Le parlement européen a adopté le 14 avril 2016 le règlement général sur la protection des données personnelles (RGPD). Le règlement entrera en vigueur le 25 mai 2018. Il renforce les droits des citoyens européens, et leur permet d’avoir plus de contrôle sur leurs données personnelles.
La réforme renforce les sanctions appliquées en vertu des anciennes dispositions, notamment les sanctions pécuniaires qui par leurs montants conséquents sont de nature à dissuader les agents de traitements des données personnelles de violer le règlement.
En attendant l’application du nouveau règlement européen, la loi pour une République numérique du 7 octobre 2016 crée de nouveaux droits informatiques et renforce les pouvoirs de sanction de la Commission Nationale de l’Informatique et des Libertés (CNIL). Certaines dispositions ont pour objectif d’anticiper l’entrée en vigueur du RGPD.
Un large panel de sanctions applicables
A l’issue de missions de contrôle ou de plaintes, la formation restreinte de la CNIL, composée de cinq membres et d’un Président distinct du Président de la CNIL, peut prononcer diverses sanctions à l’égard des responsables de traitements qui ne respecteraient pas la loi.
La CNIL peut notamment :
- Délivrer un avertissement ;
- Mettre en demeure ;
- Prononcer une sanction pécuniaire ;
- Prononcer une injonction de cesser le traitement ;
- Retirer l’autorisation qu’elle a accordée.
En cas d’atteinte grave et immédiate aux droits et libertés, le président de la CNIL peut demander par référé à la juridiction compétente d’ordonner toute mesure de sécurité nécessaire.
Les sanctions sont principalement administratives, mais elles peuvent aussi être pénales. Elles sont prévues au chapitre VIII de la loi informatique et libertés.
Ainsi, par exemple, le détournement de la finalité des données personnelles est passible de 300 000 euros d’amende et de 5 ans d’emprisonnement, comme le dispose l’article 226-21 du Code pénal. Et d’après l’article 51 de la loi informatique et libertés, le fait d’entraver l’action de la CNIL est puni d’un an d’emprisonnement et de 15 000 € d’amende.
La publicité des sanctions
Depuis la loi du 29 mars 2011, relative au défenseur des droits, la formation restreinte peut désormais rendre publiques les sanctions pécuniaires qu’elle prononce. L’insertion de ces sanctions dans des publications ou journaux n’est désormais plus soumise à la condition de mauvaise foi de l’organisme concerné. Cette publication des sanctions est dissuasive, en ce qu’elle a pour effet de ternir la réputation des entreprises. La liste des sanctions prononcées et leurs motifs sont disponibles sur le site de la CNIL.
Ainsi, on peut apprendre que le 16 novembre 2017, la formation restreinte de la CNIL a prononcé une sanction d’un montant de 25 000 euros à l’encontre de l’éditeur de quatre sites de démarches administratives en ligne, ayant laissé librement accessibles les données de ses utilisateurs. Elle a estimé que la société avait manqué à son obligation d’assurer la sécurité et la confidentialité des données de ses clients.
La CNIL peut désormais ordonner aux agents sanctionnés traitant des données, d’informer à leurs frais de cette sanction les personnes dont les données ont fait l’objet du manquement.
Des sanctions pécuniaires renforcées
Le renforcement des sanctions pécuniaires est l’une des modifications la plus remarquable induite par le RGPD.
Dispositions antérieures
Le montant des sanctions accordé à la CNIL et prévu par la loi du 6 janvier 1978 dite « Loi informatique et libertés » ne pouvait excéder 150 000 euros pour un premier manquement. En cas de récidive dans les cinq ans à compter de la date du prononcé de la sanction devenue définitive, le montant ne pouvait excéder 300 000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300 000 euros.
Dispositions actuelles
La loi pour une République numérique du 7 octobre 2016 est venue renforcer le pouvoir de sanction de la CNIL en hissant ce plafond de 150 000 euros à 3 millions d’euros.
L’article 47 de la loi précise que le montant de la sanction pécuniaire est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La CNIL prend notamment en compte le caractère intentionnel ou de négligence du manquement et les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées.
Les nouveaux plafonds de sanctions mis en place par cette réforme de 2016 sont cependant loin d’atteindre ceux prévus par le RGPD. Ce dernier prévoit en effet des sanctions extrêmement dissuasives. Le but de cette loi de 2016 est d’anticiper l’entrée en vigueur des sanctions beaucoup plus lourdes prévues par le RGPD.
Dispositions applicables au 25 mai 2018
Les amendes administratives peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou dans le cas d’une entreprise de 2% jusqu’à 4% du chiffre d’affaires annuel mondial.
Ce montant doit être rapporté au fait que, pour les traitements transnationaux, la sanction sera conjointement adoptée entre l’ensemble des autorités concernées, donc potentiellement pour le territoire de toute l’Union européenne.
Dans ce cas, une seule et même décision de sanction décidée par plusieurs autorités de protection sera infligée à l’entreprise.
La CNIL peut en outre prononcer des sanctions financières sans mise en demeure préalable des organismes, lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité.
Nécessité pour les entreprises de se mettre en conformité dès aujourd’hui avec le nouveau règlement
Les montants des sanctions peuvent atteindre des sommes conséquentes pouvant nuire à l’activité des entreprises, et compromettre leur santé financière. Il importe donc d’être en conformité avec le RGDP. Les agents traitant des données personnelles doivent nécessairement anticiper l’entrée en vigueur de ce texte qui sera directement applicable dans notre système légal dès le 25 mai 2018.
