Je voulais confirmer un test que j’avais effectué en groupe restreint et dont les résultats m’avaient un peu surpris.
Voici le résultat du sondage :
L’expérimentation était de tenter de déterminer jusqu’où iront vraiment les montants des condamnations une fois le règlement en vigueur. Vous savez certainement que le texte impose des sanctions à hauteur de 4% du chiffre d’affaire du groupe. Pour une entité comme Google ou Microsoft, ces montants se situent aux alentours de 2 à 4 milliard d’euros, ce qui est… vertigineux.
La question était de savoir si des personnes, se plaçant en position d’autorité de contrôle (en France, la CNIL), iraient jusqu’à prononcer des montants vraiment importants. D’un point de vue juridique, le règlement impose une mécanique que l’autorité doit suivre et qui s’impose à elle. Elle ne peut pas simplement prononcer un montant minimum ou maximum, elle doit tenir compte de 11 critères juridiques, et doit au final imposer une amende qui est « effective, proportionnée et dissuasive ». Donc elle ne peut pas prononcer une sanction ni ridicule, ni extravagante, elle doit respecter ces conditions.
Cette mécanique m’a amené à déterminer le cadre du montant de l’infraction finale – estimée entre 46 millions d’euros et 469 millions d’euros. Partant de là, le test consistait à déterminer deux choses : d’abord, si la méthodologie que j’avais proposée pour définir le montant de l’infraction était adaptée, et ensuite si elle permettait de déterminer réellement le montant de l’infraction finale, ou à quel point elle permettait de s’en approcher (plus de détails sur cette méthodologie dans les articles à venir).
Pour être aussi réaliste que possible, nous avons utilisé comme base de travail une infraction réelle pour laquelle Google a été sanctionné par la CNIL (celle relative au refus de déréférencement). Et j’ai demandé aux participants de voter en direct au regard de ce que nous avons vu.
On peut noter que la majorité des participants avaient un minimum de background en matière de protection des données personnelles. Je pense que l’on était donc assez proche du même panel que l’on retrouve à la CNIL.
3 conclusions
Voici donc 3 conclusions que l’on peut tirer du sondage :
- Les montants réels d’infractions qui seront prononcés ne se situeront pas vers la fourchette basse. J’ai été très étonné de voir que 0% ont pensé que dans un pareil cas, Google mériterait une sanction inférieur à 46 millions d’euros. Ce qui est déjà énorme pour une infraction en matière de protection des données personnelles et qui est un changement massif par rapport à l’état actuel des choses.
- Quasiment 50% des votants se situent entre 200 millions d’euros et 469 millions d’euros de sanctions (d’où le titre de l’article qui est inexact (Google condamnation 375 millions d’euros), mais beaucoup sympa, convenons-en que… « Google condamné à – entre 200 et 300 millions d’euros par 28% – et entre 300m et 469m 20% ». Dès fois il faut faire simple.)
- 28% de votants qui passent la barre des 469 millions, et auraient sanctionné Google à plus. Je regrette ne pas avoir mis une case supérieur au milliard d’euros, car cela aurait été intéressant de connaître la limite haute.
A plus faible échelle, les résultats de ce test est conforme à ce que j’ai pu voir en comité restreint en formation avec des experts de haut niveau (CILs de grands groupes, etc). Pour un grand groupe et pour une infraction similaire à celle de Google, la fourchette de sanctions se situe entre 300 et 400 millions d’euros. 20% environ des participants tendraient à appliquer les montants maximum.
Personnellement, j’aurais sans doute eu la main plus légère, ma fourchette aurait été entre 80 M et 120 M d’euros pour un cas pareil. Donc intéressant de voir que de manière plus globale les sanctions sont plus importantes !
Dans tous les cas, voici un rappel brutal à la réalité, pour les quelques personnes qui n’ont pas totalement saisi la nécessité de procéder à un changement massif et immédiat de politique de gestion de risques dans ce domaine.
Laissez-moi un commentaire ci dessous en disant à combien vous auriez placé votre fourchette de sanctions !