Pourquoi n’y a-t-il pas encore de sanctions RGPD de part de la CNIL ?

Pourquoi n’y a-t-il pas encore de sanctions RGPD de part de la CNIL ?

L’entrepriseCela fait 6 mois que le RGPD est entré en vigueur. Le nombre de plaintes déposées auprès de la CNIL a explosé.

Les autorités de contrôle allemande et portugaise ont déjà prononcées des sanctions (pas très significatives). Mais la CNIL n’a toujours pas prononcé de sanction.

Cette situation a généré de nombreux articles, parfois pessimistes, parfois réclamant un « exemple. Des entreprises y voient une confirmation que le RGPD va faire choux blanc.

De mon point de vue, la réalité est tout autre

Je me suis amusée à regarder les différents bilans et sanctions de la CNIL pour évaluer combien de mois ce sont écoulés entre le dépôt d’une plainte et la sanction. Je suis arrivée à une moyenne de 11 mois entre le dépôt de la plainte et la sanction.

Est-ce donc si étonnant que la CNIL n’est pas encore prononcé de sanction pour non conformité au RGPD ?

La réponse est non. Le RGPD est entré en vigueur le 25 Mai 2018. Les effectifs de la CNIL ont certes augmenté, mais pas dans les mêmes proportions que le nombre de plainte. Il leur fallait en moyenne 11 mois pour traiter une pleine; il n’y a que 6 mois que le RGPD est entré en vigueur et que les premières plaintes ont été déposées.

La CNIL n’est pas là que pour sanctionner

Est-il encore besoin de le rappeler ? La CNIL ne fait pas que sanctionner. Elle accompagne aussi les entreprises dans leur conformité. Elle prend en compte la situation de l’entreprise. Et toute entreprise a la possibilité de fournir un argumentaire pour tenter de se justifier en cas de dépôt de plainte ou de contrôle.

La CNIL ne décide donc pas unilatéralement d’une sanction; elle donne à une entreprise la possibilité de fournir une explication. L’entreprise a la possibilité de montrer sa bonne foi, de réparer ses erreurs. Si tant est que ce sont des erreurs sans conséquences pour les personnes physique ou commises en toute bonne foi. Un défaut élémentaire de sécurité n’est pas une erreur.

Autant de raison qui explique qu’il n’y ait pas encore de sanction.

Mais gare à l’entreprise qui prendrait cette absence de sanction pour un « aveu de désintérêt » ou qui attendent une mise en demeure pour ce mettre en ordre de marche.

Rappelons le cas d’Optical Center, dont l’un des sites commercial présentait des défauts de sécurité découverts avant l’entrée en vigueur du règlement. Optical Center avait demandé l’annulation de la procédure de sanction au motif que la CNIL aurait d’abord dû la mettre en demeure. La réponse de la CNIL a été on ne peut plus claire : elle peut sanctionner sans mise en demeure.

Que retenir ?

L’absence de sanction prononcée par la CNIL pour non-conformité au RGPD ne signifie pas que le soufflé retombe.

Si la CNIL travaille au même rythme que précédemment, il est probable que les premières sanctions ne tomberont pas avant début 2019.

La CNIL peut sanctionner sans mise en demeure.

Les entreprises qui sont convaincues que le RGPD est un non sujet en feront les frais. Elles pourront être sanctionner sans mise en demeure. Elle pourraient allouer des budgets en urgence pour la conformité. Elles pourraient perdre des contrats perdus. Dans quelle catégorie votre entreprise veut-elle se trouver ?

2018-11-27T09:07:10+00:00
%d blogueurs aiment cette page :