Cookies : la CNIL durcit le ton et annonce une plus grande sévérité dans les sanctions

Dans un article du Figaro du 3 février 2020, Madame Marie-Laure Denis, Présidente de la CNIL, annonce des « sanctions nettement plus significatives » . Elle considère désormais qu’il est temps de faire appliquer le RGPD en matière de cookies.

Consciente des enjeux pratiques, la CNIL laissera une période d’adaptation de six mois aux acteurs une fois sa recommandation définitive adoptée en avril ou mars prochain. En effet, bien que le RGPD soit entré en vigueur depuis le 25 mai 2018, la CNIL a jugé nécessaire de faire bénéficier les acteurs de l’Internet d’un temps de grâce, au vu de « l’ampleur de cette régulation qui concerne la quasi totalité des sites web« . Attention cependant, elle précise dans un entretien publié dans le journal Le Monde le 14 février que « La période d’adaptation ne porte que sur un sujet très précis : les nouvelles modalités du recueil du consentement aux traceurs. Toutes les autres dispositions relatives aux cookies restent applicables et sont déjà contrôlées par la CNIL » .

Reste à savoir dans quelle mesure son projet de recommandation sera amendé pour tenir compte des remarques des professionnels du secteur de la publicité en ligne, peu favorables au projet publié.

Cependant, le RGPD étant un texte européen d’application directe en droit national, la CNIL ne pourra que rester fidèle, dans l’ensemble, à son projet de recommandation, tout particulièrement en ce qui concerne l’exigence du caractère non équivoque du consentement de l’internaute au dépôt des traceurs.

Conférence de clôture du cycle Données personnelles à l’EFB

La conférence de clôture du premier cycle de formation sur les données personnelles organisé par l’EFB, en partenariat avec le Cercle Montesquieu, a eu lieu le 30 janvier 2020, en présence notamment du directeur de l’Ecole, Monsieur Pierre Berlioz, et de Madame Sophie Nerbonne, de la CNIL.

A cette occasion, les certificats de présence aux sept modules de formation ont été remis aux participants impliqués dans l’ensemble du cycle, qui avait été clôturé par un test de connaissances en ligne fin 2019.

Madame Sophie Nerbonne a rappelé la posture de la CNIL, à la fois régulateur et titulaire d’un pouvoir de sanction, tout en insistant sur son rôle d’accompagnement des professionnels dans leur mise en conformité et notamment des PME. Elle a ensuite répondu aux questions de l’auditoire, et a notamment été interrogée par Monsieur Berlioz sur les limites du rôle pédagogique de la CNIL, dès lors qu’elle est à la fois rédactrice de normes et pouvoir de sanction.

En conclusion, le directeur de l’EFB a émis le souhait que le prochain cycle de formation dans cette matière fasse salle comble.

Violation de données : faut-il tout déclarer?

L’article 33 du RGPD dispose qu’en « cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question à l’autorité de contrôle compétente …dans les meilleurs délais….à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques« .

La notification des violations de données à l’autorité de contrôle est ainsi le principe, l’exception étant l’absence de notification si la violation n’engendre aucun risque pour les droits et libertés des personnes concernées.

La notion de risque pour les droits et libertés des personnes concernées est notamment précisée au considérant 75 du RGPD. Le risque peut ainsi résulter d’un traitement susceptible « d’entraîner des dommages physiques, matériels ou un préjudice moral » et en particulier « une discrimi­nation, un vol ou une usurpation d’identité, une perte financière, une atteinte à la réputation …ou tout autre dommage économique ou social important« .

Or, rares sont les violations de données non susceptibles d’engendrer un risque pour les droits et libertés des personnes concernées. Dès lors, au vu de leur occurrence élevée (ex : perte d’une clef USB non cryptée contenant des données personnelles) de nombreuses entreprises et organismes devraient avoir déclaré des violations de données à la CNIL.

S’il est vrai qu’une telle déclaration est de nature à déclencher un contrôle, il est raisonnable de considérer que l’absence de toute déclaration pourrait en déclencher également : c’est un indice d’absence de prise en compte des obligations issues du RGPD. A chaque entreprise d’entreprendre de changer ses pratiques, et dans une logique de responsabilité, de ne pas omettre d’alerter l’autorité de contrôle en cas de violation de données.

Cela implique d’avoir mis en place les outils internes permettant de respecter les délais impartis (72 heures à compter de la prise de connaissance de la violation, un retard devant être justifié) et d’avoir conscience que déclarer les violations de données n’est pas nécessairement le signe d’une non conformité, au contraire.

RGPD et sanctions de la CNIL : fin de la période de tolérance

La CNIL ne s’est pas dotée d’une armée de contrôleur prête à sévir au 25 mai 2018. Elle a certes dû renforcer ses équipes suites aux nombreuses plaintes de particuliers, mais n’avait pas prévu d’adopter une approche « tout sanction » au jour de l’entrée en vigueur du RGPD, qui aurait par ailleurs contrastée avec son approche pédagogique habituelle. De plus, c’est en général après mise en demeure préalable que la CNIL prononce ses sanctions. Toutefois, quand bien même aucune sanction n’est prononcée en raison de la mise en conformité du responsable de traitement dans les délais impartis, la publicité de la mise en demeure peut porter un préjudice réputationnel et occasionner une perte de confiance des clients (voir notamment les mises en demeure publiques des mutuelles Humanis et Malakoff-Mederic https://www.cnil.fr/fr/groupes-humanis-et-malakoff-mederic-cloture-des-mises-en-demeure ). En tout état de cause, cette approche relativement tolérante ne devait opérer que dans un premier temps, et surtout, la plupart des principes fondamentaux relatifs à la licéité des traitements de données existaient avant l’entrée en vigueur du règlement. En conséquence, leur violation n’a pas bénéficié de la mansuétude de la CNIL. En effet, comme l’a expliqué Mathias Moulin, directeur de la protection des droits et des sanctions au sein de l’autorité de contrôle, il ne peut y avoir de tolérance lorsque le business model d’une entreprise repose sur une pratique illicite.

Il sera intéressant d’observer l’évolution des pratiques de sanctions de la CNIL depuis le changement de sa présidence, désormais occupée par Madame Marie-Laure Denis, ayant fait carrière entre autres à l’ARCEP ainsi qu’au CSA. La nouvelle Présidente a annoncé plus de fermeté envers les entreprises. Elle a cependant reconnu le sous-dimensionnement des effectifs de la CNIL, qui sont passés de 200 à 215 en 2019, au regard des enjeux. A noter, le programme de contrôle de la CNIL pour 2019 porte sur :

  • Le respect des droits des personnes, renforcés depuis le 25 mai 2018 ;
  • Le contrôle des responsabilités et conventions conclues entre responsables de traitement et sous-traitants, obligatoires, et enfin ;
  • La protection des droits des mineurs sur internet.

Les contrôles peuvent également être déclenchés suite aux plaintes des personnes concernées, d’où l’importance d’assurer le respect effectif de leurs droits, grâce à des mentions d’information claires et complètes, ainsi que des mesures organisationnelles internes. Il est également important de s’assurer de la conformité des sites internets de son entreprise : ils constituent une vitrine et à ce titre, donnent une première idée du niveau de conformité d’un organisme.