L’action verticale de l’autorité administrative : le rôle de la CNIL (Commission Nationale Informatique et Libertés)
La règlementation « informatique et libertés » permet de sanctionner les responsables de traitement par des peines correctionnelles et des sanctions admnistratives en cas de traitement illicite de données personnelles.
L’autorité administrative dédiée (la CNIL pour ce qui concerne la France) pourra exercer des poursuites pour sanctionner et contraindre les responsables fautifs, avec des amendes souvent substantielles, qui viendront alimenter le trésor public.
L’action de la CNIL est plutôt « verticale » dans le sens ou cette autorité évalue davantage l’ensemble de l’activité du responsable du traitement, plutôt que tel ou tel comportement dans le cadre d’un litige concernant tel ou tel plaignant.
Par exemple, le 11 décembre 2023, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés Uber une amende de dix millions d’euros pour avoir maltraité les données de leurs chauffeurs européens : procédure dissuasive de demande d’accès aux données personnelles, insuffisances dans les informations transmises (fichiers illisibles et incomplets).
Les manquements au RGPD peuvent entraîner des amendes allant jusqu’à 4 % du chiffre d’affaires annuel mondial. L’amende de 10 millions d’euros prononcée à l’encontre des sociétés Uber se compare aux 32 milliards de dollars de chiffre d’affaires générés par ces sociétés pour la seule année 2022. (CNIL, Communiqué relatif à la décision rendue par l’autorité de régulation néerlandaise qui condamne la société Uber à 10 millions d’euros d’amende pour manquement à l’égard de ses chauffeurs)
A quelle indemnité peut prétendre la victime d’un mauvais traitement de ses données personnelles ?
Mais qu’en est-il de la victime du traitement illicite de ses données personnelles, à quelle indemnité peut-elle prétendre ? C’est dans le cadre d’une action judiciaire que la victime recherchera une indemnisation et des mesures qui sont spécifiques à son cas.
La jurisprudence actuelle précise que les dommages-intérêts doivent rester proportionnés au préjudice réellement subi par la personne, et qu’il ne s’agit pas de punir pour punir : les dommages-intérêts réparent un préjudice, ils ne sont pas « punitifs », c’est-à-dire qu’ils sont corrélés à un préjudice, et ne visent pas, en principe, à punir le manquement pour lui-même, en dehors de toute considération sur ses effets.
La Cour de Justice de l’Union européenne a confirmé qu’en cas de violation de données à caractère personnel, la personne concernée peut solliciter réparation de son préjudice dans les conditions du droit commun de la responsabilité. Un risque purement hypothétique d’usage abusif par un tiers non autorisé ne saurait donner lieu à réparation, en application de l’article 82 du RGPD.
Arrêt Österreichische Post [OP], 4 mai 2023, affaire C-300/21)
Arrêt du 14 décembre 2023, C 340/21, Natsionalna agentsia za prihodite
Arrêt du 25 janv. 2024, C-687/21, BL/MediaMarktSaturn Hagen-Iserlohn