Le « R » de RGPD pour règlement et amendes, si besoin !

Publié le 6 juillet 2021 ...

Pour certaines entreprises, y compris les GAFAM, le RGPD et sa volonté de nous permettre de maîtriser nos données personnelles relevaient du caprice. Les dernières amendes (Google et Amazon), comme leurs motivations sont l’occasion de quelques précisions pour nous, particuliers ou dirigeants.

« La CNIL sanctionne GOOGLE et AMAZON à hauteur de 100 millions d’euros, pour l’un, et 35 millions pour l’autre » ! En lisant ce message, on peut évidemment sourire : le Petit Poucet français qu’est la CNIL oserait s’attaquer aux grands loups que sont les GAFAM ?

On peut ensuite prendre un peu de recul et examiner ce qui leur est reproché. Cela ne peut qu’aider organisations et entreprises à vérifier — voire améliorer, qui sait ? — leur conformité à ce règlement. Enfin, côté ‘‘particuliers’’, cela ne peut que nous rassurer quant à nos droits. Nous, ‘‘petits choses’’, qui avons parfois l’impression d’être négligés quant à certaines de nos libertés. En effet, quoi de plus fondamental que de pouvoir empêcher une entreprise de revendre nos informations personnelles à une autre, ou de croiser sans limites dans le temps ces mêmes données, obtenues en nous plaçant sous une sorte de microscope scrutant en permanence l’ensemble de nos comportements.

Côté organisations

Les amendes infligées à Google et Amazon peuvent sembler importantes, mais il faut savoir que « le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial », le montant le plus élevé étant retenu.

L’article 83 de ce règlement européen pose comme principe que « les sanctions doivent être proportionnées et dissuasives ». De plus, le montant de l’amende tient compte d’un certain nombre d’éléments. Parmi eux, citons la nature, la gravité et la durée de ce que le RGPD qualifie de violation, le fait que cette violation a été commise délibérément ou par négligence, ou encore le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation.

Enfin, il est important de préciser qu’avec ces deux amendes, c’est le ‘‘système’’ des cookies qui est visé, et notamment le dépôt de cookies publicitaires sur des ordinateurs sans consentement ni information préalable des utilisateurs. Je vous donne le lien vers le court texte de la CNIL relatif au comportement sanctionné de Google (ici). Il est très clair et déborde de détails qui peuvent être utiles à bien des entreprises. À bon entendeur…

Côté utilisateurs

Il n’est pas nécessaire d’être juriste pour, à la lecture des grands principes du RGPD (ici), comprendre que ce règlement européen a pour objet de nous permettre de maîtriser nos données personnelles, ainsi que leur collecte. Reste que, ces grands principes en tête, nous avons souvent l’impression qu’il n’en est pas de même chez les concepteurs de sites internet. Dès lors, deux possibilités, soit ils agissent par méconnaissance, soit ils parient sur notre lassitude (voir mon précédent article) pour procéder à leur guise. Face à ces ‘‘inconnus numériques’’, nous pouvons nous sentir désarmés !

Là encore, le RGPD, via la CNIL, nous fournit tous les outils nécessaires pour réagir (ici). Mais osera-t-on s’engager sans soutien dans de telles actions ?

À celles et ceux qui hésitent, le RGPD permet de « mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué » pour les représenter et agir auprès de la CNIL.

D’autres règles sont à respecter, mais arrêtons là pour aujourd’hui…

Voir d'articles