En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 08/03/2017
    IT Partners 2017

    Les 8 et 9 mars 2017. Lancé en 2006, l’événement de la distribution professionnelle IT,…

    en détail En détail...
  • 06/03/2017
    Big Data 2017, les 6 et 7 mars 2017

    Le Big Data se place aujourd’hui au cœur du processus décisionnel. Combiné au Machine Learning…

    en détail En détail...
Appels d'offres en cours
  • Site E-commerce dans la vente de box dédiées à la santé
    < 3 000 €
    > En savoir plus
  • Site ecommerce pour une société de vente de jouets
    < 1 500 €
    > En savoir plus
  • Mise en place d'une plateforme de financement participatif
    < 5 000 €
    > En savoir plus
Schneider_BackUPSApc_leaderboard

Protection des données personnelles

Comexposium_roomn_pave
avocats-mathias-garance

 

 

Garance Mathias,
Avocat à la Cour – www.avocats-mathias.com

 

 

Avec le nouveau règlement européen relatif à la protection des données à caractère personnel, le législateur européen a augmenté le montant des amendes administratives que pourront prononcer les autorités européennes de contrôle de protection des données personnelles à l’égard des responsables de traitements et des sous-traitants. Cette augmentation a alimenté beaucoup de conversations et ce n’est pas terminé.

 

Quels sont les changements apportés par le Règlement européen ?

Selon la catégorie de la violation commise par un responsable de traitements ou un sous-traitant, l’amende administrative maximale encourue pourra s’élever soit à 10 000 000 euros, soit à 20 000 000 euros.

Dans le cas d’une entreprise et toujours selon la catégorie de la violation, ces amendes pourront aussi être calculées au regard du chiffre d’affaires réalisé dans la limite, soit de 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, soit de 4,% de ce même chiffre d’affaires (1). L’autorité de contrôle devra alors retenir le montant le plus élevé.

Une amende de 2 % du CA mondial…

Plus précisément, les violations des dispositions relatives notamment à la protection des données à caractère personnel dès la conception et par défaut ; à l’obligation d’assurer la sécurité des données ; à l’obligation de notifier les violations de données à l’autorité de contrôle, voire aux personnes concernées ; à l’obligation d’établir un registre des traitements et à la désignation d’un délégué à la protection des données à caractère personnel pourront être sanctionnées d’une amende administrative d’un montant maximal de 10 000 000 euros ou de 2 % du chiffre d’affaires annuel mondial total.

… ou de 4 %

En revanche, les violations des dispositions relatives notamment aux principes essentiels de la protection des données à caractère personnel ; au recueil du consentement préalable des personnes ; aux droits des personnes et aux transferts de données personnelles hors de l’Union européenne pourront être sanctionnées d’une amende administrative d’un montant maximal de 20 000 000 euros ou de 4 % du chiffre d’affaires annuel mondial total.

La prise en compte du chiffre d’affaires d’une entité n’est pas une nouveauté. En effet, la loi « Informatique et Libertés » prévoit déjà que, en cas de réitération d’un manquement dans un délai de cinq ans à compter de la date où la sanction pécuniaire prononcée est devenue définitive, la sanction puisse s’élever à 5 % du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300 000 euros (2).

L’une des évolutions significatives apportées par le règlement européen par rapport à l’actuelle législation française réside dans le fait que les sous-traitants de traitement de données à caractère personnel pourront faire l’objet de procédures de sanction. Cela s’explique par le fait que le règlement européen met directement à leur charge des obligations en matière de sécurité des données ainsi qu’en matière d’« accountability ». La responsabilité des sous-traitants ne sera donc plus exclusivement contractuelle.

En outre, peu importe la catégorie de violation en cause, les autorités de contrôle devront procéder à une analyse au cas par cas comme elles le font déjà aujourd’hui. Elles devront

également prendre en compte un certain nombre d’éléments parmi lesquels figurent notamment la nature, la gravité et la durée de l’infraction, la commission délibérée ou par négligence de la violation, les mesures prises pour atténuer le dommage subi par les personnes concernées, l’existence de toute violation déjà constatée antérieurement ou encore le degré de coopération établi avec l’autorité de contrôle.

Que peut-on reprocher au législateur européen ?

L’analyse des termes retenus par les institutions européennes est intéressante.
Le texte consacré au montant des amendes fait référence à la notion d’« entreprise ». Celle-ci est définie par le règlement européen comme « une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique » (article 4, 18) du règlement 2016/679 du 27 avril 2016).

