A travers la délibération du 15 septembre 2021, la formation restreinte – organe de la CNIL chargé des sanctions- a prononcé, pour la première fois, une amende de 3 000 euros à l’encontre d’une microentreprise uniquement constituée de son Président. C’est la Société nouvelle de l’annuaire français (SNAF) qui a été sanctionnée car elle n’aurait pas respecté les droits de rectification et d’effacement des données des personnes concernées mais aussi sur deux autres fondements : la singularité de cette délibération repose avant tout sur les deux autres motifs retenus : le manquement à l’obligation de coopérer avec la CNIL et le fait que la société litigieuse n’ait pas mis en œuvre un registre de traitement de données.
Non-conformité d'une TPE avec le RGPD : une première mise en demeure de la SNAF
En l’espèce, après avoir reçu 16 plaintes entre 2018 et 2019 contre la SNAF pour, notamment, des difficultés rencontrées lors de demandes d’effacement et de rectification de données personnelles, représentant un manquement aux droits des personnes concernées, la présidente de la CNIL a mis en demeure cette dernière de se mettre en conformité avec le RGPD dans un délai de deux mois, par une décision du 21 juillet 2020. Dans cette mise en demeure, elle demande à la société de : « – procéder à l’information des personnes concernées, conformément aux dispositions des articles 12, 13 et 14 du règlement, quant aux traitements de données à caractère personnel mis en place, et en particulier délivrer une information complète aux personnes, et ce, dans un document ou support distinct des conditions générales d’utilisation du site afin d’en assurer le caractère aisément accessible en prévoyant également une information spécifique aux entrepreneurs dont les données ont été collectées à partir des bases de l’INSEE ;
> Procéder à la rectification des données du plaignant concerné et mettre en place une procédure permettant de prendre en compte de manière effective toute demande d’exercice du droit de rectification et de mise à jour formulée par des personnes dont les données personnelles figurent dans la base de données de la société ;
> Procéder à la suppression des données des plaignants concernés ([…]) et mettre en place une procédure permettant de prendre en compte de manière effective toute demande d’exercice du droit d’effacement des personnes dont les données personnelles figurent dans la base de données de la société ;
> Mettre en œuvre un registre des activités de traitement ;
> Transmettre les éléments demandés à l’issue du procès-verbal n° 2019-133/2 non encore communiqués ;
> Justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.
Les manquements au RGPD finalement sanctionnés
Cependant, la mise en demeure étant restée sans réponse, un délai de 15 jours supplémentaires a été accordé à la société qui a finalement établi une liste des dossiers correspondants aux différentes saisines reçues par la CNIL et où elle indiquait le traitement accordé à chacune d’entre elles ainsi que leur statut actuel, mais sans fournir aucun justificatif et sans remplir toutes les demandes de la mise en demeure.
Dès lors, la formation restreinte de la CNIL s’est réunie le 15 septembre 2021 pour statuer et sanctionner la Société aux motifs de plusieurs manquements au RGPD (Règlement Général sur la Protection des données). Dans un premier temps, elle a jugé que, puisque la société n’a pas donné pleinement suite à la demande de rectification qu’elle a reçue et dans le délai imparti, la SNAF a manqué à son obligation imposée par l’article 16 du RGPD. Elle rappelle par ce biais l’importance pour les entreprises rappelées à l’ordre de répondre à la CNIL et, comme l’impose l’article 31 du RGPD, de coopérer avec cette dernière, motif très rarement retenu en général. La décision de la CNIL rappelle aussi la durée de la procédure et la volonté d’accompagnement de ces services face à un comportement peu enclin à se mettre en conformité[1].
La formation restreinte a également estimé que la société n’avait pas procédé à l’effacement des données de tous les plaignants qui l’ont sollicitée, ce qui est contraire à l’article 17 du RGPD permettant de rappeler aux autres entreprises l’importance que la CNIL donne au respect du droit des personnes en rendant publique cette décision.
Une sanction symbolique
Cette délibération a été également l’occasion pour la CNIL de sanctionner de façon inédite le manquement à l’obligation de constituer un registre des activités de traitement, imposé par l’article 30 du RGPD : « si la société compte un unique salarié en la personne de son président […], le traitement mis en œuvre par la société [ et objet du contrôle] n’est toutefois pas occasionnel puisqu’il constitue le cœur de son activité. La société aurait dès lors dû mettre en œuvre un registre de ses activités de traitement. »
La CNIL a enfin opportunément rappelé la qualification de données personnelles même aux données professionnelles (comme le nom, prénom, le statut d’auto-entrepreneur..).[2]
C’est donc par ces motifs que la formation restreinte a décidé de sanctionner la SNAF d’une amende administrative de 3 000 euros, prenant en compte la taille de la société et sa situation financière, et de rendre publique cette délibération, durant un délai de 2 ans, dans une volonté de rappeler aux autres sociétés l’importance de traiter les demandes de rectification et d’effacement ainsi que de coopérer avec la CNIL.
RGPD et risques de sanction : quels enseignements tirer pour les TPE ?
Si la CNIL a sanctionné récemment de grands acteurs, elle souhaite rappeler que toutes les entités, quelle que soit leur taille, doivent respecter le RGPD et mettre en œuvre les obligations qui en découlent.
Les dirigeants de TPE doivent dès lors s’assurer de déployer les mesures de la conformité adaptées à leur activité autour d’un plan d’action qui pourrait s’articuler comme la CNIL l’avait décrit avant même l’entrée en vigueur du RGPD :
> Quelles données sont traitées ? Y a-t-il des données dites sensibles ?
> Quel est le fondement juridique du traitement : exécution du contrat, envoi de newsletters fondé sur le consentement… ?
> Les mentions d’informations sur les supports de collecte (site internet, bon de commande) sont-elles conformes ?
> Les contrats avec les partenaires et fournisseurs contiennent-ils une clause de données personnelles conforme au RGPD ?
> Comment bien répondre aux demandes d’exercice des droits ? Suis-je en mesure de respecter les délais (1 mois pour rappel) ?
> Quelles sont les mesures de sécurité déployées (physique de mes locaux / logiques sur mon ordinateur/ téléphone..) ?
Les TPE doivent prendre la mesure de cette décision symbolique : le montant de la sanction est certes peu élevé, mais l’impact sur la réputation de l’entreprise peut s’avérer particulièrement catastrophique, la décision nominative de sanction restant publique pendant 2 ans. Il est temps de se mettre enfin en conformité.
[1] « Malgré un accompagnement particulièrement long et minutieux par les services de la Commission, la société n’a pas pris les mesures de nature à lui permettre d’être en totale conformité avec les dispositions du RGPD. Surtout, la société n’a pas coopéré de manière satisfaisante avec les services de la Commission et ce comportement apparaît délibéré. »
[2] « les données contenues dans les fichiers et relatives aux entreprises référencées dans l’annuaire accessible à partir du site web de la société font figurer, notamment, les noms, prénoms et adresses des personnes physiques lorsque celles-ci ont le statut d’auto-entrepreneur ou lorsqu’elles exercent une profession libérale sans être membre d’une structure d’exercice. Dès lors, des données présentes sur les fiches se rapportent à une personne physique identifiée et ont ainsi le caractère de « données à caractère personnel » au sens du RGPD ».