictions nationales ont également eu à se prononcer sur l’évolution réglementaire et l’articulation entre le RGPD et la législation antérieure. Dans une décision pédagogue du 30 novembre 2018 (Irish Supreme Court, Appeal no. 435/2012 Murphy v/ Callinan), la Cour suprême irlandaise a ainsi envisagé de manière annexe, la solution qui aurait pu être retenue si les faits, datant de 2006, avaient relevé du RGPD. En l’espèce, elle souligne que si la loi irlandaise antérieure exige de prouver un préjudice résultant de la violation de ses données personnelles pour engager la responsabilité du responsable de traitement, une telle obligation n’était plus prévue au RGPD.
Dans le même esprit, l’arrêt du 18 mars 2019 du Conseil d’État français (Conseil d’État, 10ème – 9ème chambres réunies, 18 mars 2019, n°406313) a pu préciser les conditions de l’exercice du droit d’opposition à un traitement de données personnelles. L’interprétation de la loi informatique et libertés retenue par les juges se rapproche des dispositions du texte du RGPD. En effet, la décision retient que la personne concernée doit justifier d’un motif légitime tenant à sa condition particulière pour exercer son droit d’opposition. Ce critère posé à l’article 21 du RGPD n’existait pourtant pas dans le droit français.
2. Le changement, c’est maintenant – Le RGPD à l’épreuve de la pratique
Loin d’avoir épuisé la frénésie médiatique qui a précédé son entrée en vigueur, le RGPD continue d’occuper les colonnes de l’actualité. Si le Rapport faisait état de près de 206.326 affaires de violations du RGPD, enregistrées auprès des de contrôle, la soixantaine de décisions publiquement accessibles ne permet qu’une typologie limitée mais d’ores et déjà instructive (2.1) dont il ressort que les violations de données, qu’elles soient avérées ou anticipées, occupent une part prépondérante (2.2).
2.1. Les sanctions prononcées
2.1.1. Les montants & leurs méthodes de calcul
Le RGPD a instauré de nouveaux plafonds d’amendes, pouvant désormais atteindre jusqu’au montant le plus élevé entre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’ entreprise en question, soit quarante fois le montant maximal prononcé par l’ICO à l’encontre de Facebook dans l’affaire Cambridge Analytica, qui, si elle a été prononcée après l’entrée en vigueur du RGPD, se fondait sur l’ancien droit. Sur le continent, la CNIL a pu atteindre les 400.000 euros à l’encontre de Uber et son homologue italien, le Garante per la protezione dei dati personali, 600.000 euros pour sanctionner l’utilisation illégale de données à des fins de télémarketing.
Pourtant, si l’épouvantail des sanctions potentielles a su avoir un effet de prise de conscience quant à l’importance de la mise en conformité, les sanctions prononcées jusqu’à présent semblent démarrer lentement.
Selon le considérant 150 du RGPD, ce dernier définit « les violations, le montant maximal et les critères de fixation des amendes administratives dont elles sont passibles, qui devraient être fixés par l’autorité de contrôle compétente dans chaque cas d’espèce, en prenant en considération toutes les caractéristiques propres à chaque cas et compte dûment tenu, notamment, de la nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures prises pour garantir le respect des obligations découlant du règlement et pour prévenir ou atténuer les conséquences de la violation ». Les différents montants des sanctions observés cette année s’expliquent au travers de ces critères.
À cet égard, l’autorité de contrôle néerlandaise, la Autoriteit Persoonsgegevens, a publié le 14 mars 2019 une grille des sanctions financières établie en quatre paliers correspondant à quatre catégories de violations :
- Les violations entrant dans la catégorie 1 (e.g. pour les traitements où l’identification n’est pas requise – Article 11 RGPD) seront sanctionnées par une amende de 0 à 200.000 euros ;
- Les violations entrant dans la catégorie 2 (e.g. relatives aux « Privacy by design » et « Privacy by default » – Article 25 RGPD) seront sanctionnées par une amende de 120.000 à 500.000 euros ;
- Les violations entrant dans la catégorie 3 (e.g. pour les informations à fournir lorsque des données à caractère personnel sont collectées directement auprès de la personne concernée – Article 13 RGPD) seront sanctionnées par une amende de 300.000 à 750.000 euros ; et
- Les violations entrant dans la catégorie 4 (e.g. dans le cas les traitements de données sensibles – Article 9 RGPD) seront sanctionnées par une amende de 450.000 à 1 million d’euros.
