En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site E-commerce - Tous CMS acceptés
    < 3 000 €
    > En savoir plus
  • Designer pour la réalisation d'éléments pour des poussettes
    A déterminer €
    > En savoir plus
  • Création d'un site vitrine développé sur mesure pour un courtier en travaux
    < 8 000 €
    > En savoir plus
banniere_FIC2018_leaderboard

Protection des données personnelles

elo_processus pointe_pave
avocats-mathias-garance

 

 

Garance Mathias,
Avocat à la Cour – www.avocats-mathias.com

 

 

Avec le nouveau règlement européen relatif à la protection des données à caractère personnel, le législateur européen a augmenté le montant des amendes administratives que pourront prononcer les autorités européennes de contrôle de protection des données personnelles à l’égard des responsables de traitements et des sous-traitants. Cette augmentation a alimenté beaucoup de conversations et ce n’est pas terminé.

 

Quels sont les changements apportés par le Règlement européen ?

Selon la catégorie de la violation commise par un responsable de traitements ou un sous-traitant, l’amende administrative maximale encourue pourra s’élever soit à 10 000 000 euros, soit à 20 000 000 euros.

Dans le cas d’une entreprise et toujours selon la catégorie de la violation, ces amendes pourront aussi être calculées au regard du chiffre d’affaires réalisé dans la limite, soit de 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, soit de 4,% de ce même chiffre d’affaires (1). L’autorité de contrôle devra alors retenir le montant le plus élevé.

Une amende de 2 % du CA mondial…

Plus précisément, les violations des dispositions relatives notamment à la protection des données à caractère personnel dès la conception et par défaut ; à l’obligation d’assurer la sécurité des données ; à l’obligation de notifier les violations de données à l’autorité de contrôle, voire aux personnes concernées ; à l’obligation d’établir un registre des traitements et à la désignation d’un délégué à la protection des données à caractère personnel pourront être sanctionnées d’une amende administrative d’un montant maximal de 10 000 000 euros ou de 2 % du chiffre d’affaires annuel mondial total.

… ou de 4 %

En revanche, les violations des dispositions relatives notamment aux principes essentiels de la protection des données à caractère personnel ; au recueil du consentement préalable des personnes ; aux droits des personnes et aux transferts de données personnelles hors de l’Union européenne pourront être sanctionnées d’une amende administrative d’un montant maximal de 20 000 000 euros ou de 4 % du chiffre d’affaires annuel mondial total.

La prise en compte du chiffre d’affaires d’une entité n’est pas une nouveauté. En effet, la loi « Informatique et Libertés » prévoit déjà que, en cas de réitération d’un manquement dans un délai de cinq ans à compter de la date où la sanction pécuniaire prononcée est devenue définitive, la sanction puisse s’élever à 5 % du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300 000 euros (2).

L’une des évolutions significatives apportées par le règlement européen par rapport à l’actuelle législation française réside dans le fait que les sous-traitants de traitement de données à caractère personnel pourront faire l’objet de procédures de sanction. Cela s’explique par le fait que le règlement européen met directement à leur charge des obligations en matière de sécurité des données ainsi qu’en matière d’« accountability ». La responsabilité des sous-traitants ne sera donc plus exclusivement contractuelle.

En outre, peu importe la catégorie de violation en cause, les autorités de contrôle devront procéder à une analyse au cas par cas comme elles le font déjà aujourd’hui. Elles devront

également prendre en compte un certain nombre d’éléments parmi lesquels figurent notamment la nature, la gravité et la durée de l’infraction, la commission délibérée ou par négligence de la violation, les mesures prises pour atténuer le dommage subi par les personnes concernées, l’existence de toute violation déjà constatée antérieurement ou encore le degré de coopération établi avec l’autorité de contrôle.

Que peut-on reprocher au législateur européen ?

L’analyse des termes retenus par les institutions européennes est intéressante.
Le texte consacré au montant des amendes fait référence à la notion d’« entreprise ». Celle-ci est définie par le règlement européen comme « une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique » (article 4, 18) du règlement 2016/679 du 27 avril 2016).

