RGPD & premières sanctions de la CNIL
En qualité d’autorité administrative indépendante, la CNIL a un pouvoir de sanction, notamment financier, qu’elle a déjà utilisé à quelques reprises :
Si au début de l’année 2019, une sanction d’un montant de 50 millions d’euro a été prononcée à l’encontre de GOOGLE suite à un contrôle en ligne effectuée en septembre 2018, les deux dernières décisions démontrent à l’évidence que les contrôles et les sanctions éventuelles vont concerner des entreprises évoluant dans des secteurs d’activité très différents et de taille beaucoup plus modeste.
SERGIC, spécialisée dans différentes activités immobilières, emploie 486 personnes et a réalisé en 2017 un chiffre d’affaires de 43 millions d’euros. Dans le cadre de son activité de gestion immobilière, elle offrait la possibilité aux postulants à la location d’un logement de déposer les pièces justificatives nécessaires à leur candidature en ligne. Suite à la plainte d’un utilisateur du site concerné, la CNIL a effectué un contrôle à la suite duquel une sanction financière de 400.000 € a été prononcée pour :
- Manquement à l’obligation de préserver la sécurité des données personnelles des utilisateurs de son site ;
- Conservation des données sans limitation de durée, contrairement aux obligations imposées par le RGPD qui exige une durée proportionnelle à la finalité des traitements.
En outre, elle a également ordonné la publication nominative de la sanction sur le site de la CNIL.
La société UNIONTRAD COMPANY est, quant à elle, une très petite entreprise (TPE) composée de 9 salariés et spécialisée dans la traduction, qui a présenté un résultat net négatif sur l’année 2017 pour un chiffre d’affaires de 900 K€. Saisie à plusieurs reprises par les salariés depuis 2013, la CNIL avait effectué une mission de contrôle en février 2018 qui a donné lieu à une mise en demeure de :
- déplacer la caméra pour ne plus filmer les salariés de manière constante ;
- procéder à l’information des salariés sur la présence des caméras ;
- mettre en œuvre des mesures de sécurité pour l’accès aux postes informatiques et pour la traçabilité des accès à la messagerie professionnelle.
Un second contrôle réalisé en octobre 2018 a permis de vérifier sur place que les mesures correctrices étaient insuffisantes. C’est pourquoi une amende administrative de 20.000 € (en dépit de la taille de la structure et de son résultat négatif) a été prononcée. En rendant publique sa décision, la CNIL rappelle la particulière sensibilité de la vidéosurveillance des salariés sur leur lieu de travail ainsi que le respect des principes élémentaires de sécurité informatique.