#RGPD : focus sur les sanctions

Par Marie d’AUVERGNE et Frédéric PICARD

Avec l’entrée en vigueur du Règlement européen sur la protection des données (ci-après intitulé RGPD), les sanctions financières susceptibles d’être prononcées contre les entreprises sont démultipliées. Jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.

Ces montants sont sans doute à l’origine du véritable phénomène médiatique dont a fait l’objet ce Règlement. En effet, lors de sa sortie en mai 2018, le RGPD a fait couler trois fois plus d’encre que Mark Zuckerberg[1] et a devancé des superstars américaines telles que Beyonce ou Kim Kardashian en termes de requêtes sur le moteur de recherche Google [2].

 

[dt_default_button link= »https://www.haas-avocats.com/nos-competences/avocat-rgpd-reglement-europeen-sur-la-protection-des-donnees-ce-qui-va-changer-pour-les-entreprises-publiques-et-privees/ » button_alignment= »default » animation= »fadeIn » size= »medium » default_btn_bg_color= » » bg_hover_color= » » text_color= » » text_hover_color= » » icon= »fa fa-chevron-circle-right » icon_align= »left »]En savoir plus sur le règlement général sur la protection des données[/dt_default_button]

 

La quasi-totalité des entreprises concernées

Le montant des sanctions encourues a de quoi donner des sueurs froides aux entreprises traitant des données personnelles, et elles sont nombreuses. Rappelons que la définition de « donnée à caractère personnel » couvre toutes données permettant d’identifier directement ou indirectement une personne. C’est par exemple le cas du nom, prénom, adresse mail, numéro de sécurité sociale d’une personne, mais également des données récoltées par les cookies présents sur la plupart des sites internet.

La CNIL (Commission Nationale de l’Informatique et des Libertés) estime même que les données relatives aux trajets en voiture, à l’état d’usage des pièces, aux dates des contrôles techniques, au nombre de kilomètres ou au style de conduite constituent également des données personnelles lorsqu’elles sont susceptibles d’être rattachées à une personne physique[3] .

Les objectifs et enjeux du RGPD sont clairs : protéger et renforcer les droits des utilisateurs, assurer la confiance et responsabiliser les entreprises dans le traitement des données à caractère personnel.

Une nouvelle gradation des sanctions

Par anticipation du Règlement européen pour la protection des données, les sanctions prévues par la loi informatique et libertés du 6 janvier 1978 avaient été peu à peu renforcées.

A l’origine, le montant des sanctions ne pouvait excéder 150.000 euros pour un premier manquement. En cas de récidive dans les cinq ans à compter de la date du prononcé de la sanction devenue définitive, le montant ne pouvait excéder 300.000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300.000 euros.

Puis la loi pour une République numérique du 7 octobre 2016 était venue renforcer le pouvoir de sanction de la CNIL en hissant ce plafond de 150.000 euros à 3 millions d’euros.

Adopté le 27 avril 2016, le RGPD prévoit des sanctions beaucoup plus dissuasives :

Dans chacun des cas, le montant le plus élevé est celui pris en compte.

 

Des sanctions administratives mais également pénales

Si la plupart des communicants sur le sujet insistent plus particulièrement sur les sanctions administratives, les sanctions pénales ne sont pas en reste. En effet, l’article 84 1° du Règlement énonce que les Etats peuvent déterminer le régime des sanctions applicables en cas de violation des obligations prévues, autres que les sanctions administratives.

Les sanctions pénales en cas de manquement aux règles en matière de protection des données sont déjà prévues en droit français et réprimées par les articles 226-16 à 226-24 du Code pénal. Elles peuvent être résumées dans le tableau suivant :

InfractionTextePeines
Non-respect des formalités préalablesArticles 226-16 du Code pénal300.000 euros d’amende et 5 ans d’emprisonnement
Non-respect de l’article 34 de la loi Informatique et Libertés relatif à l’obligation de sécuritéArticles 226-17 et 226-17-1 du Code pénal300.000 euros d’amende et 5 ans d’emprisonnement
Détournement de la finalité des données personnellesArticle 226-21 du Code pénal300.000 euros d’amende et 5 ans d’emprisonnement
Procéder à un transfert de données transfrontières contrevenant aux mesures prises par la Commission des Communautés européennes ou à l’article 70 de la loi Informatique et LibertésArticle 226-22-1 du Code pénal300.000 euros d’amende et 5 ans d’emprisonnement
Absence d’information des personnes concernéesArticle R. 625-10 du Code pénal1.500 euros d’amende par infraction constatée
Non-respect des droits des personnesArticle R. 625-11 du Code pénal1.500 euros d’amende par infraction constatée

Autant de nouvelles mesures qui exigent que les entreprises se plient au jeu de la mise en conformité, si elles ne veulent pas se voir infliger l’une et/ou l’autre de ces sanctions.

Des sanctions qui portent atteinte à la réputation des entreprises

La CNIL peut désormais ordonner aux entreprises sanctionnées d’en informer les personnes dont les données ont fait l’objet du manquement à ses obligations, à leurs frais bien entendu. De plus, dans le cadre des procédures de sanction, la CNIL diffuse un communiqué officiel détaillant le manquement aussitôt relayé par la presse à l’ensemble de la population.

L’image sur la sécurité et la confiance de l’entreprise en souffre énormément : c’est ainsi que 86% des français considèrent que les entreprises exploitent les données personnelles de leurs clients sans leur consentement[4].

Et l’obligation de conformité au RGPD ne s’adresse pas qu’aux grandes entreprises, 3 start-ups françaises sur 4 ne seraient pas encore en conformité avec la réglementation[5].

Les sanctions déjà prononcées en Europe

 

[dt_default_button link= »https://www.haas-avocats.com/livre-blanc-rgpd-et-entreprises-privees/ » button_alignment= »default » animation= »fadeIn » size= »medium » default_btn_bg_color= » » bg_hover_color= » » text_color= » » text_hover_color= » » icon= »fa fa-chevron-circle-right » icon_align= »left »]Téléchargez notre livre blanc RGPD et secteur privé[/dt_default_button]

 

Depuis près de vingt ans aux côtés des acteurs du digital et de l’innovation, le Cabinet HAAS Avocats, labélisé CNIL, se tient à votre disposition pour vous assister dans la mise en conformité au RGPD de vos traitements de données.

Pour plus d’informations, cliquez ici.

 

 

[1] https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf

[2] https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf

[3] https://www.cnil.fr/fr/vehicules-connectes-un-pack-de-conformite-pour-une-utilisation-responsable-des-donnees

[4] https://www.misakey.com/docs/SyntheseEtude.pdf

[5] https://globaldatareview.com/article/1189298/bisnode-receives-first-polish-gdpr-fining-decision-over-scraped-data

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com