Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2019 - n°448 - 257

Une augmentation
significative du
montant des sanctions
prononcées sous
l'empire du RGPD

le Conseil d'Etat9 ne ramène cette
sanction à 200 000 € que du fait de la
constatation de la célérité du responsable de traitement à apporter des
mesures correctrices.

La Cnil avait annoncé en juillet 2018,
deux mois avant qu'elle reçoive la
plainte de l'utilisateur qui l'a amenée
à contrôler Sergic, qu'elle axerait ses
contrôles pour l'année 2018 sur trois
thématiques, «choisies en raison du
grand nombre de personnes concernées"  et de «leur impact sur la vie
quotidienne» au nombre desquelles
les pièces justificatives demandées
par les agences immobilières aux
candidats à la location. C'est donc
sans doute avec à l'esprit l'exemple
que l'autorité entendait faire de cette
agence immobilière mais aussi plus
généralement dans la perspective
d'un renforcement général des
condamnations avec l'avènement du
RGPD que l'amende a été fixée.

En revanche, la décision du CNPD
(l'autorité de contrôle portugaise)
rendue le 9 octobre 2018 sous l'empire
du RGPD, à l'encontre de l'hôpital
Barreiro10, présente des similitudes
notables avec la décision commentée. Ainsi, le régulateur portugais
condamne le responsable de traitement à une amende de 400 000  €,
notamment au visa des articles 5
et 32 du RGPD, pour violation de
la confidentialité des données et
du principe de minimisation des
données. Il s'agit d'un niveau de
sanction élevé, notamment motivé
par l'accès donné à un personnel
administratif n'ayant pas vocation à
connaître les données médicales des
patients.

A titre de comparaison, les délibérations rendues ces derniers mois par la
Cnil sous l'empire du droit antérieur au
RGPD, du fait de défaut de sécurité, ont
abouti à des sanctions bien moindres.

Avec la décision Sergic, l'on assiste
ainsi à la confirmation d'une
tendance des autorités de contrôle à
travers l'Union européenne à l'alourdissement des sanctions sous l'empire
du RGPD. L'on constate toutefois que,
jusqu'ici, le plafond de 2% ou 4% du
chiffre d'affaires annuel est loin d'être
atteint.

Ainsi, le 19 juillet 2017, la société
Hertz est condamnée à hauteur de
40 000 € après une fuite de données
ayant permis d'accéder aux données
personnelles de 40 000 clients6. Le
8 janvier 2018, la société Darty est
condamnée à une amende administrative de 100 000  € à la suite d'une
faille de sécurité ayant permis d'accéder aux données de 900 000 clients7.
Enfin, le 7 mai 2018, la société Optical
Center est condamnée à hauteur de
250 000 € du fait d'un défaut de sécurité sur son site qui rend accessibles les
données de plus de 350 000 clients, y
compris leur NIR et des données de
santé, données sensibles8. En appel,



Notes
(1)	

Délibération Cnil n° SAN 2019 001 du
21 janvier 2019

(2)	

Numéro d'Inscription au Répertoire (NIR) -
numéro de sécurit sociale, donnée spécifiquement règlementée en France

(3)	

L'article 34 de loi de 1978 modifié par la loi
du 6 août 2004 prévoit que «  Le responsable
du traitement est tenu de prendre toutes
précautions utiles, au regard de la nature des
données et des risques présentés par le traitement, pour préserver la sécurité des données
et, notamment, empêcher qu'elles soient
déformées, endommagées, ou que des tiers
non autorisés y aient accès. »

(4)	

C'est-à-dire sous l'empire de la directive CE
n° 95/46 du 24/10/1995 et plus particulièrement en France, sous l'empire de la loi du
6 janvier 1978 modifiée.

(5)	

décret du 5 novembre 2015 fixant la liste des
pièces pouvant être demandées aux candidats
à la location.

(6)	

Délibération Cnil n°SAN-2017-010

(7)	

Délibération Cnil n°SAN-2018-001

(8)	

Délibération Cnil n° SAN 2018-002

(9)	

Décision du Conseil d'Etat du 17 avril 2019

(10)	 Cette décision n'a pas été rendue publique en
France mais on peut en lire des commentaires
aux adresses URL suivantes
https://www.cio-online.com/actualites/lirepremiere-amende-rgpd-pour-un-hopital-portugais-10762.html
https://www.tripalio.fr/article/index/92b50bf835834454a2f9375fad200a68/rgpd-1ereamende-nous-vient-portugal
https://mondelegueauxdonnees.fr/blog/
la-cnil-portugaise-prononce-la-premiereamende-en-application-du-rgpd/

Il faudra attendre plusieurs décisions
rendues sous l'empire du RGPD pour
apprécier l'ampleur de la montée en
puissance des attentes en matière
de protection des données et des
sanctions qui y sont associées.

Florence IVANIER
Avocat associé,
Cabinet Aurele IT
Data Protection Officer

Vous avez envie de vous exprimer sur un sujet qui vous tient à cœur, de partager votre analyse
avec la communauté des lecteurs d'Expertises, d'exposer un point de vue différent sur un article
déjà publié, de lancer un débat sur un thème émergent, ou simplement de commenter l'actualité
du droit du numérique ?

Contactez la rédactrice en chef d'Expertises Sylvie Rozenfeld sr@expertises.info

EXPERTISES Juillet-Août 2019

257

https://www.cio-online.com/actualites/lire-premiere-amende-rgpd-pour-un-hopital-portugais-10762.html https://www.tripalio.fr/article/index/92b50bf835834454a2f9375fad200a68/rgpd-1ere-amende-nous-vient-portugal https://www.mondelegueauxdonnees.fr/blog/la-cnil-portugaise-prononce-la-premiere-amende-en-application-du-rgpd/

Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2019 - n°448

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2019 - n°448