Une décision de la CNIL riche en enseignements à moins d’un an avant l’application du RGDP le 25 mai 2018
En prononçant une sanction pécuniaire de 40 000 € à l’encontre de la société Hertz France, la CNIL fait application pour la première fois de la loi dite « Lemaire » pour une République Numérique entrée en vigueur en novembre 2016. Cette procédure a été enclenchée sur de faits révélés par une association dans le cadre du protocole d’alerte Zataz.
Une sanction sévère
Même si la CNIL a tenu compte des circonstances atténuantes comme : une coopération et une réactivité de la société Hertz France et de son sous-traitant et surtout qu’aucune atteintes aux données personnelles n’avaient été constatées, cette décision nous semble sévère.
L’enquête a constaté qu’il s’agissait d’un manquement de sécurité et non d’une atteinte aux données personnelles. Ce manquement avait un caractère non intentionnel voire accidentel. Il s’agissait d’une erreur de programmation lors d’une opération de maintenance : « suppression accidentelle d’une ligne de code lors d’un changement de serveur ».
Vers une application stricte du règlement européen RGDP à venir
La loi dite « Lemaire » avait renforcé le rôle de la CNIL en augmentant les plafonds des sanctions pécuniaires allant jusqu’à 3.000.000 € (article 45 I 2° de la loi du 6 janvier 1978). Elle précisait que les critères d’appréciation pouvant être pris en compte pour évaluer le montant de cette amende devaient être « proportionnés à la gravité du manquement commis et aux avantages tirés de ce manquement ».
Ce qui préfigure ce que pourra faire la CNIL avec les dispositions prévues dans le Règlement Européen qui dispose dans son article 83 les conditions générales pour imposer des amendes administratives afin qu’elles soient dans chaque cas, effectives, proportionnées et dissuasives. Les sanctions pourront aller jusqu’aux l’injonctions de notification et aux sanctions pécuniaires de 10.000.000 €, soit 2% du CA mondial de l’entreprise condamnée.
Sur l’assurabilité des sanctions pécuniaires de la CNIL
Si on se réfère à notre article paru dans la revue Expertises du juin 2017 (site Legaliste.net/ Legaltech 9 juin 2017 et site www.neotech-assurances), le caractère non intentionnel, accidentel du manquement fondement de la sanction pécuniaire et l’absence de poursuite pénale, plaide en faveur de notre position sur l’assurabilité des sanctions pécuniaires administratives.
Il est donc urgent de se mettre en conformité au RGDP et de s‘assurer !
Si vous souhaitez assurer vos cyber risques : contactez-nous
Sur l’analyse de la décision : lire l’article de Jean-Laurent Santoni (www.clevercourtage.com)
Lire la décision de la CNIL du 18 juillet 2017