Brève sur l’activité contentieuse de la CNIL

Le 7 décembre dernier, l’autorité française de protection des données (la CNIL) a sanctionné deux acteurs emblématiques de l’économique numérique, à savoir Google (100M€ d’amende) et Amazon (35M€ d’amende), pour violation de la réglementation sur les cookies (mentions d’information incomplètes, absence de consentement et droit d’opposition inefficace) :

Cookies : sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED

Cookies : sanction de 35 millions d’euros à l’encontre d’AMAZON EUROPE CORE

Quelques jours auparavant, la CNIL avait également rappelé à l’ordre un acteur incontournable du secteur de grande distribution et sa filiale banque (groupe Carrefour), et infligé des amendes d’un montant total de trois millions d’euros :

Délibération du 18 novembre 2020

En ce qui concerne Carrefour, la CNIL a sanctionné plusieurs violations des principes de protection des données, s’agissant notamment de :

  • la conservation des données (conservation trop longue des informations sur les clients sans archivage ni effacement de ces dernières, en violation de l’article 5.1.e du RGPD) ;
  • l’information des personnes concernées (information incomplète, difficilement accessible et non fournie sous une forme intelligible, en violation des articles 12.1 et 13.1 du RGPD) ;
  • les demandes des personnes concernées (action entreprise avec un retard indu pouvant aller jusqu’à neuf mois ; inefficacité des droits d’accès, d’opposition à la publicité électronique ou d’effacement, en violation des articles 12.3, 15, 17 et 21 du RGPD) ;
  • la politique en matière de cookies (absence de collecte de consentement pour les cookies qui ne sont pas nécessaires à la fourniture du service, en violation de l’article 82 de la loi française sur la protection des données).

Bien que les violations soient avérées, et étonnamment non contestées par Carrefour, il faut souligner la sévérité inhabituelle de la CNIL étant considéré que les violations n’ont pas eu d’impact sérieux pour les personnes concernées et qu’il ne s’agissait pas de données sensibles. L’autorité souligne elle-même que les deux entreprises n’ont tiré aucun profit financier du non-respect de la loi sur la protection des données et que les manquements ont résulté « de leur négligence, de leurs erreurs ponctuelles et de leur manque d’anticipation de l’application du RGPD« .

Enfin, le 8 décembre 2020, la CNIL a rendu une décision contre Nestor, un des acteurs majeurs dans le domaine de la livraison de repas en région parisienne. La société, fondée en 2015, a été sanctionnée à hauteur de 20.000 € pour violation de la loi relative à la protection des données personnelles (informations incomplètes communiquées aux personnes concernées, droit d’accès inefficace, mesures de sécurité insuffisantes concernant les mots de passe) ainsi que de la réglementation relative à la prospection commerciale électronique, laquelle interdit l’envoi de courriers électroniques aux prospects à défaut de consentement préalable :

Délibération SAN-2020-018 du 8 décembre 2020

Une conclusion que l’on peut tirer de ces décisions est que l’ère de tolérance permettant aux responsables de traitement (et sous-traitants) de mettre en œuvre les mesures appropriées pour assurer la conformité de leurs activités est révolue, conformément à ce que la CNIL avait annoncé au printemps 2019, à savoir qu’elle serait moins conciliante en cas d’infraction au droit en vigueur : RGPD : la CNIL prévient qu’elle sera désormais moins conciliante

La CNIL est désormais déterminée à appliquer pleinement les dispositions du RGPD et de la loi Informatique et Libertés, et n’hésitera pas à infliger des amendes administratives aux entreprises qui ne les respecteraient pas, sans considération d’une intention malveillante. En particulier, la CNIL a récemment publié ses nouvelles orientations sur les cookies et accorde aux responsables de traitement six mois pour mettre en place leur nouvelle politique en matière de cookies, après quoi elle mènera des enquêtes et sanctionnera les violations.

Par conséquent, les responsables du traitement devraient se rappeler de mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer le respect du droit de la protection des données personnelles « en tenant compte des risques, dont le degré de probabilité et de gravité varie » (c’est-à-dire en établissant une évaluation précise des risques), conformément à l’article 25.1 du RGPD, en gardant à l’esprit que même des infractions mineures peuvent déclencher une sanction sévère de l’autorité et entraîner une amende coûteuse.

Les ressources, tant financières qu’humaines, consacrées à garantir la conformité au droit des données personnelles du responsable du traitement représentent très certainement un investissement, compte tenu du fait que la CNIL (ainsi que d’autres autorités de protection des données dans l’Union européenne) fera bon usage de ses pouvoirs d’enquête et de sanction.

Nous restons à votre entière disposition pour aborder avec vous plus en détails ce changement important de la politique de la CNIL.

Isabelle GAVANON

Avocate associée - Contrats informatiques
Isabelle Gavanon assiste et aide ses clients à gérer les risques juridiques associés aux projets de transition numérique grâce à des techniques contractuelles (implémentations et projets informatiques, de communications électroniques, internet ...) et à l’optimisation du statut de données, informations et créations (conformité RGPD, open data, preuve électronique, identité numérique, bases de données/droit d’auteur et contrefaçon, etc.). Une forte activité contentieuse complète cette pratique de conseil.

Voir toutes ces publications

Valentin LE MAREC

Avocat - Technologie de l’information
Valentin LE MAREC conseille et assiste ses clients dans tous leurs projets de transition et développement numériques, que ce soit en matière de protection des données (mise en conformité RGPD, gestion des cookies, précontentieux et contentieux CNIL, etc), de technologies innovantes (blockchain, intelligence artificielle) ou encore de valorisation de la propriété intellectuelle (droit d’auteur, marques, gestion des données).

Voir toutes ces publications
Échanger en live Contacts