Une sanction de la CNIL révisée à la hausse sur décision contraignante du CEPD
Délibération de la formation restreinte, 3 août 2022, SAN-2022-017
CEPD, 15 juin 2022, 01/2022
Dans sa délibération du 3 août 2022, la Formation Restreinte de la CNIL a prononcé une sanction de 600 000 euros à l’encontre d’une société d’hôtellerie notamment pour des manquements au respect des règles concernant le recueil du consentement en matière de prospection commerciale, au respect des droits des clients et prospects, ainsi qu’au respect du principe de sécurité des données.
L’intérêt de cette affaire réside surtout dans le fait que la sanction finale est le fruit d’une réévaluation à la hausse d’un premier projet de sanction. Cette réévaluation a été imposée à la CNIL par une décision du Comité européen de la protection des données (CEPD) rendue dans le cadre de la procédure de règlement des litiges entre autorités de protection, instaurée par le RGPD.
En effet par une décision du 15 juin 2022, le CEPD a prononcé une décision contraignante tranchant un différend entre la CNIL et l’autorité polonaise de protection des données au sujet du montant de l’amende proposée par la CNIL, en qualité d’autorité chef de file, à l’encontre de la société française.
Ce n’est que la troisième fois que le CEPD est intervenu pour résoudre un différend entre des autorités de protection des données. Cette décision est donc une bonne occasion de rappeler le rôle du Comité en tant qu’arbitre final dans le contexte du mécanisme de « guichet unique » du RGPD.
S’agissant des faits de l’affaire, plusieurs plaintes ont été déposées devant la CNIL ainsi que devant différentes autorités européennes de protection des données concernant des difficultés rencontrées par des clients pour exercer leurs droits d’accès et d’opposition auprès de la société visée par la procédure.
La société ayant une activité d’hôtellerie développée dans différents pays de l’Union européenne, le traitement de données qu’elle exerçait était un traitement transfrontalier au sens de l’article 4.23 du RGPD.
Dans la mesure où la société responsable de ce traitement transfrontalier disposait d’un établissement principal situé en France, la CNIL a été identifiée comme étant l’autorité chef de file au sens du RGPD pour conduire la procédure de sanction, dans le respect du mécanisme de coopération avec les autorités des autres états membres concernés.
Sur la saisine du CEPD concernant la sanction financière applicable
En vertu de l’article 60.3 du RGPD, lorsqu’une autorité chef de file émet un projet de décision concernant un responsable du traitement, celle-ci doit consulter toutes les autorités de contrôle concernées, qui peuvent exprimer leurs objections pertinentes et motivées au projet de décision dans un délai de quatre semaines, et renvoyer la balle dans le camp de l’autorité chef de file.
L’autorité chef de file peut alors déclarer qu’elle n’a pas l’intention de suivre les objections.
Dans ce cas, l’article 65 du RGPD instaure un système de règlement des litiges qui permet au CEPD de prendre une décision contraignantes tranchant le différend entre autorités.
Dans cette affaire, la Rapporteure de la CNIL avait initialement proposé à la Formation Restreinte d’infliger à la société une amende d’1 million d’euros. La Formation Restreinte n’a pas suivi cette proposition et a soumis un premier projet de décision aux autres autorités européennes, proposant une amende de 100 000 euros, se fondant sur la situation financière dégradée de la société en raison du contexte économique engendré par la crise sanitaire de la COVID-19 et les critères de l’article 83 du RGPD.
L’autorité polonaise ayant émis des objections « motivées et pertinentes » au sens du RGPD, essentiellement sur le montant de l’amende, la CNIL a dû saisir le CEPD conformément à l’article 65 du RGPD, pour se prononcer sur le différend.
L’autorité polonaise estimait en effet que le projet de décision n’indiquait pas le chiffre d’affaires de la société au cours de l’exercice précédant le projet de décision de la CNIL, et, qu’au vu des éléments fournis, une amende de 100.000 euros n’était pas suffisamment efficace et dissuasive compte tenu de la nature et de la gravité des manquements relevés au RGPD.
Après avoir examiné le litige, le CEPD a imposé à la CNIL une réévaluation à la hausse de l’amende pour les motifs suivants :
- Sur le chiffre d’affaires pertinent pour la fixation du montant de l’amende: l’EDPB rappelle que, lorsqu’elles évaluent le chiffre d’affaires annuel global d’un responsable de traitement pour calculer l’amende maximale possible en vertu de l’article 83 du RGPD, les autorités de contrôle doivent prendre en compte l’exercice financier précédant la décision finale anticipée (plutôt que le projet de décision). Dans le cas de la décision de la CNIL, il s’agissait de l’exercice 2021.
- Sur l’impact de la baisse du chiffre d’affaires subi par la société : selon le CEPD, dans la mesure où le chiffre d’affaires a été pris en considération dans le cadre de l’évaluation du montant de l’amende, une autorité de contrôle ne saurait également retenir la baisse de ce chiffre comme circonstance atténuante.
- Sur le caractère dissuasif de l’amende : le CEPD souligne que l’amende doit être fixée à un niveau qui ne soit pas « négligeable » au regard du chiffre d’affaires, ceci afin de dissuader non seulement le responsable de traitement mais aussi d’autres organisations de commettre des infractions similaires. Le CEPD a estimé que qu’une amende de 100 000 € apparaissait en l’espèce dérisoire au regard du chiffre d’affaires de la société et des violations substantielles des droits des personnes concernées identifiées.
C’est donc en exécution de la décision du CEPD que la formation restreinte de la CNIL a finalement prononcé une amende de 600 000 euros à l’encontre de la société, s’appliquant à hauteur de 500 000 euros pour les manquements au RGPD (seuls soumis à l’arbitrage du CEPD) et à hauteur de 100 000 euros pour le manquement aux dispositions de l’article L.34-5 CPCE (exclus de la compétence du CEPD).
Cette décision illustre la fonction régulatrice du CEPD pour trancher les différends entre les différentes autorités de contrôle au sein de l’Union européenne.
Emilie CUER