Sur quoi reposent les lourdes amendes prononcées à l’encontre des entreprises contrevenant aux obligations européennes en matière de protection des données personnelles ? Gros plan sur un mécanisme qui coûte de plus en plus cher aux entreprises de la Tech.
Le montant total des pénalités infligées par les autorités de contrôle européennes aux entreprises pour non-respect du RGPD a été de 2,92 milliards d’euros en 2022, selon une étude du cabinet DLA Piper. C’est beaucoup plus qu’en 2021, où le montant total des amendes s’était monté à 1,3 milliard d’euros.
L’Irlande arrive en tête des pays verbalisateurs avec 5 amendes prononcées, qui représentent un montant total de plus d’un milliard d’euros. Parmi les entreprises ayant fait l’objet de ces sanctions financières figure Instagram, et plus précisément sa maison mère, Meta Platforms Ireland Limited (Meta IE), qui a écopé en septembre 2022 d’une amende record de 405 millions d’euros, soit la deuxième amende la plus élevée depuis l’entrée en vigueur du RGPD.
Les éléments déclencheurs ont été les suivants : d’une part, la divulgation publique, par Instagram, d’adresses de courrier électronique et/ou de numéros de téléphone d’enfants utilisant un compte professionnel Instagram et, d’autre part, un paramétrage public, par défaut, pour les comptes personnels d’enfants sur Instagram, pendant la période couverte par l’enquête.
« En adoptant cette décision contraignante, le comité européen de la protection des données (EDPB) fait clairement savoir aux entreprises ciblant les enfants qu’elles doivent être beaucoup plus prudentes. Les enfants méritent une protection particulière en ce qui concerne leurs données à caractère personnel », a déclaré Andrea Jelinek, présidente de l’EDPB. Cet organisme est à l’origine de la décision contraignante ayant obligé la Commission irlandaise de protection des données (DPC) à revoir sa copie initiale dans cette affaire.
La violation des articles du RGPD comme fondement des sanctions financières
Lorsqu’une amende est prononcée, l’autorité de contrôle nationale (ou l’EDPB quand il intervient), invoque systématiquement la violation de certains articles du RGPD. Dans le cas d’Instagram, c’est un des piliers fondamentaux du droit de l’Union européenne en matière de protection des données, à savoir la licéité du traitement au sens de l’article 6 du RGPD, qui se trouvait dans la balance. L’EDPB a contesté à Instagram (Meta IE) le droit de se servir de l’«exécution du contrat» et de l’«intérêt légitime» comme bases juridiques du traitement des données.
Dans le cadre d’une autre amende, prononcée cette fois par la CNIL à l’encontre de la société Discord Inc. (service de voix sur IP et de messagerie instantanée) en novembre 2022 pour un montant de 800 000 euros, ce sont plusieurs autres manquements aux obligations du RGPD qui sont rentrés en ligne de compte, notamment en matière de durées de conservation et de sécurité des données personnelles.
Les manquements sanctionnés sont relatifs à l’obligation de définir et de respecter une durée de conservation des données adaptée à l’objectif visé (article 5.1.e du RGPD), l’obligation d’information (article 13), de garantir la protection des données par défaut (article 25.2), d’assurer la sécurité des données personnelles (article 32) et d’effectuer une analyse d’impact relative à la protection des données (article 35).
Le montant de cette amende a été décidé au regard des manquements retenus, du nombre de personnes concernées, mais aussi en tenant compte des efforts réalisés par la société pour se mettre en conformité tout au long de la procédure et du fait que son modèle d’affaires n’est pas fondé sur l’exploitation des données personnelles.
Des sanctions prises suite à des mises en demeure restées sans réponse
Dans un autre dossier, la CNIL a prononcé une sanction de 20 millions d’euros à l’encontre de Clearview AI. Cette entreprise aspire des photographies provenant de très nombreux sites web, y compris des réseaux sociaux, puis commercialise l’accès à sa base d’images de personnes sous la forme d’un moteur de recherche dans lequel un individu peut être recherché à l’aide d’une photographie.
La CNIL a enjoint à la société Clearview AI de cesser de collecter et d’utiliser, sans base légale, les données des personnes se trouvant en France et de supprimer celles déjà collectées. Les investigations menées par la CNIL ont permis de constater plusieurs manquements au RGPD : un traitement illicite de données personnelles (article 6 du RGPD) et l’absence de prise en compte satisfaisante et effective des droits des personnes (articles 12, 15 et 17). Il faut également ajouter l’absence de coopération avec les services de la CNIL (article 31), la sanction ayant été prononcée suite à une mise en demeure restée sans réponse.
La loi Informatique et Libertés parfois invoquée
Parfois, c’est un autre texte que le RGPD en tant que tel qui intervient. C’est le cas de la loi Informatique et Libertés (Loi n° 78-17 du 6 janvier 1978), invoquée dans le dossier concernant Apple Distribution International, entreprise condamnée à verser 8 millions d’euros pour ne pas avoir recueilli le consentement des utilisateurs français d’iPhone (version iOS 14.6) avant de déposer et/ou d’écrire des identifiants utilisés à des fins publicitaires sur leurs terminaux.
Les services de la CNIL ont en effet constaté que sous l’ancienne version 14.6 du système d’exploitation de l’iPhone, lorsqu’un utilisateur se rendait sur l’App Store, des identifiants poursuivant plusieurs finalités, notamment de personnalisation des annonces publicitaires diffusées sur l’App Store, étaient automatiquement lus sur le terminal sans recueil du consentement.
Pour justifier l’amende, la CNIL a relevé un manquement à l’article 82 de la loi Informatique et Libertés. Dans cette procédure, le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’avait pas vocation à s’appliquer dans la mesure où les opérations liées à l’utilisation des identifiants sur le territoire français relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.
Qui touche l’argent lorsqu’une sanction pécuniaire est prononcée par la CNIL ?
La CNIL ne perçoit pas le montant des amendes, il est versé au budget général de l’État. Un titre de paiement est adressé à l’entreprise concernée qui paye directement l’amende au ministère de l’Économie et des Finances. Il est à noter que l’amende doit être payée par l’organisme concerné même s’il envisage de faire un recours devant le Conseil d’État.