L’autorité néerlandaise a ainsi pris la position de ne prononcer des amendes d’un montant supérieur à 1 million d’euros que dans la mesure où les pénalités de la catégorie 4 ne seraient pas « appropriées ». Si cette approche graduée et transparente est louable et apporte un peu de clarté pour les responsables du traitement, elle n’en demeure pas moins pour l’instant une initiative locale, et pourrait in fine mener à d’importants écarts entre les sanctions prononcées par les différentes autorités de contrôle européennes.
Cette disparité ressort d’ores et déjà des décisions que nous avons pu recenser à date au sein de l’Union européenne. Les moyennes nationales des sanctions prononcées, pour ceux des pays qui ont déjà pu appliquer le RGPD, oscillent ainsi entre moins de 2.000 euros et plus de 100 millions d’euros :
Pays |
Montants cumulés (EUR) | Moyenne (EUR) | Nombre de sanctions prononcées |
Royaume Uni* | 315.183.981,20 | 105.061.327,07 | 3 |
France** | 50.600.000,00 | 12.650.000,00 | 4 |
Pays-Bas | 460.000,00 | 460.000,00 | 1 |
Espagne | 402.000,00 | 80.400,00 | 5 |
Portugal | 400.000,00 | 400.000,00 | 1 |
Pologne | 232.488,00 | 116.244,00 | 2 |
Allemagne | 191.618,00 | 21.290,89 | 9 |
Danemark | 180.085,00 | 90.042,50 | 2 |
Roumanie | 150.556,00 | 37.639,00 | 4 |
Hongrie | 150.541,00 | 16.726,78 | 9 |
Grèce | 150.000,00 | 150.000,00 | 1 |
Lituanie | 61.500,00 | 61.500,00 | 1 |
Italie | 50.000,00 | 50.000,00 | 1 |
Bulgarie | 34.210,00 | 5.701,67 | 6 |
Suède | 20.000,00 | 20.000,00 | 1 |
République Tchèque | 17.467,00 | 1.940,78 | 9 |
Norvège*** | 17.000,00 | 17.000,00 | 1 |
Chypre | 15.000,00 | 7.500,00 | 2 |
Autriche | 9.100,00 | 1.820,00 | 5 |
Malte | 5.000,00 | 5.000,00 | 1 |
Belgique | 2.000,00 | 2.000,00 | 1 |
Croatie | 0 | 0 | 0 |
Estonie | 0 | 0 | 0 |
Finlande | 0 | 0 | 0 |
Irlande | 0 | 0 | 0 |
Luxembourg | 0 | 0 | 0 |
Slovaquie | 0 | 0 | 0 |
Slovénie | 0 | 0 | 0 |
Total | 368.332 546,20 | 5.338.152,84 | 69 |
* Ce montant prend en considération les annonces de sanctions potentielles de l’Information Commisionner’s Office à l’encontre de Marriott et de British Ariways
** Ce montant prend en considération la sanction de la CNIL à l’encontre de Google, aujourd’hui frappé d’appel.
*** Pays membre de l’EEA
Bien entendu, une telle diversité peut s’expliquer par les spécificités des espèces, mais le choix, pour les autorités de contrôle, tant dans la poursuite de leurs investigations jusqu’à une sanction que dans la publicité donnée à une telle sanction, peut également éclairer sur les méthodes appliquées – faibles sanctions pour des PME ou des individus, afin d’envoyer un signal fort de pédagogie générale à savoir que nul ne saurait s’affranchir du RGPD ou fortes sanctions sur des cibles emblématiques à envergure internationale. Au final, c’est toute la diversité culturelle de l’Europe qui s’exprime au travers de ce panel.
Cette disparité ressort d’ores et déjà des décisions que nous avons pu recenser à date au sein de l’Union européenne. Les moyennes nationales des sanctions prononcées, pour les pays qui ont déjà pu appliquer le RGPD, oscillent ainsi entre moins de 2.000 euros et plus de 100 millions d’euros.
