Data: 500.000 euros d’amende pour violation du RGPD et absence de coopération avec la CNIL

Dans une délibération publiée le 26 novembre sur son site, la CNIL a condamné une PME spécialisée dans l’installation d’équipements d’isolation à une amende de 500.000 euros.

La CNIL avait reçu en février 2018 une plainte d’une personne physique indiquant que cette société ne cessait de la démarcher alors qu’elle avait notifié oralement puis par écrit son opposition. Après un contrôle sur place dans les locaux de la société, la CNIL lui a adressé plusieurs demandes de communication de documents, l’a mise en demeure de prendre des mesures correctives, puis lui a notifié un rapport de sanction détaillant les manquements au RGPD. A chacune de ces étapes, la société a sollicité des délais (qui lui ont été accordés) et a communiqué quelques informations seulement partielles et parfois non pertinentes. C’est seulement après la notification du rapport que la société s’est montrée coopérative avec la CNIL.

Néanmoins la CNIL a considéré que les manquements étaient avérés et a :

  • prononcé une injonction de mise en conformité portant notamment sur (i) la mise en place d’un système permettant d’empêcher l’enregistrement de commentaires excessifs par le service client à propos de clients ou prospects, (ii) l’information des personnes relative aux traitements de données et à leurs droits au moment de la collecte (et non pas par mail postérieur), (iii) la mise en œuvre de procédure permettant d’assurer l’effectivité des droits d’opposition (y compris en répercutant l’information à ses sous-traitants) et (iv) l’encadrement les relations entre la société et ses sous-traitants situés dans des pays hors UE et n’offrant pas un niveau de protection suffisant ;
  • condamné la société à une amende de 500.000 euros en prenant le soin d’insister sur l’absence de coopération : « loin de constituer un élément devant l’amener à minorer le montant de l’amende infligée, le comportement de la société jusqu’à la notification du rapport de sanction doit, au contraire, être pris en compte pour venir aggraver la sanction prononcée », dont le montant par ailleurs doit « présenter un caractère dissuasif ».

Si cette décision apporte quelques éclairages quant aux manquements relevés, elle permet surtout aux entreprises de réaliser qu’une seule plainte peut mener à un contrôle et que l’amende peut être majorée si la société ne coopère pas.

Emmanuelle Behr
Avocate Associée
Redlink