ACTU RGPD
Les sanctions RGPD prononcées par la CNIL
A titre de rappel, la CNIL est la Commission Nationale de l’Informatique et des Libertés qui a été créée par la loi Informatique et Libertés du 6 janvier 1978. C’est la Haute autorité de contrôle en matière de protection des données personnelles.
Elle a des missions de conseil et d’information (elle répond aux demandes des particuliers et des professionnels), mais elle dispose également d’un pouvoir de contrôle et de sanction (elle peut contrôler les organismes et, en cas de manquements constatés, elle peut décider de les mettre en demeure ou de les sanctionner).
Le programme des contrôles est élaboré en fonction des plaintes reçues, des thèmes d’actualité et des grandes problématiques (actualités, nouvelles technologies) dont la CNIL est saisie.
À l’issue de contrôles ou de plaintes, en cas de méconnaissance de la réglementation par les organismes, la CNIL peut notamment :
- Prononcer un avertissement
- Mettre en demeure l’organisme
- Limiter temporairement ou définitivement un traitement
- Suspendre les flux de données
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes
- Ordonner la rectification, la limitation ou l’effacement des données
- Prononcer une amende administrative
Les amendes peuvent aller de 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial pour le non-respect des obligations administratives à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial pour le non-respect des droits des personnes.
Ces sanctions peuvent être rendues publiques, ci-dessous les dernières amendes en date (rien que sur le mois de décembre 2022) :
- Société VOODOO (éditrice de jeux pour smartphone) : amende de 3 millions d’euros pour avoir utilisé un identifiant essentiellement technique pour de la publicité sans le consentement de l’utilisateur
- TIKTOK : amende pour un montant total de 5 millions d’euros pour deux raisons : les utilisateurs de « tiktok.com » ne pouvaient pas refuser les cookies aussi facilement que les accepter et ils n’étaient pas informés de façon suffisamment précise des objectifs des différents cookies
- Société APPLE DISTRIBUTION INTERNATIONAL : amende de 8 millions d’euros pour ne pas avoir recueilli le consentement des utilisateurs français d’iPhone (version iOS 14.6) avant de déposer et/ou d’écrire des identifiants utilisés à des fins publicitaires sur leurs terminaux
- Société MICROSOFT IRELAND OPERATIONS LIMITED : amende de 60 millions d’euros, notamment pour ne pas avoir mis en place un mécanisme permettant de refuser les cookies aussi facilement que de les accepter
- Société FREE : amende de 300 000 euros, notamment pour ne pas avoir respecté les droits des personnes et la sécurité des données de ses utilisateurs.