Ainsi, le chiffre d’affaires des entrepreneurs individuels et des sociétés pourrait être pris en compte à condition que celui-ci soit mondial. En effet, à la lecture du texte, il semble que les entreprises, telles que définies par le règlement européen, réalisant un chiffre d’affaires au niveau national ne seront pas susceptibles de voir prononcer une amende administrative calculée sur la base dudit chiffre d’affaires.

 

En outre, la notion de groupe ne semble pas être prise en compte pour le calcul des sanctions. Or, de tels groupes sont davantage susceptibles de réaliser un chiffre d’affaires mondial. Par ailleurs, qu’en sera-t-il des groupements d’intérêts économiques ou encore des franchisés par exemple ?

Il sera donc intéressant d’observer la réaction des autorités de contrôle dont la Commission Nationale de l’Informatique et des Libertés. On peut également se demander si elles n’auront pas tendance à s’appuyer sur le montant maximal de la sanction prévue en excluant tout calcul en pourcentage du chiffre d’affaires qui pourrait être l’objet de contestations, voire de contentieux.

La publicité éventuelle des sanctions

Notons également que la publicité éventuelle des sanctions prononcées n’est pas évoquée dans le règlement européen. Pour rappel, la Commission Nationale de l’Informatique et des Libertés dispose depuis 2011 de la possibilité de rendre publiques les sanctions et les mises en demeure qu’elle prononce (3). Cette publicité est bien souvent plus redoutée par les responsables de traitement que la sanction financière en tant que telle compte tenu du risque d’image qui y est attachée. Est-ce à dire que les sanctions et les mises en demeure de l’autorité de protection française pourraient ne plus être publiées ? Il semble que la réponse soit négative car le règlement européen réserve la possibilité aux Etats membres de prévoir d’autres sanctions en cas de violation.

Par ailleurs, l’application du règlement européen sera sans influence sur les sanctions pénales prévues aux articles 226-16 à 226-24 du Code pénal puisqu’il est prévu que les législations nationales puissent déterminer le régime des sanctions pénales susceptibles d’être prononcées en cas de violation.

 

L’application du règlement européen ne se fera donc pas sans soulever des questions. Certaines risquent de perdurer au-delà du 25 mai 2018.

1 > Article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

2 > Article 47 de la loi n°78-17 du 6 janvier 1978 modifiée

3 > Article 46 de la loi n°78-17 du 6 janvier 1978 modifiée. n

 


GDPR : le nouveau règlement européen
sur la protection des données personnelles

GDPRQuatre années, c’est le temps qu’il aura fallu aux institutions européennes pour aboutir à l’adoption définitive du règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. L’Union européenne a donc pris un virage crucial pour la protection des données des citoyens européens. Le règlement, publié au Journal Officiel de l’Union européenne le 4 mai dernier, ne sera applicable qu’à partir du 25 mai 2018. A cette date, un cadre juridique unique relatif à la protection des données à caractère personnel sera applicable sur l’ensemble du territoire de l’Union permettant ainsi une protection uniforme des personnes physiques.

Auteur : Garance Mathias, Avocat à la Cour - www.avocats-mathias.com

Dossier publié dans Solutions IT N°12

Notez cet article

Fidélisation 3.0 – Inscrivez-vous au petit-déjeuner

Les clés de la fidélisation en 2017, bilan du marché, témoignages clients, avis d’experts, conseils et bonnes pratiques. Avec la rédaction de Solutions IT et Comarch. Hotel Raphael, Paris-Etoile le 2 mars

Info & inscription

Sondage

Vos projets Démat et GED en 2017

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
  • CONTRATS INFORMATIQUES

    Négociez !   Entrée en vigueur le 1er octobre 2016, l'ordonnance n°2016-131 du 10 février…

  • Démat : les bonnes pratiques

    À l’heure où les flux d’information et de données à traiter s’accroissent, la dématérialisation documentaire…

Témoignages
Juridique
  • Droit à la déconnexion : quels impacts sur les chartes informatiques ?

    Depuis le 1er janvier 2017, tout salarié bénéficie d’un droit à la déconnexion en application…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Cybersécurité : le harponnage, très ciblé, menace les réseaux d'entreprise

    Le harponnage est une attaque sur-mesure et extrêmement ciblée conçue pour manipuler les victimes afin…

    > En savoir plus...
Etudes/Enquêtes
  • Ventes de PC en France: croissance pour HP, Lenovo et Dell au 4ème trimestre 2016

    Si les ventes de PC n’ont globalement pas décollé en 2016, on remarquera que HP,…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
BlueMind_Nouvelle version_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Gouverner à l’ère du numérique : Le guide de la cybersécurité pour les dirigeants d’entreprises

    > Voir le livre
  • En route vers l'archivage électronique : et vous, vous faites quoi pour vos documents numériques…

    > Voir le livre
Schneider_BackUPSApc_skycraper