Conformément à ce que souhaitait l’institution, les députés ont augmenté de manière considérable le montant maximum des amendes pouvant être prononcées par la Commission nationale de l’informatique et des libertés (CNIL) : jusqu’à 20 millions d’euros ou, pour les entreprises, 4 % de leur chiffre d’affaires annuel mondial.
« Dans la situation actuelle, les sanctions que peut infliger la CNIL sont très faibles au regard des moyens dont disposent les acteurs qui lui font face » a rappelé la députée Karine Berger (PS) dans l’hémicycle. Pour un premier manquement à la loi « Informatique et Libertés » de 1978, le contrevenant risque en effet une amende de 150 000 euros. Les récidivistes s’exposent quant à eux à une peine maximale de 300 000 euros. C’est « cacahuète », avait d’ailleurs déclaré la secrétaire d’État au Numérique, Axelle Lemaire, l’été dernier – en référence aux fonds dont disposent des géants tels que Google ou Facebook.
Problème : l’adoption imminente du règlement européen sur les données personnelles a conduit le gouvernement à s’opposer à toute revalorisation du pouvoir de sanction de la CNIL, notamment la semaine dernière en commission des lois (voir notre article).
Le gouvernement lâche du lest sous la pression des députés
Axelle Lemaire a cependant fini par mettre un peu d’eau dans son vin : « Sur le fond, le gouvernement est totalement d’accord avec vous. Oui, il faut que la CNIL, autorité de régulation, puisse vraiment sanctionner les violations de notre droit. La question qui se pose – à vous comme à nous – est de savoir s’il est opportun d’anticiper sur les dispositions du projet de règlement européen sur les données personnelles qui est en cours de discussion. »
Sous la pression des députés de tous bords, Bercy a finalement proposé un sous-amendement au texte défendu par les députés du groupe socialiste, afin de « coller exactement au règlement européen ». Celui-ci prévoit des sanctions pécuniaires :
- De 10 millions d’euros maximum ou, pour les entreprises, jusqu’à 2 % de leur chiffre d’affaires annuel mondial « réalisé lors de l’exercice précédant l’exercice au cours duquel le manquement a été commis » – pour tous les manquements au chapitre IV et aux articles 34 à 35 de la loi Informatique et Libertés (non respect des formalités préalables à la mise en œuvre des traitements, violation des obligations concernant la sécurité des données stockées par le responsable d’un traitement, etc.).
- De 20 millions d’euros maximum ou, pour les entreprises, jusqu’à 4 % de leur chiffre d’affaires annuel mondial – pour tous les autres manquements.
Autrement dit, les géants du Net s’exposeront à des sanctions bien supérieures à 20 millions d’euros si ces dispositions sont maintenues en l’état par le Sénat. Google, avec ses 66 milliards de dollars de chiffre d’affaires pour 2014, pourrait théoriquement se voir infliger une amende de plus de 2 milliards d’euros !
L’amendement adopté hier par l’Assemblée nationale précise au passage que la CNIL devra dorénavant prendre en compte « le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la Commission afin de remédier au manquement et atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la Commission ». Des dispositions qui pourraient être de nature à encourager les acteurs du numérique à se montrer plus coopératif avec la gardienne des données personnelles.
