Le 2 Novembre dernier, la Commission Nationale de l’Informatique et des Libertés (CNIL) dans le cadre de sa mission de protection des données personnelles, a publié sur son site les sanctions retenues par son homologue britannique à l’encontre du géant hôtelier américain Marriott et de la compagnie aérienne British Airways. Ces sanctions records prises au titre du Règlement Général sur la Protection des Données 2016/679 (RGPD) sont le résultat d’une coopération étroite entre l’Information Commissioner’s Office (ICO) et les autorités en charge de la protection des données personnelles dans les autres Etats membres de l’Union européenne. Par ce communiqué, la CNIL salue avec vigueur la réaction pro-européenne de l’ICO face au Brexit.
I – Le rappel de l’obligation de sécurité du responsable du traitement dans le cadre du RGPD
Depuis le 25 Mai 2018, les entreprises qui traitent des données personnelles sont créancières d’obligations multiples créées par le RGPD afin de garantir une protection adéquate des données personnelles et des droits attachés à ces dernières.
L’article 5(f) du règlement pose le principe d’intégrité, lequel impose au responsable de traitement et au sous-traitant de mettre en place des mesures techniques ou organisationnelles appropriées afin de garantir la sécurité. Dans les affaires British Airways et Marriott, c’est l’absence de telles mesures qui a fait bondir l’autorité britannique. L’ICO déplore dans son investigation, le non-respect du principe d’intégrité et la violation de l’obligation de sécurité qui en découle et qui constitue une obligation phare du règlement.
L’obligation de sécurité envisagée à l’article 32 du RGPD suppose que le responsable du traitement et le sous-traitant « mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette obligation exprimée en des termes généraux est illustrée avec plus ou moins de précision par le législateur. Ce dernier identifie certaines mesures parmi lesquelles se trouvent, entre autres, la pseudonymisation, le chiffrement des données ou encore plus largement les « moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ». Fort heureusement, la CNIL vient éclairer les entreprises quant au contenu de cette obligation. Concrètement, la CNIL attend des entreprises qu’elles identifient en amont du traitement les risques susceptibles d’affecter les données personnelles collectées. Il peut s’agir de risques liés à un accès non-autorisé aux données, à une altération non désirée de ces dernières ou à leur effacement.
Ensuite, les responsables du traitement doivent évaluer la gravité de tels scénarios ainsi que leur vraisemblance pour les contrer. L’outil principal, fournit par le RGPD et supervisé par la CNIL, pour mener à bien le processus d’évaluation des risques, est l’analyse d’impact.
Dans un communiqué, l’autorité britannique explique que les sanctions adoptées sont le fruit d’une coopération entre les autorités chargées de la protection des données personnelles.
II – La coopération exemplaire des autorités en charge de la protection des données personnelles
De l’investigation à la sanction, la CNIL révèle que l’ICO n’a pas agi seule mais de concert avec les autorités européennes chargées de la protection des données personnelles. L’Union fait la force et en l’espèce, Marriott et British Airways en font les frais.
L’action conjointe des autorités s’inscrit dans le cadre du mécanisme de coopération prévu à l’article 56 du RGPD, le « guichet unique ». L’intérêt de ce mécanisme est de permettre à une entreprise établie dans plusieurs Etats membres de l’Union européenne d’avoir un interlocuteur unique et d’être soumis à une seule décision, ce qui permet une application harmonisée du RGPD et un gain de temps pour l’entreprise. La mise en place de ce mécanisme suppose l’existence d’un traitement de données transfrontalier et la détermination de l’autorité compétente dans le pays de l’établissement principal ou de l’établissement unique du responsable du traitement. Les manquements ayant été constatés antérieurement à la sortie du Royaume-Uni de l’Union Européenne, l’ICO a pu être désignée « autorité de contrôle chef de file ».
