Décision du Conseil d’Etat en date du 4 novembre 2020 n°4333111 (SERGIC).
Auteur: Irène Kris, avocate
Date: 23 novembre 2020
L’application du Règlement Général sur la Protection des Données (ci-après RGPD) le 25 mai 2018 a changé la donne en matière de protection de données à caractère personnel. Les dispositions du RGPD responsabilisent les entreprises.
Plus besoin de faire des déclarations auprès de la CNIL. Elles doivent tenir un registre à jour, cartographiant leurs traitements en toute autonomie et régulariser les éléments qui sont contraires aux dispositions du RGPD.
Le contrôle de la CNIL s’effectue dorénavant a posteriori.
L’article 20 de la Loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés à la protection des données personnelles lui octroie un pouvoir de sanctions dissuasives.
Le Président de la CNIL peut ainsi opter pour les actions/sanctions suivantes :
- Avertissement,
- Mise en demeure,
- Saisir la formation restreinte de la CNIL qui pourra prononcer différentes sanctions allant du rappel à l’ordre à l’amende, celle-ci pouvant aller jusqu’à 2% ou 4% du chiffre d’affaire mondial de l’entreprise selon les manquements constatés.
Dans son rapport d’activité de 2019, on s’aperçoit que la CNIL n’hésite plus à sanctionner lourdement les entreprises.
La société SERGIC en a fait les frais. La formation restreinte de la CNIL a prononcé à son encontre une sanction pécuniaire d’un montant de 400 000 euros
Celle-ci n’avait pas régularisé la sécurité des données personnelles de candidats à la location d’un bien immobilier qui téléchargeaient des documents sur son site Internet www.sergic.com.
L’instruction montrait en effet que des tiers non autorisés pouvaient accéder auxdites données.
Au vu de la lourdeur de la sanction, la société SERGIC a formé un recours devant le Conseil d’Etat en faisant valoir notamment que la sanction aurait dû être précédée d’une mise en demeure préalable. Elle se fondait pour cela sur une décision du Conseil d’Etat en date du 19 juin 2017 qui rappelait ce principe. (CE, 19 juin 2017, n° 396050, Sté Optical Center c/ CNIL : JurisData n° 2017-012066).
Le Conseil d’Etat n’a pas retenu cet argumentaire dans sa décision du 4 novembre 2020 et pour cause. Cette solution retenue en 2017 n’était plus en phase avec l’évolution des textes.
L’article 45 de la Loi n°78-17 du 6 janvier 1978 avait fait l’objet de modifications par la Loi du 20 juin 2018 (article 7) et l’ordonnance du 12 décembre 2018 (article 1).
Réécrit et devenu l’article 20 de la Loi n° 78-17 du 6 janvier 1978, le Conseil d’Etat rappelle qu’au regard de ces nouvelles dispositions : « le prononcé d’une sanction par la formation restreinte de la CNIL n’est pas subordonné à l’intervention préalable d’une mise en demeure du responsable de traitement ou de son sous-traitant par le président de la CNIL ».
Nous sommes à vos côtés en cas de contrôle de la CNIL. N’hésitez pas à nous contacter.
Mots clefs : sanction, RGPD, CNIL