Les géants du Net peuvent souffler. Ils n’auront pas à craindre d’amendes dépassant le milliard d’euros de la part de la CNIL, comme cela avait été envisagé par les députés. En sortie de « CMP », le projet de loi Numérique fixe désormais ce plafond théorique à 3 millions d’euros. Tout du moins jusqu'à l'entrée en vigueur du règlement européen sur les données personnelles, en mai 2018.
Au regard des 150 000 euros qu’encourent aujourd’hui les acteurs faisant l’objet d’une procédure de sanction engagée par la Commission nationale de l’informatique et des libertés, cette réforme peut sembler plus que satisfaisante. Lorsque le compromis trouvé mercredi soir par les parlementaires sur le projet de loi Lemaire aura été définitivement entériné, la gardienne des données personnelles pourra infliger des amendes de trois millions d’euros – soit vingt fois plus qu’aujourd’hui !
Dans le prolongement du système actuel, l’autorité administrative indépendante devra prononcer des sanctions dont le montant sera « proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement ». Avant d’atteindre ce plafond de trois millions d’euros, le législateur souhaite ainsi que la CNIL prenne « notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d'atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission ».
Autre nouveauté : la CNIL pourra ordonner aux contrevenants d’informer individuellement (et à leurs frais) chacune des personnes concernées par le ou les manquements constatés. Des dispositions qui deraient s’avérer particulièrement utiles lors de fuites de données personnelles – consécutives à des failles de sécurité par exemple.
Un compromis au rabais par rapport à la version de l’Assemblée nationale
L’accord trouvé en commission mixte paritaire ressemble toutefois à un véritable compromis au rabais par rapport à ce qu’ont voté les députés fin janvier. L’Assemblée nationale, après avoir hésité, s’est en effet prononcée en faveur d’un plafond de 20 millions d’euros, étendu, pour les entreprises, à 4 % de leur chiffre d’affaires annuel mondial. Google, qui a réalisé plus de 60 milliards de dollars de chiffre d’affaires en 2014, aurait sur cette base pu s’exposer à une amende de plus de 2 milliards d’euros !
Le Sénat n’a toutefois pas voulu entendre parler de ces dispositions... Son rapporteur, l’élu Les Républicains Christophe-André Frassa, estimait qu’il était plus raisonnable « de ne pas transposer prématurément le règlement européen » sur les données personnelles (adopté quelques semaines auparavant). La Haute assemblée a finalement opté pour un rehaussage plus « léger » : 1,5 million d’euros maximum, sans pourcentage du chiffre d’affaires pour les entreprises.
Des mesures qui restent transitoires, en attendant mai 2018
À compter du 25 mai 2018, c’est-à-dire au moment de l’entrée en vigueur du règlement européen sur les données personnelles (d’application directe), des sanctions plus importantes pourront malgré tout être prononcées par la Commission. Son article 83 s’appliquera pleinement en France, avec à la clé des amendes pouvant cette fois atteindre les 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial d’une entreprise, selon les types de manquements – notamment atteintes aux droits à l’effacement, à la rectification, à la portabilité, etc. Pour tout ce qui ne relèvera pas du règlement, le plafond franco-français de 3 millions d’euros continuera de s’appliquer.
Les parlementaires ont enfin ordonné au gouvernement de leur présenter avant le 30 juin 2017 un rapport sur les modifications à la loi Informatique et Libertés « rendues nécessaires » par l'entrée en vigueur du règlement européen.