Une fois identifiée, l’autorité de contrôle doit mettre en œuvre la procédure prévue à l’article 60 du règlement. Ainsi, les autorités européennes ont dû s’échanger les informations nécessaires, mener des opérations conjointes, se prêter assistance mutuelle et in fine aboutir à un consensus sur la décision à prendre. C’est à ce titre que la formation restreinte de la CNIL a approuvé les manquements retenus par l’ICO et le montant des amendes. L’ICO a donc le 2 novembre prononcé les amendes records que nous allons voir ci-après.
III – Des sanctions sur-mesure pour British Airways et Marriott
En cas de violation du RGPD, le législateur européen a prévu à l’article 83 des sanctions administratives déterminées. Le législateur a prévu en outre, à l’article 84, des sanctions déterminables par les Etats membres de l’Union européenne.
Eu égard aux sanctions administratives, le règlement a pris soin de préciser le montant et les caractéristiques essentielles de la sanction. Ainsi, les amendes peuvent s’élever jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial. De plus, la sanction doit présenter un caractère effectif, proportionné et dissuasif. Le caractère proportionné de la sanction permet aux autorités de faire du sur-mesure en prenant en compte des éléments tels que les données visées, la nature, la gravité et la durée de la violation ou encore le caractère délibéré ou négligent de la violation commise.
Eu égard aux sanctions déterminées par les Etats membres, le législateur européen pose les mêmes exigences à l’exception du montant des sanctions fussent-elles chiffrables. En France, le législateur a choisi d’instaurer à l’article L. 226-16 du Code pénal une incrimination relative au non-respect des formalités à mettre en œuvre préalablement au traitement de données personnelles et qui ont été posées par la loi. Cette infraction est passible de 5 ans d’emprisonnement et de 300 000 euros d’amende.
Dans l’affaire Marriott, les autorités ont retenu des amendes records afin de sanctionner les manquements survenus à partir du 25 Mai 2018, date d’entrée en vigueur du RGPD. Le montant des sanctions confirmées le 2 Novembre 2020 par l’ICO est bien inférieur à celui envisagé initialement qui était de 111 millions d’euros (99 millions de livres) pour Marriott et 204 millions d’euros (183 millions de livres) pour British Airways. Toutefois, les responsables de traitement ne doivent pas y voir une éventuelle clémence des autorités mais plutôt l’application d’un principe essentiel à la sauvegarde de la sécurité juridique : la non-rétroactivité de la loi. Dans ces deux affaires, les autorités ont fait preuve de lucidité. L’ICO le 24 Septembre 2020 a publié un document énonçant l’approche réglementaire qu’elle souhaite mettre en œuvre en cette période de crise sanitaire. Celle-ci se veut pragmatique et proportionnée, ce qui induit de prendre en compte l’impact économique des sanctions et la capacité des entreprises à les payer. Nul doute que les autorités ont souhaité tailler les sanctions sur-mesure, en se tenant à des standards de haute couture.
A travers ces sanctions, les autorités chargées de la protection des données personnelles rappellent la nécessité pour les entreprises de mettre en place et d’actualiser leurs programmes de conformité aux règles de protection des données personnelles. Cet impératif est d’autant plus fort que le cadre réglementaire évolue avec rapidité, au gré de la jurisprudence de la Cour de Justice de l’Union européenne. La décision Schrems II rendue par la CJUE cet été illustre parfaitement l’instabilité du cadre réglementaire. La CJUE a invalidé le Privacy Shield, de quoi complexifier la démarche de conformité des entreprises qui, pour transférer des données vers les Etats-Unis doivent redoubler de vigilance, dans la mise en œuvre de leur obligation de sécurisation des données personnelles. Parallèlement au renforcement des obligations des responsables de traitement, les autorités s’accordent à rehausser le niveau de sanction. Ainsi, les entreprises ne sauraient trouver refuge derrière la crise sanitaire actuelle pour se délier de leurs obligations en matière de protection des données personnelles.
Marie-Lourdes NDOUDI