Données personnelles : quelles sanctions pour les entités publiques ?
30 novembre 2021
Le 4 novembre 2021, la CNIL sanctionnait la RATP, établissement public de l’État, à hauteur de 400 000 euros. En France, les amendes infligées par la CNIL à des entités publiques pour des infractions à la loi Informatique et Libertés (LIL) sont assez rares pour être soulignées.
Les textes applicables :
- RGPD : l’article 83 du règlement (UE) 2016/679 autorise les Etats membres à déterminer si et dans quelle mesure des amendes administratives peuvent être imposées aux autorités publiques et organismes publics sur leur territoire ;
- LIL : l’article 20 de la loi n° 78-17 prévoit que les amendes administratives ne peuvent pas être infligées par la CNIL à « l’Etat ». Toutefois le sens dans lequel doit s’entendre la notion d’« Etat » dans ce contexte n’y est pas définie.
En France, les administrations centrales de l’Etat échappent aux amendes administratives, mais pas les Etablissements publics :
- La CNIL avait rappelé, à l’occasion de sa décision relative à l’usage illicite de drones équipés de caméras pour contrôler le respect des mesures de confinement par le Ministère de l’Intérieur (Délibération SAN-2021-003 du 12 janvier 2021), qu’elle ne pouvait pas prononcer d’amendes à l’encontre de l’État ;
- La CNIL vient d’infliger une sévère amende de 400 000 euros à la RATP (Délibération SAN-2021-019 du 29 octobre 2021), après avoir constaté des manquements aux principes de minimisation dans la collecte des données et la limitation de leur durée de conservation, ainsi que des manquements relatifs à la sécurité des données. La possibilité pour la CNIL de prononcer des amendes administratives à l’encontre des établissements publics de l’État est donc confirmée.
D’autres pays européens ont choisi de laisser la possibilité à leur autorité de protection des données de sanctionner l’Etat, y compris ses administrations centrales. C’est par exemple le cas de l’Italie qui a infligé une amende de 75.000 euros au Ministère du développement économique pour manquement à l’obligation de nommer un délégué à la protection des données, et pour avoir publié les données personnelles plusieurs milliers de personnes sur son site internet (Ordonnance GPDP du 11 février 2021)