CNIL et respect du RGPD : mieux vaut coopérer

Conformément à ce qu’elle avait annoncé, au moment de l’entrée en vigueur du RGPD, mi-2018, la CNIL a peu à peu multiplié les sanctions à l’encontre d’entreprises et de professionnels indépendants, leur reprochant de ne pas respecter les dispositions prévues en matière de gestion des données personnelles de leurs clients et utilisateurs. La plus importante en date : celle de 20 millions d’euros infligée fin octobre à Clearview AI, assortie d’une injonction de cesser de collecter et d’utiliser les données de personnes vivant en France et de supprimer celles déjà accumulées.

Cette décision tient du cas d’école, tant elle est la conséquence de tout ce qu’il ne faut pas faire lorsque la CNIL mène une enquête. Non seulement, il convient de s’assurer d’être en conformité avec les textes en vigueur, ce qui est évidemment la base, mais il faut aussi savoir tirer parti du délai pendant lequel l’enquête est menée – de plusieurs mois à parfois près d’un an – pour nourrir le dialogue avec cette autorité et ainsi être en mesure de lui démontrer que des actions correctrices sont en cours d’implémentation ou, a minima, à l’étude pour une mise en place rapide.

Cela n’a manifestement pas été le cas de Clearview AI, la CNIL soulignant que sa mise en demeure est restée sans réponse. Une démarche proactive correctement menée permet généralement d’éviter toute sanction ou de les ramener à des montants bien plus modestes. Tel fut d’ailleurs le cas de Discord Inc : soulignant les efforts fournis tout au long de la procédure par ce fournisseur américain de service de voix sur IP, la CNIL a prononcé à son encontre une amende « limitée » à 800 000 euros, dans sa décision publiée le 17 novembre dernier.

Mais au-delà de l’ampleur des montants des amendes infligées, il est instructif de noter l’évolution des modalités des enquêtes menées. Ainsi, la sanction prononcée à l’égard de Clearview AI résulte d’une action menée de concert par la CNIL avec ses homologues européens. Envisagée par l’instance tricolore depuis fin 2019, ce type d’intervention coordonnée à l’international démontre que l’autorité entend toucher les entreprises dont le rayonnement ne se limite pas au territoire national.

Plus que jamais, il est donc indispensable de s’assurer régulièrement d’être en conformité avec les dispositions du RGPD. Si besoin était, la CNIL démontre au travers de ses décisions qu’elle multiplie les investigations, tel qu’elle l’avait annoncé, mais aussi qu’elle n’hésite pas à faire preuve de sévérité en cas d’infraction caractérisée.