Brève sur l’activité contentieuse de la CNIL

Propriété intellectuelle et nouvelles technologies

Le 15 janvier 2021 Par Isabelle GAVANON

Le 7 décembre dernier, l’autorité française de protection des données (la CNIL) a sanctionné deux acteurs emblématiques de l’économique numérique, à savoir Google (100M€ d’amende) et Amazon (35M€ d’amende), pour violation de la réglementation sur les cookies (mentions d’information incomplètes, absence de consentement et droit d’opposition inefficace) :

Cookies : sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED

Cookies : sanction de 35 millions d’euros à l’encontre d’AMAZON EUROPE CORE

Quelques jours auparavant, la CNIL avait également rappelé à l’ordre un acteur incontournable du secteur de grande distribution et sa filiale banque (groupe Carrefour), et infligé des amendes d’un montant total de trois millions d’euros :

Délibération du 18 novembre 2020

En ce qui concerne Carrefour, la CNIL a sanctionné plusieurs violations des principes de protection des données, s’agissant notamment de :

Bien que les violations soient avérées, et étonnamment non contestées par Carrefour, il faut souligner la sévérité inhabituelle de la CNIL étant considéré que les violations n’ont pas eu d’impact sérieux pour les personnes concernées et qu’il ne s’agissait pas de données sensibles. L’autorité souligne elle-même que les deux entreprises n’ont tiré aucun profit financier du non-respect de la loi sur la protection des données et que les manquements ont résulté « de leur négligence, de leurs erreurs ponctuelles et de leur manque d’anticipation de l’application du RGPD« .

Enfin, le 8 décembre 2020, la CNIL a rendu une décision contre Nestor, un des acteurs majeurs dans le domaine de la livraison de repas en région parisienne. La société, fondée en 2015, a été sanctionnée à hauteur de 20.000 € pour violation de la loi relative à la protection des données personnelles (informations incomplètes communiquées aux personnes concernées, droit d’accès inefficace, mesures de sécurité insuffisantes concernant les mots de passe) ainsi que de la réglementation relative à la prospection commerciale électronique, laquelle interdit l’envoi de courriers électroniques aux prospects à défaut de consentement préalable :

Délibération SAN-2020-018 du 8 décembre 2020

Une conclusion que l’on peut tirer de ces décisions est que l’ère de tolérance permettant aux responsables de traitement (et sous-traitants) de mettre en œuvre les mesures appropriées pour assurer la conformité de leurs activités est révolue, conformément à ce que la CNIL avait annoncé au printemps 2019, à savoir qu’elle serait moins conciliante en cas d’infraction au droit en vigueur : RGPD : la CNIL prévient qu’elle sera désormais moins conciliante

La CNIL est désormais déterminée à appliquer pleinement les dispositions du RGPD et de la loi Informatique et Libertés, et n’hésitera pas à infliger des amendes administratives aux entreprises qui ne les respecteraient pas, sans considération d’une intention malveillante. En particulier, la CNIL a récemment publié ses nouvelles orientations sur les cookies et accorde aux responsables de traitement six mois pour mettre en place leur nouvelle politique en matière de cookies, après quoi elle mènera des enquêtes et sanctionnera les violations.

Par conséquent, les responsables du traitement devraient se rappeler de mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer le respect du droit de la protection des données personnelles « en tenant compte des risques, dont le degré de probabilité et de gravité varie » (c’est-à-dire en établissant une évaluation précise des risques), conformément à l’article 25.1 du RGPD, en gardant à l’esprit que même des infractions mineures peuvent déclencher une sanction sévère de l’autorité et entraîner une amende coûteuse.

Les ressources, tant financières qu’humaines, consacrées à garantir la conformité au droit des données personnelles du responsable du traitement représentent très certainement un investissement, compte tenu du fait que la CNIL (ainsi que d’autres autorités de protection des données dans l’Union européenne) fera bon usage de ses pouvoirs d’enquête et de sanction.

Nous restons à votre entière disposition pour aborder avec vous plus en détails ce changement important de la politique de la CNIL.

Isabelle Gavanon
Isabelle GAVANON Avocate associée

Nos derniers articles