Les députés ont adopté un amendement au projet de loi numérique qui donne à la CNIL le pouvoir d'infliger des sanctions beaucoup plus lourdes lorsque des entreprises violent la loi sur la protection des données personnelles.

Lors des débats en commission, le gouvernement avait jugé urgent de ne rien faire, renvoyant la question au projet de règlement européen sur les données personnelles, qui doit harmoniser les règles pour toute l’Europe. Mais face à l’insistance des députés, la secrétaire d’État Axelle Lemaire a finalement accepté, jeudi soir, de muscler enfin les pouvoirs de la CNIL lorsqu’une entreprise viole la loi sur la protection des données.

Les députés ont ainsi adopté un amendement du gouvernement qui prévoit que les entreprises pourront se voir infliger une amende équivalente à 4 % de leur chiffre d’affaires annuel mondial, ou 2 % dans le cas de certaines infractions jugées moins graves, et néanmoins plus courantes (infractions aux formalités déclaratives d’un fichier de données et à la sécurisation des données notamment).

Une amende « proportionnée »

La disposition doit ainsi faire oublier le caractère ridicule des sanctions de la CNIL, qui était limitée à 150 000 euros d’amende. C’est ainsi qu’elle avait condamné Google à payer l’équivalent de 2 minutes de chiffre d’affaires en 2014 pour ses différentes violations de la loi, alors que le même Google pourrait payer désormais près de 3 milliards d’euros. Une sanction beaucoup plus dissuasive.

Le bras armé de la CNIL devra néanmoins toujours agir avec réserve, puisque la loi qui anticipe le règlement européen précise que la sanction devra être « proportionné(e) à la gravité du manquement commis et aux avantages tirés de ce manquement ».

La CNIL devra notamment prendre « en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la Commission afin de remédier au manquement et atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la Commission ».

Partager sur les réseaux sociaux

Articles liés