Une analyse des fondements disponibles permettrait d’ébaucher une méthode de calcul sur plusieurs critères :
- La nature des données concernées : La première sanction publiquement relayée fut celle de l’autorité de contrôle portugaise, la Comissão Nacional de Protecção de Dados, pour un montant de 400.000 euros à l’encontre d’un hôpital pour manquement à son obligation de sécurité et manquement au principe de limitation des finalités. Ce montant de cette sanction s’expliquait notamment en raison des catégories particulières des données personnelles touchées (anciennement « données sensibles ») puisqu’il s’agissait de données médicales de patients d’un hôpital. Dans le même sens, l’autorité de contrôle allemande de Baden Württemberg a rendu deux sanctions portant sur un manque de confidentialité des données, pour des montants respectifs de 20.000 et 80.000 euros. La différence de montants des amendes s’explique là aussi notamment par rapport à la nature des données concernées : la seconde espèce visait, là encore, des données de santé.
- La durée de la violation : Une violation qui résulte d’un fait ponctuel, tel qu’une cyberattaque rapidement endiguée ou un unique transfert de données à un destinataire erroné, sera moins lourdement sanctionnée qu’une violation continue du RGPD. La CNIL avait à cet égard relevé la continuité de l’infraction pour justifier le quantum de la sanction de 50 millions d’euros contre Google.
- La gravité de la violation : La sanction peut aussi être affectée par la gravité de la violation, dont le degré peut s’évaluer en fonction du principe violé et la masse des données touchées. Dans son communiqué de presse sur la décision Google, la CNIL relève ainsi « la gravité des manquements constatés qui concernent des principes essentiels du RGPD : la transparence, l’information et le consentement ». Dans le même sens, l’autorité de contrôle polonaise, la Urząd Ochrony Danych Osobowych, a également prononcé une sanction de 220.000 euros pour manquement à l’obligation d’information portant sur un panel de 90.000 personnes par collecte indirecte de leurs données sur une base de données publiques.
- La source de la violation : L’autorité de contrôle danoise, la Datatilsynet, a publié le 18 mars 2019 une décision rendue contre une société de taxis, d’un montant de 180.000 euros pour violation du principe de limitation de conservation des données (Article 5 RGPD). La source de la violation résultait ici du seul fait du responsable du traitement et ne portait pas sur des catégories spéciales. Bien que la société de taxi affirmait avoir procédé à l’anonymisation des données, l’autorité danoise a relevé que cette anonymisation n’était que partielle et que d’autres données, telles le numéro de téléphone, permettaient l’identification des personnes, pour une utilisation à des fins commerciales.
- Le chiffre d’affaires du responsable du traitement : L’autorité de contrôle autrichienne, la Datenschutzbehörde, a prononcé une amende de 5.280 euros dans une affaire de traitement de données illicites par un café de paris sportifs utilisant un système de vidéo-surveillance collectant des données personnelles sur la voie publique. Dans une interview à la presse, un commissaire de l’autorité autrichienne a déclaré que le montant de l’amende avait été prononcé en considération du chiffre d’affaires du responsable du traitement. De la même manière, l’autorité de contrôle hongroise, la Nemzeti Adatvédelmi és Információszabadság Hatóság, a sanctionné une PME pour un montant d’environ 3.135 euros – si le montant peut paraître faible dans l’absolu, il représentait cependant 6,5% du chiffre d’affaires total du responsable du traitement.
2.1.2. Les sanctions non financières
Cependant, les sanctions financières ne pas nécessairement les plus redoutées des acteurs. En effet, les autorités de contrôle disposent d’un large arsenal afin de faire cesser les manquements à la conformité.
Ainsi, et dans le prolongement des déclarations concomitantes à l’entrée en vigueur du RGPD, les autorités de contrôle ont su utiliser leur pouvoir de coercition pour mettre en demeure les responsables du traitement de se conformer au RGPD. Par exemple, l’autorité de contrôle espagnole, la Agencia de Protección de Datos, a prononcé une vingtaine de mises en demeure sur le fondement du RGPD depuis le 25 mai 2018.
