RGPD, gare aux sanctions !

Le RGPD est entré en application le 25 mai 2018. Pour ce qui concerne certaines procédures engagées à l’encontre d’organismes de diverses natures (écoles, administrations, associations, sociétés, etc.), la CNIL a d’ores et déjà pris des sanctions ou des décisions.

Voyons quelques exemples récents (1) :

• 08 janvier 2018 : Amende de 100 000 € requise contre la société DARTY. Motif : Défaut de sécurisation du système de ticketing du service après-vente ;
• 05 mars 2018 : Mise en demeure requise contre la société DIRECT ENERGY. Motif : défaut de recueil du consentement sur les compteurs Linky ;
• 27 avril 2018 : Amende de 150 000 € requise contre les sociétés FACEBOOK INC et FACEBOOK IRLAND. Motif : non-respect de la collecte du consentement et de la durée de conservation des adresses IP ;
• 07 juin 2018 : Amende de 250 000 € requise contre la société OPTICAL CENTER. Motif : Site de commande en ligne pas assez sécurisé ;
• 25 juin 2018 : Mise en demeure requise contre les sociétés TEEMO et FIDZUP. Motif : défaut de recueil du consentement sur une application mobile, et défaut de définition d’une durée de conservation des données ;
• 28 juin 2018 : Amende de 75 000 € requise contre l’ASSOCIATION POUR LE DÉVELOPPEMENT DES FOYERS. Motif : Possibilité d’accéder à des documents personnels de locataires à partir de l’URL du site ;
• 02 juillet 2018 : Mise en demeure requise contre l’école privée l’INSTITUT DES TECHNIQUES INFORMATIQUES ET COMMERCIALES (ITIC). Motif : non-respect de la LIL sur les images de vidéo surveillance ;
• 20 juillet 2018 : Clôture de la procédure requise contre la société GENESIS, relative à la procédure concernant la poupée “My Friend Cayla”. Motif : GENESIS a de manière effective abandonné la technologie de reconnaissance vocale à destination des enfants depuis sa poupée connectée, technologie qui posait un réel problème de sécurité de l’information collectée ;
• 24 juillet 2018 : Amende de 30 000 € requise contre la société l’OFFICE PUBLIC DE L’HABITAT DE RENNES. Motif : Détournement de la finalité du fichier des locataires ;
• 24 juillet 2018 : Amende de 50 000 € requise contre la société DAILYMOTION. Motif : Mots de passe des utilisateurs stockés en clair sur la plateforme.

Toutefois, ces décisions peuvent être considérées comme clémentes, puisque prises sous l’égide de la Loi Informatique & Libertés ancienne formule. En effet, Le RGPD en tant que règlement européen est certes d’application immédiate au jour de sa publication, c’est-à-dire le 25 mai. Néanmoins, dans la pratique, sa transposition dans notre loi locale était indispensable (2).

Quid d’une transposition du RGPD en droit français ? Depuis le 03 août 2018, c’est maintenant effectif…

Désormais, avec la publication le 3 août du décret d’application de la nouvelle mouture de la loi informatique et libertés (3), les entreprises risquent EFFECTIVEMENT des amendes, mais qui sont d’un tout autre ordre que celles évoquées ci-dessus : jusqu’à 4% du chiffre d’affaire mondial avec possiblement un plancher de 20 millions d’euros.

C’est sans doute la raison pour laquelle le Gartner (4) à travers sa publication de Q2/2018 (5) place, une nouvelle fois, le risque sur la sécurité des données dans le top 3 des 10 risques majeurs pour les entreprises françaises.

Plus que jamais, nous devons sensibiliser nos parties prenantes à ces aspects. Il s’agit là d’une des tâches majeures – et ardues – du DPD, le Délégué à la Protection des Données.

——————————

1. Source : Légifrance. Les dates sont celles de la notification administrative.Les motivations ont été simplifiées afin de les rendre compréhensibles.
2. La loi de 1975, dite « Loi Informatique & Libertés » modifiée par la loi n° 2018-493 du 20 juin 2018
3. JORF n°0177 du 3 août 2018
4. https://www.gartner.com/en/about
5. https://www.gartner.com/ngw/globalassets/en/risk-audit/documents/top-ten-emerging-risks-Q2-2018.pdf