La Commission Nationale pour la Protection des Données (CNPD) a rendu publiques ses 18 premières décisions et sanctions administratives, dont six amendes allant de 1.000 à 18.000 euros, prononcées pour non-respect des dispositions du règlement général sur la protection des données (RGPD).
Après une période de tolérance et de pédagogie, il semble clairement que l’autorité de contrôle en matière de protection des données passe à une phase répressive. Il s’agit là, à n’en pas douter, d’une sonnette d’alarme à laquelle les responsables de traitement devraient être particulièrement attentifs.
Ce sont là les premières sanctions prononcées par la CNPD depuis l’entrée en vigueur du RGPD il y a peu plus de 3 ans maintenant.
La suppression des obligations de notification et de déclaration à l’autorité de contrôle par le RGPD n’est certainement pas un assouplissement de la législation. Bien au contraire, le principe de responsabilité ou plus connu sous le terme « accountability » oblige les responsables de traitement à faire un suivi plus systématique et au jour le jour de leurs traitements de données personnelles. Le délégué à la protection des données (DPD) interne ou externe prend toute son importance pour faire respecter les multiples obligations du RGPD. Pour les entreprises ou les professionnels qui auraient renvoyé leur mise en conformité du RGPD aux calendes grecques, ils seraient bien avisés de revoir leur copie au risque de se voir de plus en plus durement sanctionner dans le futur.
Lesdites décisions, rendues entre le 8 avril et le 31 mai 2021, concernent la mise en place de systèmes de vidéosurveillance et de géolocalisation de salariés ainsi que sur la nomination d’un délégué à la protection des données (DPD) jugée non conforme au RGPD.
S’agissant de la fonction de DPD, la CNPD a constaté un manquement à l’obligation d’associer le DPD - qui avait été nommé au niveau du Groupe de sociétés - à toutes les questions relatives à la protection des données qui se posaient au niveau local luxembourgeois et a conclu que le DPD n’était pas suffisamment et directement associé aux questions y relatives. Elle a également décidé que la double casquette de DPD et de Chief Compliance Officer au sein d’une même structure présentait un risque de conflit d’intérêts, notamment dans le cadre des traitements AML/KYC du département Compliance.
Entre autres, l’autorité de contrôle est également venue sanctionner des employeurs ayant installé des dispositifs de géolocalisation dans certains véhicules utilisés par leurs salariés, en constant un manquement au principe de la limitation de la conservation ainsi qu’à l’obligation d’informer les personnes concernées.
Ces décisions sont le résultat des enquêtes menées par la CNPD, conformément à l’article 41 de la loi du 1er août 2018 portant organisation de la CNPD et du régime général sur la protection des données, et sont susceptibles d’un appel devant le tribunal administratif dans un délai de 3 mois.
Il s’agit ici de sanctions « clémentes » à ce stade puisque rappelons qu’en vertu de l’article 83 §5 du RGPD, les amendes peuvent s’élever jusqu’à 20.000.000.- EUR ou, dans le cas d’une entreprise, jusqu’à 4% de son chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Force est de constater que l’autorité de contrôle luxembourgeoise n’hésite plus à hausser le ton en sanctionnant.
Par ailleurs, l’étendue de ses pouvoirs se précise puisque la Cour de justice de l’Union européenne s’est prononcée dans un arrêt récent sur les conditions d’exercice des pouvoirs des autorités nationales de contrôle pour le traitement transfrontalier de données [1].
La haute juridiction européenne a en effet jugé que sous certaines conditions, une autorité de contrôle peut exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction d’un Etat membre, même si elle n’est pas l’autorité chef de file pour ce traitement.
Le rôle des autorités de contrôle, qu’elles soient ou non chef de file, se voit donc renforcé, venant confirmer l’importance de la mise en conformité RGPD, que ce soit au sein de petites, moyennes ou grandes structures publiques ou privées.
[1] Arrêt de la Cour du 15 juin 2021, Facebook Ireland Ltd e.a. c/ Gegevensbeschermingsautoriteit (C-645/19).
Alain GROSJEAN, Partner agrosjean@bonnschmitt.net
Gabriel BLESER, Partner gbleser@bonnschmitt.net
Simon MALTERRE, Senior Associate smalterre@bonnschmitt.net
Elena ARNÒ, Senior Associate earno@bonnschmitt.net
Clémence PATTE, Associate cpatte@bonnschmitt.net
Cette publication n'a qu'une valeur indicative et ne constitue pas un avis juridique définitif.