L’INSTITUTION DE SANCTIONS DISSUASIVES

343. – Jusqu’à l’application du RGPD, la loi Informatique et libertés prévoyait une amende proportionnée à la gravité des manquements commis et aux avantages qui en avaient été tirés : 150 000 € lors du premier manquement, jusqu’à 300 000 € en cas de récidive sous 5 ans ou, s’il s’agissait d’une entreprise, 5 % du chiffre d’affaires HT du dernier exercice clos, dans la limite de 300 000 €.

344. – Ces montants étaient souvent considérés comme dérisoires au regard des valeurs parfois étourdissantes des chiffres d’affaires réalisés. Ainsi la société BrandAlley, l’un des plus important sites français de vente de vêtements en ligne, a-t-elle été condamnée par la CNIL, en 2015, à une amende administrative de 30 000 euros - son PDG, Cyril Andrino, déclarant²⁸¹ un chiffre d’affaires de 150 millions d’euros en 2014 - et GOOGLE Inc²⁸², en 2013, à 150 000 € pour ses règles de confidentialité non conformes à la loi Informatique et libertés. D’un point de vue entrepreneurial il pouvait ainsi être considéré comme moins coûteux, plus simple et plus rapide de choisir de payer une amende, jugée modeste, plutôt que de modifier à grands frais des systèmes informatiques ou des procédures organisationnelles.

345. – Le législateur européen a, désormais, adapté le montant des sanctions à la taille des enjeux, c’est-à-dire au volume d’affaires des e-commerçants les plus influents. L’article 83 du RGPD prévoit deux sortes d’infractions, avec des amendes maximales différentes :

346. – - La violation des obligations mises à la charge du responsable ou du sous-traitant, de l’organisme de certification, de l’organisme chargé du suivi des codes de conduite, est sanctionnée par une amende pouvant atteindre 10 000 000 euros ou jusqu’à 2%

281 TORRE Marina, JULES Robert, BrandAlley va doubler son chiffre d’affaires en 2016, 16 juin 2015, La Tribune, consulté sur https://wwwlatribune.fr/entreprises-finace/services/distribution/brandaley-va-doubler-son-chiffre-d-affaires-en-2016-cyril-andrino-pdg-482720.html

282 CNIL, délibération n°2013-420 du 3 janvier 2014 prononçant une sanction pécuniaire à l’encontre de la société X. ; CE, ord., réf., n°344595, sté Google Inc., JCP, 17 fév.2014, n°7, DERIEUX E. ; La Gaz. du Pal., 6 mars 2014, n°65, note GRAVELAU Philippe.

du chiffre d’affaires annuel, total, mondial, de l’entreprise lors de l’exercice précédent, le montant le plus élevé étant retenu- La violation des principes de base d’un traitement (principes, licéité, consentement), des droits reconnus aux personnes concernées (accès, information, opposition…), des transferts de données dans un pays tiers sans le respect des obligations posées, des obligations des Etats membres résultant du chapitre IX du traité (conciliation de la protection des données personnelles avec des objectifs journalistiques, historiques, littéraires…) et le non-respect des injonctions données par l’autorité de contrôle, peuvent être punis d’une amende allant jusqu’à 20 000 000 €uros ou, s’il s’agit d’une entreprise, 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.

347. – Le niveau de sanction a donc changé de dimension. C’est ainsi que le 21 janvier 2019 la formation restreinte de la CNIL a prononcé une amende de 50 millions d’euros à l’encontre de la société GOOGLE LLC en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité²⁸³.

348. – Outre ces sanctions administratives, infligées par les autorités de contrôle, les Etats membres ont toute liberté pour en déterminer d’autres, applicables en matière de violation du règlement, et nous rappelons que la législation française prévoit une responsabilité pénale dans ce domaine284. Cet aspect pénal de la sanction n’est pas à négliger dans le domaine de la protection des données personnelles. La peine assure une double fonction de réparation - de la relation entre le contrevenant et la personne concernée - et de rétribution²⁸⁵ - au paiement de la faute est attachée une fonction socio-pédagogique²⁸⁶ à l’égard des populations, attachées à certaines règles. Si la connotation sociale de la sanction pénale est donc différente de celle de la sanction administrative, le double niveau de punition, administrative - par son impact financier -, et pénale - en atteignant la sociabilité du

283CNIL, délibération n° SAN-2019-001 du 21 janvier 2019.

284 CP, art. 226-16 dispose : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 2° du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Est puni des mêmes peines le fait de permettre l'accès aux données contenues dans un traitement mentionné à l'article L. 4123-9-1 du code de la défense sans avoir recueilli l'avis favorable mentionné au II du même article. »

285 VAN DE KERCHOVE Michel, « Les fonctions de la sanction pénale. Entre droit et philosophie », Informations sociales 2005/7, n°127, p. 22-31, consulté sur

www.cairn.info/revue-informations-sociales-2005-7-page-22.htm.

responsable - peut être alors considéré par l’entreprise comme tellement élevé qu’il rende opportune la mise en œuvre des moyens de l’éviter.

349. – En résumé, le choix du pragmatisme semble évident, au moins par nécessité. Comment ne pas constater pourtant le paradoxe récurrent selon lequel, parfois, le mieux reste l’ennemi du bien ? Il est en effet permis de se féliciter qu’au nom de la liberté de communication le principe de la déclaration préalable du traitement des données ait été abandonné, en échange d’une responsabilisation de l’entreprise en la matière. Mais il est aussi permis de réfléchir sur l’importance des garanties demandées, la complexité de leur mise en œuvre et leur coût, dans la mesure où ces exigences du droit pourraient constituer un frein insidieux à la liberté de communication pour celles des entreprises qui ne pourraient les assumer.

350. – Dès lors, quelques interrogations s’imposent quant à l’équilibre recherché par le droit : ce nouveau concept ne met-il pas à la charge de l’entreprise des obligations bien trop lourdes, même au regard du but (parfaitement louable) recherché, la protection de la vie privée ? Pour permettre l’utilisation des données à caractère personnel faut-il en passer par cette responsabilisation si contraignante des entreprises, dans la mesure où la règlementation dans ce domaine ne distingue quasiment pas les plus modestes des plus puissantes ? Ce plan d’égalité ne serait-il pas irrationnel ? La mise en conformité au RGPD ne risque-t-elle pas de fragiliser à l’excès les petites structures alors que les (symboliques) GAFA, qui possèdent tous les moyens financiers permettant d’y souscrire, même à regret, trouveraient, divine surprise, l’occasion d’éliminer ainsi une partie de leurs concurrents moins bien pourvus ? Ne pourrait-on même pas imaginer que, pour cette raison, les plus grosses entreprises souscrivent d’autant plus facilement à ces obligations nouvelles qu’elles y trouvent un avantage inespéré en réduisant de facto à leur profit le champ de la concurrence ?