Brève : pas de repos en juillet pour la conformité des entreprises
Tandis que pour beaucoup la cloche des vacances a sonné depuis plus d’un mois, pas de repos pour la CNIL qui continue à sanctionner de manière médiatique les entreprises qui ne seraient pas encore en conformité avec le RGPD.
Les 22, 28 et 29 juillet derniers, la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a prononcé deux amendes exemplaires s’élevant à 1,75 millions d’euros contre SGAM AG2R LA MONDIALE, 400.000 euros à l’égard de MONSANTO et 50 millions d’euros envers le journal LE FIGARO. Ces sanctions, mis en lumière, médiatiquement, ne sont que la consécration de l’application des lignes directrices prononcées le 1er octobre 2020.
Des contrôles renforcés vis-à-vis des cookies
Au chocolat, Matcha ou informatique, les Cookies ne cessent de nous régaler, la CNIL déploie sa meilleure toge et vient nous confirmer une fois de plus la recette inratable de ces fameux biscuits ronds.
Elle l’avait dit, cette année, ce sont les cookies qui sont mis à l’honneur, c’est du moins ce qu’elle a voulu rappeler en sanctionnant le fameux site internet d’information lefigaro.com qui fait suite aux différents contrôles effectués en 2020 et 2021.
Elle reproche au Figaro.com, la dépose systématique d’un certain nombre de cookies sur le serveur de l’internaute, peu importe leur acceptation ou refus par ce dernier.
Ce qu’il faut savoir, est que les cookies peuvent poursuivre de nombreuses finalités différentes rendant difficile un régime totalement unifié. Le consentement n’est pas obligatoire pour tous, ainsi, les cookies dit « fonctionnel » ou nécessaire au site Web nécessitent uniquement une information préalable. Il en va différemment lorsqu’ils ont une vocation Marketing ou publicitaire soit ceux qui poursuivent une finalité commerciale.
Cette obligation relève d’une exigence de la « Directive sur la protection de la vie privée dans le secteur des communications électroniques (2002/58) » telle que transposée à l’article 82 de la loi Informatique et Liberté de 1978.
Pour rappel, elle avait déjà prononcé une sanction similaire à l’encontre de la société Google et Amazon en décembre 2020, lesquelles avaient atteint des amendes record s’élevant à 100 millions et 35 millions d’euros respectivement.
Il faut noter que le FIGARO a argué une « irresponsabilité » envers ces cookies du fait d’un partenariat qui maintenait tout contrôle sur les cookies. Sans surprise, cet argument ne fut pas retenu. De la même manière qu’un directeur est, responsable des plats sortant de sa cuisine, l’éditeur d’un site internet doit mettre en place les moyens de contrôle suffisant sur ses partenaires dès lors qu’il conserve la maîtrise de son site et de ses serveurs.
Une amende plutôt salée qui s’explique par la place que détient le Figaro dans le marché des médias, considéré comme une des sources d’information privilégiées auprès des utilisateurs.
Des contrôles continus sur la conformité des entreprises
Si la CNIL privilégie le contrôle des sites Internet, elle ne délaisse pas pour autant son rôle d’examinateur de la conformité des entreprises. Par deux délibérations du 22 et 28 juillet, la CNIL est venue sanctionner d’abord la société SGAM AG2R LA MONDIALE puis l’entreprise Monsanto pour manquement à certaines dispositions du RGPD.
Qu’est-ce qui était reproché ?
Ce qui est reproché à la société SGAM AG2R LA MONDIALE est le manquement aux obligations du Règlement s’agissant de l’information des personnes (article 13 et 14 du RGPD) et la durée de conservation jugée comme excessive au regard des finalités poursuivies (article 5.1.e du même règlement).
À l’occasion de démarchage téléphonique, les appels effectués par les sous-traitants étaient enregistrés sans le consentement desdits personnes. Il n’existait aucune information concernant la collecte des informations ni sur leurs droits. À côté de ça, un certain nombre de données était conservé de manière indéfinie. Elle sanctionne l’entreprise d’une amende de 1,75 millions d’euros.
S’agissant de l’entreprise MONSANTO, cette dernière formalisée un fichier contenant les données de plus de « 200 personnalités politiques et sur les personnes appartenant à la société civile susceptibles d’influencer le débat ou l’opinion publique sur le renouvellement de l’autorisation du glyphosate en Europe ». Ce fichier recensé des informations d’ordre professionnel, de contact et une appréciation de la personne vis-à-vis de l’entreprise en question sur les pesticides ou les organismes génétiquement modifiés. Un manquement aux obligations d’informations et la nécessité d’encadrer de manière explicite tout traitements effectués sur des personnes. Une amende d’un montant de 400.000 euros est prononcée.
Des sanctions justifiées ?
Dans ces trois délibérations, le montant des amendes varient énormément. Pourquoi une telle différence sur les montants prononcés ?
Lorsqu’un manquement est constaté aux dispositions du Règlement, la CNIL a une liberté d’appréciation quant au montant de la sanction applicable, sous réserve, que celle-ci n’excède pas 10 millions d’euros, 2 % du chiffre d’affaire annuel mondial de la société, voir 4 % et 20 millions en cas de manquement grave.
Mais comment peut-on expliquer que le défaut de conservation d’une donné est sanctionnée plus sévèrement que la création d’un fichier de traitement à l’insu des personnes ?
Un des premiers éléments de réponse peut provenir du fait qu’en principe, la création d’un fichier de Lobbying de contact n’est pas en soi illégal, surtout lorsqu’il s’agit de personnalités notoirement connues pouvant raisonnablement s’attendre à être fichée. Sa sanction révèle une certaine proportionnalité quant au respect à la vie privée et la qualité des personnes. Une critique peut toutefois être relevée dans le sens où en principe le RGPD se distingue de l’article 9 du code civil protégeant le droit à la vie privée du fait qu’il ne doit exister aucune distinction suivant le statut des personnes.
Et vous, pensez-vous que le montant de ces sanctions sont justifiées ?
Toute l’équipe de La Robe Numérique se tient à votre disposition.
Une question ? N’hésitez pas à nous écrire à l’adresse suivante : team@larobenumerique.fr
Sources :
CNIL MONSANTO , LEFIGARO, SGAM AG2R LA MONDIALE
