Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Quelles sont les CNIL les plus sévères en Europe ?

Publié le par

L’analyse des amendes infligées dans les pays européens montre de grands écarts qui interpellent et, pour le dire sincèrement, sont préoccupants. L’adoption d’un règlement devait harmoniser les choses en Europe, tandis que le guichet unique devait faciliter la supervision. Assiste-t-on un mécanisme pervers de création de zones de laxisme au sein de l’Union européenne ?

Le guichet unique

L’introduction du mécanisme de « guichet unique » par l’article 56 du Règlement, constitue immanquablement une innovation majeure qui facilite sensiblement la vie des responsables de traitement établis dans plusieurs États Membres.

Le mécanisme est simple dans son principe : en cas de traitement transnational, le Règlement détermine l’autorité de contrôle « principale » (dite l’autorité de contrôle chef de file) pour les activités de traitement du responsable dans l’Union en fonction du lieu de l’établissement principal du responsable ou de son lieu d’établissement unique. L’autorité de contrôle chef de file est en principe l’interlocuteur unique du responsable ou du sous-traitant pour leur traitement trans-fontalier (art. 56, § 6).

L’autorité chef de file renforcée par l’arrêt Facebook

L’arrêt Facebook (Belgique) du 15 juin 2021 a confirmé le rôle central de l’autorité chef de file.

Pour la Cour, ce n’est que moyennant le respect de nombreuses conditions qu’une autorité nationale de contrôle peut envisager exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction d’un État membre, même si elle n’est pas l’autorité chef de file pour ce traitement. Nous avons consacré à cet important arrêt une analyse complète à laquelle renvoyons. Nous avions préalablement analysé les conclusions de l’avocat général.

Un risque de concurrence malsaine entre États

La désignation d’une autorité chef de file est le corollaire du guichet unique. L’idée était bonne, excellente même, d’autant que l’adoption d’un règlement en lieu et place d’une directive devait considérablement minimiser le risque de disparités nationales importantes.

Le système recèle toutefois un risque : en confiant autant de pouvoir à une autorité, ne risquait-t-on pas de voir se développer au sein même de l’espace européen des zones de laxisme où les « gros comptes » se précipiteraient ?

Les groupes internationaux ont en effet ajouté de nouveaux critères de sélection lorsqu’ils décident où s’implanter : à côté du taux de taxation, on trouve désormais une cote friendliness décernée à l’autorité locale de protection des données. Cette cote peut peser lourdement dans le choix, surtout si l’activité de l’entreprise comprend en tout ou en partie la monétisation de l’audience ou des données des utilisateurs.

Les défenseurs du système rétorquaient à l’époque que les hautes exigences d’indépendance qui pèsent sur les autorités nationales devaient éviter que ce risque se matérialise.

C’est tout l’intérêt de la récente étude menée par l’éditeur ESET que d’objectiver l’activité des autorités nationales en Europe depuis l’adoption du règlement.

Les plus grosses amendes

Au hit-parade des amendes, c’est le Luxembourg qui remporte la palme avec la récente sanction infligée à Amazon : 746 millions d’euros. L’amende représente plus du double de toutes les amendes combinées émises par l’ensemble des autorités ! Amazon a bien entendu introduit un recours.

La deuxième plus forte amende GDPR a été infligée à l’une des plus grandes organisations : Google. Le géant des moteurs de recherche a été condamné à une amende de 50 millions d’euros par la CNIL, l’autorité française de régulation des données. Il a été jugé que Google n’a pas suffisamment informé ses utilisateurs de la manière dont leurs données étaient collectées et de la façon dont elles étaient utilisées dans le cadre de publicités ciblées. L’amende a fait l’objet d’un appel en 2020, mais celui-ci a été rejeté par le Conseil d’État français.

En Allemagne, H&M a été condamnée l’année dernière à une amende d’un peu moins de 35,3 millions d’euros pour la surveillance illégale de plusieurs centaines de ses employés (données sur les familles, la religion et l’historique de santé).

Suivent l’Italie (27 millions à l’encontre de Gruppo ITM) et le Royaume-Uni (22 millions contre British Airways et 20 millions contre Marriott).

Précisons que le classement n’a pas pris en compte la très récente amende irlandaise de 225 millions à l’encontre de WhatsApp.

Le nombre d’amendes

Au classement du nombre d’amendes c’est l’Espagne qui vient en tête (273), suivie de l’Italie (75), la Roumanie (60), la Hongrie (43), la Norvège (31) et la Suède (26).

