RGPD : La CNIL peut sanctionner sans mise en demeure

RGPD : La CNIL peut sanctionner sans mise en demeure

Montant de la sanction et ligne de défense

La CNIL a prononcé en Juin 2018, une sanction pécuniaire de 250 000 euros à l’encontre d’Optical Center*, montant multiplié par 5 par rapport à la dernière sanction prononcées contre la même société (50 000 en 2015) mais bien en deçà des 4% du CA de cette société.

Ce montant s’explique par le fait que le manquement a été signalé en juillet 2017, date à laquelle le RGPD n’était pas encore en vigueur.

Il est toutefois intéressant de noter que le texte de la délibération met fin à un mythe très répandu : Attendons que la CNIL fasse un contrôle, ses agents nous indiquerons ce qu’il faut corriger dans la mise en demeure et il suffira de le faire pour ne pas être sanctionné.

La défense d’Optical Center a argué que la CNIL aurait dû prononcer une mise en demeure et que la procédure de sanction devrait donc être nulle.

 

Que retenir de la réponse de la CNIL ?

La réponse de la CNIL est lourde de sens : « L’interprétation de l’article 45 de la loi du 6 janvier 1978 modifiée suggérée par la défense aurait pour effet de rendre impossible la sanction des infractions passées. Elle constituerait même une raison, pour un responsable de traitement ayant causé ou subi une violation de données, de s’abstenir de prendre aucune mesure corrective et d’attendre que lui soit éventuellement adressée une mise en demeure, le seul fait de s’y conformer faisant alors obstacle au prononcé d’une sanction« .

La CNIL ajoute ensuite que les effets d’un manquement passé ne pouvant être corrigé par le biais d’une mise en demeure, le manquement peut être directement sanctionné.

Ainsi, les entreprises qui auront choisi d’attendre une hypothétique mise en demeure de la CNIL avant de faire le nécessaire pour protéger les données personnelles traitées s’exposent à des sanctions directes sans aucune mise en demeure. Le risque de sanction et son montant étant encore plus élevé si les manquements sont dus à des défaut élémentaires de sécurité, ou au non respect de la précédente loi informatique et liberté, comme le montre les précédentes sanctions de la CNIL.

 

*https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037013610&fastReqId=1003469497&fastPos=1

2018-08-20T13:28:20+00:00
%d blogueurs aiment cette page :