Accueil Protection des données personnelles : gare aux sanctions !

Protection des données personnelles : gare aux sanctions !

avocats-mathias-garance

Garance Mathias,
Avocat à la Cour – www.avocats-mathias.com

 

 

Avec le nouveau règlement européen relatif à la protection des données à caractère personnel, le législateur européen a augmenté le montant des amendes administratives que pourront prononcer les autorités européennes de contrôle de protection des données personnelles à l’égard des responsables de traitements et des sous-traitants. Cette augmentation a alimenté beaucoup de conversations et ce n’est pas terminé.

Quels sont les changements
apportés par le Règlement européen ?

Selon la catégorie de la violation commise par un responsable de traitements ou un sous-traitant, l’amende administrative maximale encourue pourra s’élever soit à 10 000 000 euros, soit à 20 000 000 euros.

Dans le cas d’une entreprise et toujours selon la catégorie de la violation, ces amendes pourront aussi être calculées au regard du chiffre d’affaires réalisé dans la limite, soit de 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, soit de 4,% de ce même chiffre d’affaires (1). L’autorité de contrôle devra alors retenir le montant le plus élevé.

Une amende de 2 % du CA mondial…

Plus précisément, les violations des dispositions relatives notamment à la protection des données à caractère personnel dès la conception et par défaut ; à l’obligation d’assurer la sécurité des données ; à l’obligation de notifier les violations de données à l’autorité de contrôle, voire aux personnes concernées ; à l’obligation d’établir un registre des traitements et à la désignation d’un délégué à la protection des données à caractère personnel pourront être sanctionnées d’une amende administrative d’un montant maximal de 10 000 000 euros ou de 2 % du chiffre d’affaires annuel mondial total.

… ou de 4 %

En revanche, les violations des dispositions relatives notamment aux principes essentiels de la protection des données à caractère personnel ; au recueil du consentement préalable des personnes ; aux droits des personnes et aux transferts de données personnelles hors de l’Union européenne pourront être sanctionnées d’une amende administrative d’un montant maximal de 20 000 000 euros ou de 4 % du chiffre d’affaires annuel mondial total.

La prise en compte du chiffre d’affaires d’une entité n’est pas une nouveauté. En effet, la loi « Informatique et Libertés » prévoit déjà que, en cas de réitération d’un manquement dans un délai de cinq ans à compter de la date où la sanction pécuniaire prononcée est devenue définitive, la sanction puisse s’élever à 5 % du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300 000 euros (2).

L’une des évolutions significatives apportées par le règlement européen par rapport à l’actuelle législation française réside dans le fait que les sous-traitants de traitement de données à caractère personnel pourront faire l’objet de procédures de sanction. Cela s’explique par le fait que le règlement européen met directement à leur charge des obligations en matière de sécurité des données ainsi qu’en matière d’« accountability ». La responsabilité des sous-traitants ne sera donc plus exclusivement contractuelle.

En outre, peu importe la catégorie de violation en cause, les autorités de contrôle devront procéder à une analyse au cas par cas comme elles le font déjà aujourd’hui. Elles devront également prendre en compte un certain nombre d’éléments parmi lesquels figurent notamment la nature, la gravité et la durée de l’infraction, la commission délibérée ou par négligence de la violation, les mesures prises pour atténuer le dommage subi par les personnes concernées, l’existence de toute violation déjà constatée antérieurement ou encore le degré de coopération établi avec l’autorité de contrôle.

Que peut-on reprocher au législateur européen ?

L’analyse des termes retenus par les institutions européennes est intéressante.
Le texte consacré au montant des amendes fait référence à la notion d’« entreprise ». Celle-ci est définie par le règlement européen comme « une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique » (article 4, 18) du règlement 2016/679 du 27 avril 2016).

Ainsi, le chiffre d’affaires des entrepreneurs individuels et des sociétés pourrait être pris en compte à condition que celui-ci soit mondial. En effet, à la lecture du texte, il semble que les entreprises, telles que définies par le règlement européen, réalisant un chiffre d’affaires au niveau national ne seront pas susceptibles de voir prononcer une amende administrative calculée sur la base dudit chiffre d’affaires.

En outre, la notion de groupe ne semble pas être prise en compte pour le calcul des sanctions. Or, de tels groupes sont davantage susceptibles de réaliser un chiffre d’affaires mondial. Par ailleurs, qu’en sera-t-il des groupements d’intérêts économiques ou encore des franchisés par exemple ?

Il sera donc intéressant d’observer la réaction des autorités de contrôle dont la Commission Nationale de l’Informatique et des Libertés. On peut également se demander si elles n’auront pas tendance à s’appuyer sur le montant maximal de la sanction prévue en excluant tout calcul en pourcentage du chiffre d’affaires qui pourrait être l’objet de contestations, voire de contentieux.

La publicité éventuelle des sanctions

Notons également que la publicité éventuelle des sanctions prononcées n’est pas évoquée dans le règlement européen. Pour rappel, la Commission Nationale de l’Informatique et des Libertés dispose depuis 2011 de la possibilité de rendre publiques les sanctions et les mises en demeure qu’elle prononce (3). Cette publicité est bien souvent plus redoutée par les responsables de traitement que la sanction financière en tant que telle compte tenu du risque d’image qui y est attachée. Est-ce à dire que les sanctions et les mises en demeure de l’autorité de protection française pourraient ne plus être publiées ? Il semble que la réponse soit négative car le règlement européen réserve la possibilité aux Etats membres de prévoir d’autres sanctions en cas de violation.

Par ailleurs, l’application du règlement européen sera sans influence sur les sanctions pénales prévues aux articles 226-16 à 226-24 du Code pénal puisqu’il est prévu que les législations nationales puissent déterminer le régime des sanctions pénales susceptibles d’être prononcées en cas de violation.

 

L’application du règlement européen ne se fera donc pas sans soulever des questions. Certaines risquent de perdurer au-delà du 25 mai 2018.

1 > Article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

2 > Article 47 de la loi n°78-17 du 6 janvier 1978 modifiée

3 > Article 46 de la loi n°78-17 du 6 janvier 1978 modifiée. n

 


GDPR : le nouveau règlement européen sur la protection des données personnelles

GDPRQuatre années, c’est le temps qu’il aura fallu aux institutions européennes pour aboutir à l’adoption définitive du règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. L’Union européenne a donc pris un virage crucial pour la protection des données des citoyens européens. Le règlement, publié au Journal Officiel de l’Union européenne le 4 mai dernier, ne sera applicable qu’à partir du 25 mai 2018. A cette date, un cadre juridique unique relatif à la protection des données à caractère personnel sera applicable sur l’ensemble du territoire de l’Union permettant ainsi une protection uniforme des personnes physiques.