Par Frédéric PICARD et Bastien EYRAUD
Avec l’entrée en vigueur du Règlement européen sur la protection des données (ci-après intitulé RGPD), les sanctions financières susceptibles d’être prononcées contre les entreprises sont démultipliées : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.
Ces montants sont sans doute à l’origine du véritable phénomène médiatique dont a fait l’objet ce Règlement. En effet, lors de son entrée en vigueur en mai 2018, le RGPD a fait couler trois fois plus d’encre que Mark Zuckerberg[1] et a devancé des superstars américaines telles que Beyonce ou Kim Kardashian en termes de requêtes sur le moteur de recherche Google [2].
Le montant des sanctions encourues a de quoi donner des sueurs froides aux entreprises traitant des données personnelles, et elles sont nombreuses. Rappelons que la définition de « donnée à caractère personnel » couvre toute donnée permettant d’identifier directement ou indirectement une personne. C’est par exemple le cas du nom, prénom, adresse mail, numéro de sécurité sociale d’une personne, mais également des données récoltées par les cookies présents sur la plupart des sites internet.
La CNIL (Commission Nationale de l’Informatique et des Libertés) estime même que les données relatives aux trajets en voiture, à l’état d’usage des pièces, aux dates des contrôles techniques, au nombre de kilomètres ou au style de conduite constituent également des données personnelles lorsqu’elles sont susceptibles d’être rattachées à une personne physique[3].
Les objectifs et enjeux du RGPD sont clairs : protéger et renforcer les droits des utilisateurs, assurer la confiance et responsabiliser les entreprises dans le traitement des données à caractère personnel.
Par anticipation de l’entrée en vigueur du RGPD, les sanctions prévues par la Loi informatique et libertés du 6 janvier 1978 avaient été peu à peu renforcées.
A l’origine, le montant des sanctions ne pouvait excéder 150.000 euros pour un premier manquement. En cas de récidive dans les cinq ans à compter de la date du prononcé de la sanction devenue définitive, le montant ne pouvait excéder 300.000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300.000 euros.
Puis la loi pour une République numérique du 7 octobre 2016 était venue renforcer le pouvoir de sanction de la CNIL, en hissant ce plafond de 150.000 euros à 3 millions d’euros.
Adopté le 27 avril 2016, le RGPD prévoit des sanctions beaucoup plus dissuasives :
Dans chacun des cas, le montant le plus élevé est celui pris en compte.
Si la plupart des communicants sur le sujet insistent plus particulièrement sur les sanctions administratives, les sanctions pénales ne sont pas en reste. En effet, l’article 84 1° du Règlement énonce que les Etats peuvent déterminer le régime des sanctions applicables en cas de violation des obligations prévues autres que les sanctions administratives.
Les sanctions pénales en cas de manquement aux règles en matière de protection des données sont déjà prévues en droit français et réprimées par les articles 226-16 à 226-24 du Code pénal. Elles peuvent être résumées dans le tableau suivant :
Infraction |
Textes |
Peines |
Non-respect des formalités préalables |
Articles 226-16 du Code pénal |
300.000 euros d’amende et 5 ans d’emprisonnement |
Non-respect de l’article 34 de la Loi Informatique et Libertés relatif à l’obligation de sécurité |
Articles 226-17 et 226-17-1 du Code pénal |
300.000 euros d’amende et 5 ans d’emprisonnement |
Détournement de la finalité du traitement de données personnelles |
Article 226-21 du Code pénal |
300.000 euros d’amende et 5 ans d’emprisonnement |
Procéder à un transfert de données transfrontier contrevenant aux mesures prises par la Commission des Communautés européennes ou à l’article 70 de la Loi Informatique et Libertés |
Article 226-22-1 du Code pénal |
300.000 euros d’amende et 5 ans d’emprisonnement |
Absence d’information des personnes concernées |
Article R. 625-10 du Code pénal |
1.500 euros d’amende par infraction constatée |
Non-respect des droits des personnes |
Article R. 625-11 du Code pénal |
1.500 euros d’amende par infraction constatée |
Autant de nouvelles mesures qui exigent que les entreprises se plient au jeu de la mise en conformité, si elles ne veulent pas se voir infliger l’une et/ou l’autre de ces sanctions.
La CNIL peut désormais ordonner aux entreprises sanctionnées d’informer les personnes dont les données ont fait l’objet du manquement à leurs obligations, et ceci aux frais de l’entreprise. De plus, dans le cadre des procédures de sanction, la CNIL peut diffuser un communiqué officiel détaillant le manquement aussitôt relayé par la presse à l’ensemble de la population.
L’image de l’entreprise, en terme de sécurité et de confiance notamment en souffre énormément : c’est ainsi que 86% des français considèrent que les entreprises exploitent les données personnelles de leurs clients sans leur consentement[4].
En outre, l’obligation de conformité au RGPD ne s’adresse pas qu’aux grandes entreprises. 3 start-ups françaises sur 4 ne seraient pas encore en conformité avec la réglementation[5].
Depuis près de vingt ans aux côtés des acteurs du digital et de l’innovation, le Cabinet HAAS Avocats, labélisé CNIL, se tient à votre disposition pour vous assister dans la mise en conformité au RGPD de vos traitements de données. Pour plus d’informations, cliquez ici.
[1] https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf
[2] https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf
[3] https://www.cnil.fr/fr/vehicules-connectes-un-pack-de-conformite-pour-une-utilisation-responsable-des-donnees
[4] https://www.misakey.com/docs/SyntheseEtude.pdf
[5] https://globaldatareview.com/article/1189298/bisnode-receives-first-polish-gdpr-fining-decision-over-scraped-data