Brève sur l’activité contentieuse de la CNIL
Le 15 janvier 2021 Par Isabelle GAVANON
Le 7 décembre dernier, l’autorité française de protection des données (la CNIL) a sanctionné deux acteurs emblématiques de l’économique numérique, à savoir Google (100M€ d’amende) et Amazon (35M€ d’amende), pour violation de la réglementation sur les cookies (mentions d’information incomplètes, absence de consentement et droit d’opposition inefficace) :
Cookies : sanction de 35 millions d’euros à l’encontre d’AMAZON EUROPE CORE
Quelques jours auparavant, la CNIL avait également rappelé à l’ordre un acteur incontournable du secteur de grande distribution et sa filiale banque (groupe Carrefour), et infligé des amendes d’un montant total de trois millions d’euros :
Délibération du 18 novembre 2020
En ce qui concerne Carrefour, la CNIL a sanctionné plusieurs violations des principes de protection des données, s’agissant notamment de :
- la conservation des données (conservation trop longue des informations sur les clients sans archivage ni effacement de ces dernières, en violation de l’article 5.1.e du RGPD) ;
- l’information des personnes concernées (information incomplète, difficilement accessible et non fournie sous une forme intelligible, en violation des articles 12.1 et 13.1 du RGPD) ;
- les demandes des personnes concernées (action entreprise avec un retard indu pouvant aller jusqu’à neuf mois ; inefficacité des droits d’accès, d’opposition à la publicité électronique ou d’effacement, en violation des articles 12.3, 15, 17 et 21 du RGPD) ;
- la politique en matière de cookies (absence de collecte de consentement pour les cookies qui ne sont pas nécessaires à la fourniture du service, en violation de l’article 82 de la loi française sur la protection des données).
Bien que les violations soient avérées, et étonnamment non contestées par Carrefour, il faut souligner la sévérité inhabituelle de la CNIL étant considéré que les violations n’ont pas eu d’impact sérieux pour les personnes concernées et qu’il ne s’agissait pas de données sensibles. L’autorité souligne elle-même que les deux entreprises n’ont tiré aucun profit financier du non-respect de la loi sur la protection des données et que les manquements ont résulté « de leur négligence, de leurs erreurs ponctuelles et de leur manque d’anticipation de l’application du RGPD« .
Enfin, le 8 décembre 2020, la CNIL a rendu une décision contre Nestor, un des acteurs majeurs dans le domaine de la livraison de repas en région parisienne. La société, fondée en 2015, a été sanctionnée à hauteur de 20.000 € pour violation de la loi relative à la protection des données personnelles (informations incomplètes communiquées aux personnes concernées, droit d’accès inefficace, mesures de sécurité insuffisantes concernant les mots de passe) ainsi que de la réglementation relative à la prospection commerciale électronique, laquelle interdit l’envoi de courriers électroniques aux prospects à défaut de consentement préalable :
Délibération SAN-2020-018 du 8 décembre 2020
Une conclusion que l’on peut tirer de ces décisions est que l’ère de tolérance permettant aux responsables de traitement (et sous-traitants) de mettre en œuvre les mesures appropriées pour assurer la conformité de leurs activités est révolue, conformément à ce que la CNIL avait annoncé au printemps 2019, à savoir qu’elle serait moins conciliante en cas d’infraction au droit en vigueur : RGPD : la CNIL prévient qu’elle sera désormais moins conciliante
La CNIL est désormais déterminée à appliquer pleinement les dispositions du RGPD et de la loi Informatique et Libertés, et n’hésitera pas à infliger des amendes administratives aux entreprises qui ne les respecteraient pas, sans considération d’une intention malveillante. En particulier, la CNIL a récemment publié ses nouvelles orientations sur les cookies et accorde aux responsables de traitement six mois pour mettre en place leur nouvelle politique en matière de cookies, après quoi elle mènera des enquêtes et sanctionnera les violations.
Par conséquent, les responsables du traitement devraient se rappeler de mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer le respect du droit de la protection des données personnelles « en tenant compte des risques, dont le degré de probabilité et de gravité varie » (c’est-à-dire en établissant une évaluation précise des risques), conformément à l’article 25.1 du RGPD, en gardant à l’esprit que même des infractions mineures peuvent déclencher une sanction sévère de l’autorité et entraîner une amende coûteuse.
Les ressources, tant financières qu’humaines, consacrées à garantir la conformité au droit des données personnelles du responsable du traitement représentent très certainement un investissement, compte tenu du fait que la CNIL (ainsi que d’autres autorités de protection des données dans l’Union européenne) fera bon usage de ses pouvoirs d’enquête et de sanction.
Nous restons à votre entière disposition pour aborder avec vous plus en détails ce changement important de la politique de la CNIL.
Nos derniers articles
Communiqué de Presse : DELCADE annonce l’arrivée d’Amélie Plessy en tant que nouvelle collaboratrice de Guilhem Argueyrolles
L’arrivée d’Amélie Plessy s’inscrit dans la dynamique de renforcement de notre expertise, elle intervient désormais principalement en contentieux en droit des assurances, droit immobilier, risques industriels et responsabilité civile…
Lire l'articleCommuniqué de Presse : DELCADE Renforce son Équipe Droit Immobilier avec l’Arrivée de Maître Armelle Mongodin et Barbara Kimou
Paris, le 23 octobre 2024 – DELCADE est heureux d’accueillir, Maître Armelle Mongodin et sa collaboratrice Barbara Kimou Gbane, pour renforcer notre équipe dédiée au droit immobilier et à la construction !
Lire l'articleMatinale l’IA Act : comment le Règlement sur l’intelligence artificielle aide-t-il à innover ?
Le 6 juin 2024 de 9h à 12h30, DELCADE organise en partenariat avec Comundi et Lexis Nexis France une matinale « L’IA Act : Comment le Règlement voté le 13 mars 2024 aide-t-il à innover en utilisant l’IA générative ? ». L’IA générative présente des avantages indéniables : l’accroissement de la productivité, l’enrichissement de la créativité humaine… Cependant, son […]
Lire l'article