Ainsi, le chiffre d’affaires des entrepreneurs individuels et des sociétés pourrait être pris en compte à condition que celui-ci soit mondial. En effet, à la lecture du texte, il semble que les entreprises, telles que définies par le règlement européen, réalisant un chiffre d’affaires au niveau national ne seront pas susceptibles de voir prononcer une amende administrative calculée sur la base dudit chiffre d’affaires.

 

En outre, la notion de groupe ne semble pas être prise en compte pour le calcul des sanctions. Or, de tels groupes sont davantage susceptibles de réaliser un chiffre d’affaires mondial. Par ailleurs, qu’en sera-t-il des groupements d’intérêts économiques ou encore des franchisés par exemple ?

Il sera donc intéressant d’observer la réaction des autorités de contrôle dont la Commission Nationale de l’Informatique et des Libertés. On peut également se demander si elles n’auront pas tendance à s’appuyer sur le montant maximal de la sanction prévue en excluant tout calcul en pourcentage du chiffre d’affaires qui pourrait être l’objet de contestations, voire de contentieux.

La publicité éventuelle des sanctions

Notons également que la publicité éventuelle des sanctions prononcées n’est pas évoquée dans le règlement européen. Pour rappel, la Commission Nationale de l’Informatique et des Libertés dispose depuis 2011 de la possibilité de rendre publiques les sanctions et les mises en demeure qu’elle prononce (3). Cette publicité est bien souvent plus redoutée par les responsables de traitement que la sanction financière en tant que telle compte tenu du risque d’image qui y est attachée. Est-ce à dire que les sanctions et les mises en demeure de l’autorité de protection française pourraient ne plus être publiées ? Il semble que la réponse soit négative car le règlement européen réserve la possibilité aux Etats membres de prévoir d’autres sanctions en cas de violation.

Par ailleurs, l’application du règlement européen sera sans influence sur les sanctions pénales prévues aux articles 226-16 à 226-24 du Code pénal puisqu’il est prévu que les législations nationales puissent déterminer le régime des sanctions pénales susceptibles d’être prononcées en cas de violation.

 

L’application du règlement européen ne se fera donc pas sans soulever des questions. Certaines risquent de perdurer au-delà du 25 mai 2018.

1 > Article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

2 > Article 47 de la loi n°78-17 du 6 janvier 1978 modifiée

3 > Article 46 de la loi n°78-17 du 6 janvier 1978 modifiée. n

 


GDPR : le nouveau règlement européen
sur la protection des données personnelles

GDPRQuatre années, c’est le temps qu’il aura fallu aux institutions européennes pour aboutir à l’adoption définitive du règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. L’Union européenne a donc pris un virage crucial pour la protection des données des citoyens européens. Le règlement, publié au Journal Officiel de l’Union européenne le 4 mai dernier, ne sera applicable qu’à partir du 25 mai 2018. A cette date, un cadre juridique unique relatif à la protection des données à caractère personnel sera applicable sur l’ensemble du territoire de l’Union permettant ainsi une protection uniforme des personnes physiques.

Auteur : Garance Mathias, Avocat à la Cour - www.avocats-mathias.com

Dossier publié dans Solutions IT N°12

Protection des données personnelles
Notez cet article

Gestion des Identités et des Accès : conférence 7 décembre

Journée de conférence et d’échanges sur les nouvelles tendances IAM/IAG/DAG. Un florilège de sessions enrichissantes, animées par les plus grands experts Témoignage Client d’un très large déploiement IAM La Gestion des Identités et des Accès dans le Cloud etc - Hotel Peninsula, Paris.

Info et inscription

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Revers judiciaire pour Samsung dans sa bataille contre Apple

    La Cour suprême des Etats-Unis a refusé lundi 6 novembre de remettre le pied sur…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • RGPD : à huit mois de la date-butoir, tirez-vous le meilleur parti des atouts déjà en votre possession ?

    Alors que l’échéance de mai 2018 approche à grands pas pour leur mise en conformité avec…

    > En savoir plus...
Etudes/Enquêtes
  • L'emploi cadre porté par le dynamisme des entreprises pariant sur le digital

    Selon la 16e édition du Baromètre Européen de l’Emploi de Robert Walters, l’année 2017 est…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Usages et technologies : concrétisez la transformation digitale de votre métier

    > Voir le livre
  • Sauvegarde et Restauration Informatique pour les PME

    > Voir le livre
Universign_maitrisez risques signature elec_skycraper