RGPD : augmentation des sanctions...

• Thiébaut Devergranne

A peine 10 jours après l’entrée en vigueur du RGPD et la CNIL rend la plus importante sanction jamais prononcée (250.000€). Et bis-repetita deux semaines après, ou elle prononce une nouvelle sanction, visant cette fois-ci une simple association qui échoppe elle 75.000€ d’amende, pour non respect des obligations de sécurité informatique.

J’ai commenté la première affaire dans cette vidéo, mais la tendance est désormais claire : on va vers une augmentation significative du niveau de sanctions.


En fait rien de vraiment nouveau :

Donc d’un point de vue juridique autant que matériel on savait que les sanctions allaient augmenter et il n’y avait aucune discussion sur ces points. Ce qui est intéressant dans cette affaire c’est le contexte dans lequel ces premières affaires ont lieu autant que leurs causes : l’absence de sécurité informatique.

L’affaire en cause (75.000€ d’amende)

Si on synthétise les choses, la CNIL a été informée du fait qu’il était possible d’accéder librement aux données personnelles des membres de l’association.

Un contrôle en ligne a été réalisé en juin 2017, qui a permis à la CNIL de constater qu’une modification de l’URL affichée dans le navigateur permettait d’accéder à des documents des membres avec des données telles que des avis d’imposition, leurs passeports, des titres de séjour, des bulletins de salaires, des attestations de paiement de la CAF.

Ces manquements sont malheureusement assez classiques, la CNIL en parle régulièrement, et étaient quasiment identiques dans les deux affaires précitées.

La CNIL alerte donc l’associate de la violation et lui demande d’y remédier. Comme à son habitude, quelques jours plus tard, elle mène un contrôle sur place dans les locaux de l’association dans lequel il est constaté que les données sont toujours accessibles.

La formation restreinte de la CNIL prononcé ici une sanctionde 75 000 euros, estimant que l’association a substantiellement manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés.

La formation restreinte a tenu compte de la bonne coopération de l’association avec les services de la CNIL. Elle a néanmoins considéré que la gravité de la violation était constituée en raison de la nature des données rendues librement accessibles et du nombre de documents concernés par la violation.


Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)