Une sanction non financière n’est pas pour autant dénuée d’effets financiers. Les mises en demeure peuvent, comme pour la publicité des décisions, avoir un impact économique et des effets à long terme plus importants que ceux d’une amende administrative. C’est le cas notamment pour les entreprises dont le modèle économique repose principalement sur l’exploitation des données. L’affaire Vectaury en France en est une pertinente illustration : visée par l’ouverture d’une mise en demeure par la CNIL, cette société a dû prendre une série de mesures considérées nécessaires par l’autorité pour atteindre la conformité au RGPD. Mais le degré de coercition des mesures peut être si lourd qu’il engage plus la survie économique de ces PME qu’une sanction de plusieurs millions prononcée contre un géant de l’internet.
Outre l’impact financier d’une mise en conformité à marche forcée sur la base d’un cadre réglementaire à l’interprétation naissante, c’est également, et surtout, la publicité donnée aux décisions qui est le plus à même d’affecter durablement les acteurs.
Ainsi, lorsqu’une autorité de contrôle décide de rendre publique une décision, qu’il s’agisse d’une simple mise en demeure ou d’une sanction financière minime, ce choix peut être motivé non seulement par une volonté de sanctionner l’acteur considéré mais également par ambition pédagogique, envers le responsable du traitement, les autres responsables du traitement et enfin, et surtout, les individus à même d’exercer leurs droits. Dans les faits, la publicité de la décision pourra avoir un retentissement médiatique dont l’impact sera fortement négatif sur l’image de la société sanctionnée. Et les effets réels de la publicité des décisions ne sont mesurables que sur le long terme : l’affaire Cambridge Analytica qui avait touché Facebook début 2018 a fait l’objet d’une sanction en octobre 2018, mais tant Facebook que Mark Zuckerberg tentent aujourd’hui de restaurer la confiance des utilisateurs… et des actionnaires !
À ce jour, une minorité de décisions ont été relayées publiquement et citant l’entité visée, sans pour autant que le texte intégral de la décision soit, lui, officiellement publié. L’intérêt pédagogique en l’absence des fondements et de l’argumentation de l’autorité de contrôle semble dès lors limité.
2.2. Les fondements
2.2.1. Analyse générale
Là-encore, l’exercice est délicat – non seulement l’existence de décisions n’a pas été toujours rendue publique, mais lorsque ce fut le cas, la décision elle-même dans son intégralité n’a pas toujours été rendue accessible. Ainsi, il faut parfois se fier à de laconique communiqués de presse ou se satisfaire des rapports annuels des autorités de contrôle ou du CEPD, dans lequel les fondements ne font pas l’objet d’une taxonomie et d’une nomenclature uniforme.
Sur la base de la soixantaine de décisions analysées, c’est ainsi moins d’une décision sur dix qui ne permet pas d’identifier clairement les raisons qui ont mené l’autorité de contrôle à se prononcer.
A l’inverse, une majorité de décisions relève plus d’un manquement ayant conduit à la sanction (ce qui explique pourquoi le total ci-dessus est supérieur à 100%).
Fondements | Pourcentage des décisions |
Manquement aux obligations de sécurité / Violation de données | 38% |
Droit d’accès / Droit à l’oubli | 15% |
Manquement à l’obligation d’information | 14% |
Mauvais choix de la base légale | 12% |
Collecte excessive / Manquement à l’obligation d’exactitude des données | 8% |
À déterminer | 7% |
Traitement illégal | 3% |
Détournement de finalité | 3% |
Manquement à l’obligation de proportionnalité | 3% |
Sollicitation commerciale par téléphone | 2% |
Mauvaise utilisation de données biométriques | 2% |
Absence / Insuffisance de contrat avec un sous-traitant | 2% |
En tout état de cause, force est de constater que les manquements aux obligations de sécurité mènent aujourd’hui la course en tête des sanctions à travers l’Europe, en nombre de décisions publiées et, sous réserve de la confirmation par l’ICO des sanctions récentes (et d’un maintien éventuel du Royaume-Uni sous l’empire du RGPD), en montant.
