Lorsque vous traitez des données personnelles sur votre site internet, vous devez vous assurer de suivre un certain nombre de règles et de recommandations. Si vous ne le faites pas, vous vous exposez à des amendes et des procédures.
Secure Privacy Team
·5 min read
Share:
La Commission Nationale Informatique et Libertés (CNIL) est une autorité administrative indépendante chargée de protéger les données personnelles des utilisateurs. Celle-ci doit s’assurer que l’informatique est au service du citoyen et ne porte pas atteinte à l’identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
La CNIL a un rôle de veille et d’information mais elle possède également un pouvoir de contrôle et de sanction. Cette autorité peut surveiller la bonne mise en œuvre des différentes mesures entrées en application par le Règlement Général sur la Protection des Données (
RGPD
).
La CNIL définit 4 axes principaux de recommandations vers la conformité :
Constituer un registre de vos traitements de données
Faites le tri dans vos données
Respectez les droits des personnes
Sécurisez vos données
Lorsque des infractions ou des manquements sont constatés, la CNIL peut décider de mettre en demeure les entreprises visées ou bien de les sanctionner financièrement. Afin d’éviter d’en arriver là, il est préférable de se faire accompagner dans son processus de mise en conformité au RGPD. Certaines solutions technologiques permettent de réaliser plusieurs actions vers la mise en conformité telles que : la gestion et stockage du consentement, bannière conforme aux recommandations, générateur de politique de confidentialité / cookies, scanner périodique,...
Vous trouverez plus de détails sur cet article sur ce qu’est une bannière de cookies, comment être sûr que celle-ci est bien conforme au RGPD et pourquoi vous devez en avoir une.
Quelques chiffres
Augmentation des contrôles en 2021
En 2021, le nombre total de contrôles réalisés par la CNIL s’élève à 384 (contre 247 contrôles en 2020) dont : 173 contrôles en ligne, 118 contrôles sur place, 65 contrôles sur pièces, 28 contrôles sous audition. A la suite de ces contrôles la CNIL a infligé plus de 214 m€ de sanctions financières (contre 138 M€ en 2020). Plus de 14000 plaintes ont été recensées par la CNIL, ce qui a donné lieu à 18 sanctions et 135 mises en demeure.
Nouvelle procédure simplifiée créée
Le nombre de plaintes déposées et de contrôles ne cessent d’augmenter ce qui oblige la CNIL à prendre de nouvelles mesures correctrices. L’objectif de la dernière réforme du 8 avril 2022 vise à simplifier les actions répressives et à pouvoir augmenter la capacité de traitement des dossiers. La présidente de la CNIL peut à présent décider en fonction de la complexité des cas d’une procédure de sanction dite simplifiée.
La Présidente de la CNIL va alors saisir le Président de la formation restreinte et désigner un rapporteur parmi les agents de la CNIL qui sera chargé d’instruire le dossier. Les modalités de la procédure de sanction simplifiée sont allégées en comparaison avec une procédure classique. Le Président de la formation restreinte, ou un membre qu’il aura désigné, statue seul et aucune séance publique ne sera nécessaire.
Des amendes de plus en plus importantes
Les sanctions décidées ne seront pas rendues publiques et le montant des amendes maximal est plafonné à 20000€. Avec le RGPD, le montant des sanctions peut aller jusqu’à 20 millions d’euros ou le cas échéant pour une entreprise à 4% du chiffre d’affaires annuel mondial. Un célèbre réseau social a par exemple été condamné à 60 M€ d’amende le 31 Décembre 2021 pour ne pas avoir respecté les modalités liées aux refus des cookies ainsi qu’un mauvais traitement des données à caractère personnelles.
Contrôles récurrents
La procédure de mise en demeure a elle aussi été ajustée. La présidente de la CNIL peut à présent délivrer des lettres de mise en demeure sans attendre de réponse écrite des entreprises visées. L’entreprise sera donc dans l’obligation de se mettre en conformité avec le RGPD dans un délai déterminé par la présidente. L’entreprise ne doit plus envoyer les éléments à la CNIL attestant de sa mise en conformité mais l’autorité de régulation stipule que d’autres moyens seront disponibles pour la vérification (comme un contrôle ultérieur).
Dans des situations particulières, le précédent plafond de 6 mois disparaît pour laisser plus de temps aux entreprises de mettre en action leurs programmes de conformité.
La volonté de la CNIL à travers ces simplifications de procédures est d’augmenter de manière significative ses contrôles et sanctions.
Il est également à noter que la CNIL est l’autorité compétente française pour l’application du RGPD. D’autres entités et d’autres législations existent aussi (CCPA pour la Californie, LGPD pour le Brésil, PDPA pour la Thaïlande,...). Lorsqu’une entreprise a un public provenant d’autres pays, il est préférable d’opter pour des solutions efficaces à l'international. Par exemple, Secure Privacy utilise une technologie capable de respecter les différentes législations en fonction du lieu de connexion et de proposer une interface adaptée aux recommandations en vigueur dans le pays de connexion, tout ça dans plus de 70 langues.
Aucune entreprise, aussi petite soit elle, ne sera épargnée par la procédure de sanction simplifiée. Une approcheproactive plutôt que réactive sera toujours valorisée par les différentes autorités en cas de contrôle. Cela vous permettra de justifier de plusieurs actions réalisées dans un but de transparence et de conformité à grande échelle.
