Depuis l’entrée en application du RGPD le 25 mai 2018, les sanctions prononcées par la CNIL pour défaut de mise en conformité se cumulent aussi bien pour insuffisance de sécurisation des données d’utilisateur, que pour manque de transparence, information insatisfaisante voire absence de consentement valable. A titre d’exemple, on peut citer les sanctions récentes d’UBER, BOUYGUES TELECOM ou encore GOOGLE LLC.
En pratique, les mises en demeure ou sanctions délivrées par la CNIL pour non-conformité concernent uniquement la personne morale, seule « personne » impactée par les sanctions administratives. Le dirigeant, en sa qualité de représentant, est dans la majorité des cas seulement notifié de la décision de la CNIL. Toutefois, il sera garant de la remédiation aux manquements constatés par l’autorité de contrôle.
Ce dernier a encore parfois tendance à négliger sa responsabilité personnelle. Or, l’article 24 du RGPD prévoit la possibilité d’engager la responsabilité du responsable de traitement.
Ainsi, en matière de sanction, le représentant de l’organisme n’est pas toujours épargné des risques et ne demeure pas impuni. En effet, en cas de non-conformité au RGPD de son entreprise, il s’expose personnellement à des risques de voir leur responsabilité personnelle engagée.
En sa qualité de représentant du responsable de traitement, le dirigeant est garant de la conformité de son entreprise aux exigences du RGPD (respect des principes de licéité de traitement, garantie de la sécurité et de l’intégrité des données, assurer les droits des personnes concernées etc.)
A ce titre, il s’assure de la mise en place au sein de sa structure de mesures techniques et organisationnelles adéquates afin de minimiser le risque de sanctions pour l’entreprise. Inutile de rappeler le risque de sanctions administratives à l’encontre de la personne morale pouvant aller jusqu’à 4% du chiffre d’affaire annuel mondial ou 20 millions d’euros d’amende.
Toutefois, au-delà des sanctions pour la personne morale, le dirigeant peut engager sa responsabilité personnelle. En effet, s’il manque de diligence dans le contrôle de la mise en œuvre de ces mesures par ses employés, sa responsabilité personnelle peut être engagée.
Cela va de soi, la responsabilité d’une personne morale ne fait pas nécessairement écran à une protection des dirigeants en cas de condamnation. Si la CNIL constate des manquements lors d’un contrôle, elle a la faculté de saisir le Procureur de la République pour des poursuites pénales à l’encontre du dirigeant.
Ainsi, dès que le représentant a eu personnellement connaissance des manquements relatés par l’autorité de contrôle, il est tenu de tout mettre en œuvre pour se conformer aux exigences du RGPD. Dans le cas d’une négligence de mise en conformité, il peut se voir reprocher les faits suivants :
Les articles 226-16 et suivants du Code pénal prévoient une sanction de 5 ans d’emprisonnement et 300 000€ d’amende à l’encontre du dirigeant qui manque à son obligation de résultat de mise en conformité RGPD (collecter des données par un moyen frauduleux ou illicite, traiter des données malgré l’opposition faite par la personne concernée, conserver des données au-delà du terme légal prévu etc.)
Plus fréquemment, des sanctions alternatives prévues par l’article 131-6 du code Pénal qui demeurent toutes aussi contraignantes pourront être prononcées, à savoir :
Visionnez notre webinaire « Outil et RGPD » en vous créant un compte sur Webikeo et accéder au replay.
Vous pouvez aussi télécharger le support de ce webinaire « Outil et RGPD » pour vous aider à y voir plus clair et avoir les bonnes méthodes pour agir.
En 2013, l’enseigne IKEA est mise en examen dans le cadre d’une enquête liées au « recel habituel » d’infractions. Parmi ces infractions, il est reproché à IKEA des manœuvres « d’espionnage illicite de ses salariés », notamment en procédant au contrôle de leurs antécédents judiciaires. Au cœur de cette infraction : la protection des données personnelles, bien que la CNIL n’ait pas été à l’initiative de cette procédure.
Les dirigeants d’IKEA ont ainsi été placés, en tant que représentants, sous contrôle judiciaire pour « complicité de collecte de données à caractère personnel contenues dans un fichier par moyen frauduleux, déloyal ou illicite » et « complicité de violation du secret professionnel ».
A date, le dossier n’est toujours pas clos. En 2018, le parquet du Tribunal de Grande Instance de Versailles requiert le renvoi en correctionnelle de l’enseigne.
Le dirigeant pourrait être exonéré s’il a délégué ses pouvoirs à une autre collaborateur, par exemple au DRH pour ce qui concerne les traitements relatifs aux salariés. Dès lors, la charge de la preuve de l’existence de cette délégation de pouvoir pèse sur le dirigeant et peut être apportée par tous moyens. De ce fait, le délégataire peut être tenu responsable des infractions à la loi sous réserve que les conditions de délégation répondent à certaines conditions :
Une délégation de pouvoir au DPO reste inenvisageable. Toutefois, le dirigeant ne pourra s’exonérer entièrement de ses responsabilités et les délégations devront être limitées tant dans leur objet que dans leur portée.
le dirigeant de l’entreprise doit impérativement se rendre compte des risques qu’il encourt en cas de négligence dans la mise en conformité des traitements de données au RGPD. Aux sanctions lourdes sur le plan administratif et pénal s’ajoute une atteinte à la réputation de l’entreprise, laquelle peut mener à une certaine méfiance des clients, partenaires, investisseurs.
Afin de diminuer le risque de poursuites pénales à titre personnel, le dirigeant doit ainsi faire preuve de diligence dans sa supervision du chantier « RGPD ». Cela passe par :
Des informations complémentaires avec cet article sur la loi informatique et liberté
Par Marie de Asis-Trem
Nous dispensons des formations spécifiques animées par nos DPO.
Vous pouvez retrouver notre programme « Formation DPO » et le formulaire d’inscription juste en dessous.