Les nombreuses plaintes d’utilisateurs alimentent un contentieux porté sur le droit des personnes. À cet égard, un rapport rendu par l’institut EY et l’IAPP (« International Association of Privacy Professionals ») relève que l’une des difficultés majeure rencontrée par les responsables du traitement en 2018 est de satisfaire les demandes de droit à l’oubli et de droit d’accès des personnes concernées. Cela ne crée pas une grande surprise lorsque le rapport annuel de l’Irlande relève que 30 % des plaintes enregistrées portent sur une demande de droit d’accès (Suivi de 22% « Multinational complaint » et 15% « Unfair Processing of Data » ; Rapport annuel DCP Ireland, p. 18.) ou encore que la plainte de None Of Your Business résulte du constat que les plateformes attaquées n’auraient pas satisfait aux demandes de droit d’accès aux données des utilisateurs.
Toutefois, lorsqu’elle est saisie d’une plainte, l’autorité de contrôle peut ouvrir une enquête révélant d’autres violations au RGPD que les atteintes aux droits des personnes. Ce fut le cas notamment pour une affaire de l’autorité allemande de Hesse qui, à la suite d’une enquête ouverte sur le fondement d’une plainte d’un particulier, a prononcé une amende de 5.000 euros d’amende à l’encontre du responsable du traitement pour ne pas avoir conclu de contrat de sous-traitance de données personnelles avec l’un de ses partenaires.
2.2.2. Sécurité des données – arme de dissuasion massive
Il est intéressant de noter la corrélation entre la représentativité de la sécurité des données comme fondement des décisions (38%) et celle des instructions ouvertes pour violations de données dans le Rapport (31,35%). Cela pourrait amener à une conclusion préliminaire qu’une majorité de ces violations mène à une sanction. Cette importance est également relayée par l’exigence de transparence que s’imposent certaines autorités de contrôle. La CNIL met ainsi régulièrement à disposition en open data les éléments clés des notifications de violation de données – nonobstant l’ouverture de poursuites.
Au regard des montants prononcés, il semble clair en effet que la sécurité des données agit comme le fer de lance des autorités de contrôle pour imposer le respect du RGPD.
Pourtant, à regarder des décisions rendues jusqu’à aujourd’hui, ce n’est pas tant que toute violation de données notifiée à une autorité de contrôle se traduit nécessairement par une sanction, dont les montants peuvent être exemplaires, voire punitifs. En effet, une tendance semble émerger qui vise à sanctionner non seulementles violations de données en tant que telles, mais également les défauts de sécurité qui, in fine, pourraient mener à une telle violation.
Il importe donc pour les entreprises de mettre en place des processus internes à même de détecter les violations de données, ainsi que d’auditer leurs mesures de sécurité en place afin d’en assurer l’adéquation aux traitements mis en œuvre et leurs relations avec leurs partenaires, qu’ils soient sous-traitants ou responsable de traitements.
À cet égard, la multiplicité des fondements retenus pour les sanctions prononcées souligne que l’appréciation de la conformité par les autorités de contrôle s’opère globalement, et que les projets internes des entreprises ne pourront dès lors que suivre cette approche intégrée.
Un cap a donc été franchi : la période de surveillance pédagogique annoncée lors de l’entrée en vigueur du RGPD est terminée et nous entrons dans une ère de sanctions sur un respect strict de l’ensemble des dispositions, indépendamment de tout dommage effectif. Et c’est probablement par ce biais dissuasif que le RGPD parviendra, enfin, à faire émerger une harmonisation européenne.
PS – A l’heure où nous écrivons ces lignes, l’autorité de contrôle bulgare, vient de rendre publique un ensemble de trois décisions rendues sur le fondement des violations de données pour un montant cumulé de trois millions d’euros… Affaire à suivre !
Première publication : Revue Lamy Droit de l’Immatériel n°163 – Octobre 2019 avec Marianne Bourny
Cité par :
- Revues des Juristes de Sciences Po n° 19, Octobre 2020, 7, The new French compliance landscape at the time of the first assessments: a common inspiration, regulatory authorities that have taken off and an intense litigation to come, Etude par Daniel Kadar, Laëtitia Gaillard et Stéphanie Abdesselam, cabinet Reed Smith