La Belgique est 8e avec 25 amendes prononcées, tandis que la France est 11e avec 18 sanctions.

On rappelle qu’il s’agit du nombre d’amendes prononcées, ce qui ne tient pas compte de la complexité du dossier et du montant. Se mesurer à Facebook ou Google sur une question de principe, ne requiert évidemment pas le même travail qu’un dossier portant sur la réutilisation d’un fichier d’adresses concernant une quinzaine de familles fréquentant la crèche communale. Le nombre d’amendes ne représente donc qu’une information partielle.

L’information est d’autant plus partielle que malgré les efforts des auteurs de l’étude, il n’est pas toujours possible de tenir compte de tous les recours introduits contre ces amendes (recours parfois jugés fondés).

Le chiffre des amendes prononcées est toutefois intéressant pour mesurer la proactivité et le dynamise d’une autorité.

L’étude permet de mettre en relation le nombre d’amendes avec leurs montants, moyen et cumulé. À ce petit jeu, des pays comme l’Italie, l’Allemagne, la France et le Royaume-Uni montrent une belle constance (encore que les autorités allemandes soient in fine étonnamment peu actives par rapport à leur force de frappe et leur historique). À l’inverse, le Luxembourg qui a prononcé 6 sanctions pour 746 millions et des poussières, devient un des moins sévères si l’on isole la récente décision contre Amazon (il ne reste plus que les poussières).

Les raisons justifiant l’amende

En Europe, c’est l’absence de base légale qui justifie le plus grand nombre d’amendes : 276. Cette information est une surprise : l’article 6 du règlement est clair et supposé connu. Il représente l’un des piliers du système. Il est surprenant qu’autant de responsables puissent encore être en infraction. (A ce sujet, osons une prédiction : le nombre augmentera le jour où les autorités s’attaqueront aux traitements des autorités publiques dans l’exercice de leur mission. Celles-ci ne disposent en effet pas de la balance des intérêts comme base de licéité des traitements, et n’en semblent pas toujours conscientes).

En 2e lieu, et c’est plus attendu, on trouve l’insuffisance de mesures techniques et organisationnelles de nature à protéger les données : 155 amendes.

Le classement se termine avec les manquements aux principes généraux (149 amendes), le non-respect des droits des personnes concernées (68), les manquements en matière d’obligations à fournir aux personnes concernées (51), la coopération insuffisante avec l’autorité (27), le non-respect des obligations data breach (18) et l’absence de DPO (7).

Un problème irlandais ?

L’Irlande est un pays très attractif pour les grands groupes internationaux. Grâce notamment à une politique fiscale agressive, des compétences linguistiques très élevées (anglais), un bon niveau de formation et une position géographique avantageuse, le pays a réussi à attirer un nombre invraisemblable de très gros comptes ayant des activités dans tous les pays du monde.

L’autorité irlandaise est donc, en tant que chef de file, un acteur crucial en Europe, l’un des plus importants.

Or, en off, il n’est pas rare d’entendre des responsables regretter l’attitude très peu proactive de l’autorité irlandaise. Du reste, la plupart des décisions de principe de la CJUE portent sur des dossiers irlandais dans lesquels l’autorité locale semble défendre une vision très limitée de ses propres pouvoirs. De là à penser que ce laxisme fait partie des attraits du pays pour ces grands groupes, il n’y a qu’un pas que certains hésitent de moins en moins à franchir …

Il est donc intéressant d’objectiver le bulletin de l’autorité irlandaise.

L’Irlande est dans une situation comparable au Luxembourg : un seul énorme dossier modifie l’ensemble des statistiques : WhatsApp, sanctionné à hauteur de 225 millions en septembre 2021.

Si l’on ôte ce seul dossier des statistiques, le bilan est beaucoup plus maigre : le pays n’a prononcé qu’un nombre limité de sanctions : 7 amendes (dont 3 contre un seul responsable : Tusla Child and Family Agency), qui représentent un montant total cumulé d’à peine 875.000 €, c’est-à-dire 125.000 € par dossier. Maigre bulletin pour une autorité qui a autant de « clients » potentiels, et pas les moindres.

Il est trop tôt pour savoir si le dossier WhatsApp marque un tournant dans la doctrine irlandaise, mais il sera intéressant de scruter son activité dans les mois et années à venir.

Plus d’infos ?

L’étude récente de ESET

Le tableau permanent https://www.enforcementtracker.com/

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK