Avant de sanctionner une entreprise pour des manquements à ses obligations en matière de respect de la vie privée et de protection des données personnelles, la Cnil peut prononcer une mise en demeure. L’entreprise visée bénéficie dès lors d’un délai pour se mettre en conformité.
Une mise en demeure ne présage normalement pas de sanctions. Ainsi, la Cnil a, au cours de l’année 2018, levé à plusieurs reprises les mises en demeure adressées à différentes sociétés après que celles-ci aient suivi ses recommandations.
En revanche, la visée pédagogique attachée au délai accordé pour se mettre en conformité n’exclut pas la possibilité d’une sanction dès lors que la mise en demeure n’est suivie d’aucun effet.
La Cnil a ainsi condamné à une amende de 20.000 euros une société de traduction située en région parisienne pour avoir placé et maintenu ses salariés sous vidéosurveillance permanente.
Suite à des plaintes de salariés reçues entre 2013 et 2017, la Cnil avait alerté la société des règles à respecter, l’invitant notamment à ne plus filmer ses salariés en continu à leur poste de travail et à les informer de cette surveillance.
En l’absence de réaction de la part de la société, la Cnil a mené des contrôles au sein des locaux. Ces contrôles ont permis de confirmer certaine des plaintes : la caméra présente dans le bureau filmait les six traducteurs à leur poste de travail sans interruption, aucune information suffisante relative à la vidéosurveillance n’avait été communiquée aux salariés et tous avaient accès à une messagerie professionnelle partagée à mot de passe unique.
Dès juillet 2018, la société a été mise en demeure de déplacer la caméra pour ne plus filmer les salariés de manière constante, d’informer les salariés de la présence des caméras et de mieux sécuriser l’accès à la messagerie professionnelle.
En octobre 2018, les agents de la Cnil ont réalisé un second contrôle au sein des locaux. Ce contrôle a permis de constater que la société, contrairement à ce qu’elle soutenait, n’avait pas répondu aux exigences de la Cnil. Dès lors, la procédure de sanction a été engagée et la formation restreinte de la Commission a prononcé une condamnation à une amende ainsi qu’une injonction de sécuriser l’accès à la messagerie professionnelle sous astreinte financière.
La formation restreinte indique avoir tenu compte pour le prononcé de la sanction de la taille de la société et de ses difficultés financières. L’amende pour une entreprise ou une association de plus grande taille aurait sans doute été bien plus importante.
Cette condamnation à une sanction monétaire peut surprendre, dès lors que la Cnil avait fait preuve d’une relative tolérance au cours de l’année 2018 pour permettre aux entreprises de se familiariser avec le RGPD.
Il semble que cette période soit finie.
Désormais, et quelle que soit la taille de l’entreprise, il faudra compter sur la possibilité d’une sanction pécuniaire en l’absence de mise en conformité.
Ainsi, et en cas de mise en demeure de la Cnil, il est recommandé de se rapprocher d’un conseil spécialisé afin de répondre rapidement aux demandes de la Commission. La Cnil a en effet indiqué sur son site Internet que : « C’est le refus affiché par la société de prendre les mesures pour se mettre en conformité et ce, malgré l’accompagnement de la CNIL, qui a, en l’espèce, justifié qu’une procédure de sanction soit engagée. »
Pour rappel, les thèmes d’intervention choisis par la Cnil pour l’année 2019 sont le respect des droits, le traitement des données des mineurs et la répartition des responsabilités entre responsable de traitements et sous-traitants. Les thèmes d’intervention représentent à l’ordinaire un quart des investigations menées par les services de la Cnil et il conviendra donc d’y être particulièrement vigilant.