RGPD : focus sur les sanctions.

A moins d’un an de l’entrée en vigueur du Règlement général pour la protection des données (RGPD), force est de constater que peu d’entreprises se sont d’ores et déjà préparées aux importants bouleversements qu’aura ce texte sur leurs habitudes en matière de traitement des données personnelles.

Les objectifs et enjeux du RGPD sont néanmoins connus : protéger et renforcer les droits des utilisateurs, assurer la confiance et responsabiliser les entreprises dans le traitement de la donnée personnelle.

Anticiper dès aujourd’hui l’entrée en vigueur du RGPD représentera un avantage compétitif certain pour l’entreprise prévoyante, ayant pour corollaire un renforcement de la confiance de ses clients.

Le RGPD ayant prévu de supprimer les formalités préalables à déclarer auprès de la CNIL, les attributions et les ressources de cette dernière sont amenées à évoluer et à se concentrer sur la gestion, le contrôle et la sanction.

Le montant des sanctions accordé à la CNIL et prévu par la loi du 6 janvier 1978 dite « Informatique et libertés » ne pouvait excéder 150.000 euros pour un premier manquement. En cas de récidive dans les cinq ans à compter de la date du prononcé de la sanction devenue définitive, le montant ne pouvait excéder 300.000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300.000 euros.

La loi pour une République numérique du 7 octobre 2016 est venue renforcer le pouvoir de sanction de la CNIL en hissant ce plafond de 150.000 euros à 3 millions d’euros.

Le but était clair : anticiper, en douceur, la mise en place par le RGPD d’un plafond de sanctions bien supérieur, applicable dès le 25 mai 2018.

Autre ajout : la CNIL peut désormais ordonner aux organismes/entreprises sanctionnés d’informer de cette sanction les personnes dont les données ont fait l’objet du manquement, à leurs frais bien entendu. Elle peut en outre prononcer des sanctions financières sans mise en demeure préalable des organismes lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité.

Pour rappel, la CNIL a prononcé en 2016 quatre sanctions administratives et publiques dont, le 24 mars 2016, une sanction de 100.000 euros à l’encontre du géant Google qui n’avait pas déréférencé l’intégralité des extensions du nom de domaine de son moteur de recherche.
Ce nouveau plafond de sanctions mis en place par le législateur français est cependant insignifiant comparé à ceux prévus par le RGPD. Adopté le 27 avril 2016, le RGPD prévoit en effet des sanctions extrêmement dissuasives :
-  Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default, en matière de PIA, etc. ;
-  Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).

Dans chacun des cas, le montant le plus élevé est celui pris en compte.

Ainsi, en cas d’amende infligée, certaines entreprises pourraient se retrouver dans une situation délicate financièrement de nature à impacter leur activité : réduction d’effectifs, réorganisation voire arrêt total de l’activité pour les plus petites entreprises.

De plus, ne pas se mettre en conformité avec le RGPD pourrait se révéler désastreux en termes de réputation pour les entreprises qui subiraient une atteinte à leur image de marque et risqueraient de perdre la confiance de clients de plus en plus attachés à la protection de leurs données personnelles.

La CNIL a d’ailleurs fait savoir qu’elle n’hésiterait pas à appliquer ces sanctions administratives en cas de manquement dès l’entrée en vigueur du RGPD.

Si la plupart des communicants sur le sujet insistent plus particulièrement sur les sanctions administratives, les sanctions pénales ne sont pas en reste. En effet, l’article 84 1° du Règlement énonce que les Etats peuvent déterminer le régime des sanctions applicables en cas de violation des obligations prévues, autres que les sanctions administratives.

Les sanctions pénales en cas de manquement aux règles en matière de protection des données sont déjà prévues en droit français et réprimées par les articles 226-16 à 226-24 du Code pénal.

Elles peuvent être résumées :

  • Non-respect des formalités préalables Articles 226-16 et 226-16-A du Code pénal 300.000 euros d’amende et 5 ans d’emprisonnement
  • Non-respect de l’article 34 de la loi Informatique et Libertés relatif à l’obligation de sécurité Articles 226-17 et 226-17-1 du Code pénal 300.000 euros d’amende et 5 ans d’emprisonnement
  • Détournement de la finalité des données personnelles Article 226-21 du Code pénal 300.000 euros d’amende et 5 ans d’emprisonnement
  • Procéder à un transfert de données transfrontières contrevenant aux mesures prises par la Commission des Communautés européennes ou à l’article 70 de la loi Informatique et Libertés Article 226-22-1 du Code pénal 300.000 euros d’amende et 5 ans d’emprisonnement
  • Absence d’information des personnes concernées Article R. 625-10 du Code pénal 1.500 euros d’amende par infraction constatée
  • Non-respect des droits des personnes Article R. 625-11 du Code pénal 1.500 euros d’amende par infraction constatée

Autant de nouvelles mesures qui exigent que les entreprises se plient au jeu de la mise en conformité, si elles ne veulent pas se voir infliger l’une et/ou l’autre de ces sanctions.

En effet, il ne reste plus que quelques mois pour justifier de la conformité de ses traitements, de la mise en place d’un registre, de la désignation d’un DPO, de la mise en place d’outils efficaces permettant aux personnes d’exercer leurs droits, ou encore de la mise en place des mesures organisationnelles et techniques nécessaires à la sécurisation des fichiers.

Ce texte étant d’application directe, il entrera immédiatement en vigueur dans nos systèmes légaux dès le 25 mai 2018. Il est donc essentiel d’anticiper dès aujourd’hui cette entrée en vigueur afin que la mise en place des mesures préconisées par le RGPD soit opérationnelle avant la date fatidique.

Fort de près de vingt années d’expertise aux côtés des acteurs du digital et de l’innovation, le Cabinet HAAS Avocats, triplement labélisé CNIL, se tient à votre disposition pour vous assister dans la mise en conformité de vos traitements de données au RGPD.
Pour plus d’informations, cliquez ici.

Marie d’Auvergne et Frédéric Picard
Cabinet HAAS Avocats

HAAS AVOCATS défend et protège les clients nationaux et internationaux intervenant dans les secteurs de la propriété intellectuelle, du droit des nouvelles technologies, de l’information et de la communication, de la protection des données, de l’e-commerce, de l’e-marketing et du droit des affaires.
http://www.haas-avocats.com
http://www.haas-avocats.com/contact/


Commenter l'article