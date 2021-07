TESTEZ GRATUITEMENT L'ABONNEMENT À L'USINE NOUVELLE 15 jours gratuits et sans engagement J'en profite © Dentons Christophe Fichet et Maxime d'Angelo Petrucci, associés du cabinet d'avocats Dentons, décryptent la décision de la Cnil dans l'affaire Brico Privé.

Tout allait bien pour Brico Privé, entreprise de vente en ligne d’articles de bricolage, de jardinage et d’aménagement de la maison. Hélas, en juin, la Cnil a brandi le carton rouge, sous la forme d’une amende de 500 000 euros assortie d’injonctions et de la publication de la décision.

De prime abord, on pourrait s’imaginer que Brico Privé a gravement attenté au droit à la vie privée numérique. Était-ce de l’espionnage de salariés, du profilage intrusif d’internautes, des traitements illicites de données sensibles, ou encore une fuite massive de données vers le dark web ? Rien de tout cela.

Brico Privé n’a « tout simplement » pas déployé les procédures et documents requis pour se conformer aux principes essentiels de la législation sur les données personnelles : absence de limitation des durées de conservation des données, informations incomplètes des clients et prospects sur l’utilisation de leurs données, gestion défectueuse de demandes d’effacement de données, mesures de sécurité insuffisantes, méconnaissance des règles sur les cookies.

L’ignorance des principes fondamentaux, à laquelle s’ajoute le nombre élevé de clients et prospects concernés par les manquements, ont justifié le montant de l’amende, qui, comme l’a rappelé la rapporteure de la Cnil, est pourtant « loin d’atteindre le montant maximal de la sanction pécuniaire prévu par le RGPD » (4% du chiffre d’affaires mondial).

Que nous enseigne la décision Brico Privé de la Cnil ?

Toutes les entreprises, quelle que soit leur taille, qui collectent les données – ne serait-ce que pour conduire normalement leur activité économique – ou qui réalisent des traitements intrusifs sont concernées.

La décision de la Cnil apporte trois enseignements. D’abord, que les GAFAMN, banques, assurances, laboratoires pharmaceutiques et autres grands groupes ne sont pas les seuls exposés aux fortes amendes de la Cnil. Toutes les entreprises, quelle que soit leur taille, qui collectent les données – ne serait-ce que pour conduire normalement leur activité économique – ou qui réalisent des traitements intrusifs sont concernées. Certes, ce n’est pas la première fois que la Cnil inflige une amende de plus de 100 000 euros à une entreprise française de taille intermédiaire. Il n’en reste pas moins qu’avec la décision Brico Privé, elle semble vouloir adresser un message clair à toutes les entreprises.

Ensuite, que la coopération des autorités dans le cadre d’un dossier transfrontalier tel que celui de Brico Privé peut conduire la Cnil à prononcer une sanction plus sévère que celle envisagée initialement. Lorsqu’une enquête de la Cnil concerne des traitements de données dits « transfrontaliers » – par exemple, des traitements de données d’individus situés dans plusieurs pays européens –, elle est tenue d’en informer les autres autorités de protection des données concernées, qui peuvent produire des observations dont elle doit tenir compte.

Dans l’affaire Brico Privé, alors qu'elle envisageait seulement de prononcer une mise en demeure, ce sont les autorités d’Italie, d’Espagne et du Portugal – pays dans lesquels bricoprive.com est accessible – qui ont milité pour une sanction plus sévère. À cet égard malheureusement, l’unité et la cohérence entre les homologues européens de la Cnil ne sont pas encore de mise. À l’exemple de l’autorité irlandaise, qui, du reste, fait l’objet d’une résolution du Parlement européen demandant à la Commission d’initier une procédure de sanction contre elle pour « absence de contrôle satisfaisant de l’application du RGPD » envers certains acteurs qui ont établi leur siège européen sur son territoire.

Interprétations diverses du RGPD selon les pays

Bon nombre d’entreprises, à l’instar de Brico Privé, ne peuvent se targuer de respecter pleinement les principes essentiels du RGPD.

Enfin, que bon nombre d’entreprises, à l’instar de Brico Privé, ne peuvent se targuer de respecter pleinement les principes essentiels du RGPD. Celui-ci est devenu très compliqué à comprendre et à mettre en œuvre en raison de multiples facteurs. Au premier rang desquels les divergences d’interprétation des autorités d’un État à l’autre, la production effrénée de « droit souple » par ces mêmes autorités au travers de recommandations, de lignes directrices, ou encore de Q&A (ais également d’interprétations parfois contra legem avant le contrôle de légalité du juge (en France, le Conseil d’État). Il en va de même avec la décision Schrems II de la Cour de justice de l’Union européenne, qui complique passablement les transferts internationaux de données et crée une situation d’insécurité juridique.

Un « choc de simplification » du RGPD qui gommerait les aspects les plus bureaucratiques du texte, ou au moins une harmonisation de ses interprétations, sans jamais réduire le niveau de protection des personnes, apparaît nécessaire. À cet égard, le Royaume Uni semble déjà vouloir prendre opportunément ses distances avec les standards continentaux (bien que contraint par la décision d’adéquation avec le RGPD adoptée par la Commission il y a quelques jours), profitant de l’exaspération de certains acteurs pour les attirer sur son territoire. Se rêverait-il déjà en plate-forme pour les transferts de données de et vers les États-Unis, le Commonwealth et l’Asie ?

par Christophe Fichet et Maxime d'Angelo Petrucci, associés du cabinet d'avocats Dentons

