En décembre 2020, la formation restreinte de la Cnil condamnait deux géants du numérique à une amende spectaculaire d’un montant total de 135 millions d’euros pour non-respect de la réglementation Informatique et libertés.
Dès janvier 2019, quelques mois à peine après l’entrée en application du Règlement général sur la protection des données (RGPD), la Cnil avait déjà prononcé la sanction la plus importante – 50 millions d’euros – jamais décidée en Europe par une autorité de protection des données Confirmée quelques mois plus tard par le Conseil d’État, cette dernière décision marquait alors la première traduction concrète de la plus grande sévérité souhaitée par le législateur européen en matière de sanctions pour manquement par les responsables de traitement au respect de leurs obligations découlant du RGPD.
En effet, aux amendes longtemps peu dissuasives qui pouvaient être prononcées, le RGPD a substitué des sanctions financières beaucoup plus lourdes, pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Depuis la mise en place du nouveau cadre juridique national relatif à la protection des données, les décisions de la formation restreinte de la Cnil se sont multipliées, dessinant peu à peu les contours du nouveau barème répressif de la protection des données.
C’est cette nouvelle jurisprudence Informatique et libertés – complétées par les arrêts rendus par le Conseil d’État et la Cour de cassation au cours de la même période – que recense l’ouvrage, à jour des dernières décisions rendues en décembre 2020.