Quelle responsabilité personnelle pour le dirigeant en cas de non-conformité au RGPD ?

Depuis l’entrée en application du RGPD le 25 mai 2018, les sanctions prononcées par la CNIL pour défaut de mise en conformité se cumulent aussi bien pour insuffisance de sécurisation des données d’utilisateur, que pour manque de transparence, information insatisfaisante voire absence de consentement valable. A titre d’exemple, on peut citer les sanctions récentes d’UBER, BOUYGUES TELECOM ou encore GOOGLE LLC.

En pratique, les mises en demeure ou sanctions délivrées par la CNIL pour non-conformité concernent uniquement la personne morale, seule « personne » impactée par les sanctions administratives. Le dirigeant, en sa qualité de représentant, est dans la majorité des cas seulement notifié de la décision de la CNIL. Toutefois, il sera garant de la remédiation aux manquements constatés par l’autorité de contrôle.

Ce dernier a encore parfois tendance à négliger sa responsabilité personnelle. Or, l’article 24 du RGPD prévoit la possibilité d’engager la responsabilité du responsable de traitement.

Ainsi, en matière de sanction, le représentant de l’organisme n’est pas toujours épargné des risques et ne demeure pas impuni. En effet, en cas de non-conformité au RGPD de son entreprise, il s’expose personnellement à des risques de voir leur responsabilité personnelle engagée.

I- L’absence d’impunité du dirigeant

La responsabilité pénale du dirigeant

En sa qualité de représentant du responsable de traitement, le dirigeant est garant de la conformité de son entreprise aux exigences du RGPD (respect des principes de licéité de traitement, garantie de la sécurité et de l’intégrité des données, assurer les droits des personnes concernées etc.)

A ce titre, il s’assure de la mise en place au sein de sa structure de mesures techniques et organisationnelles adéquates afin de minimiser le risque de sanctions pour l’entreprise. Inutile de rappeler le risque de sanctions administratives à l’encontre de la personne morale pouvant aller jusqu’à 4% du chiffre d’affaire annuel mondial ou 20 millions d’euros d’amende.

Toutefois, au-delà des sanctions pour la personne morale, le dirigeant peut engager sa responsabilité personnelle. En effet, s’il manque de diligence dans le contrôle de la mise en œuvre de ces mesures par ses employés, sa responsabilité personnelle peut être engagée.

L’articulation du RGPD avec la législation française

Cela va de soi, la responsabilité d’une personne morale ne fait pas nécessairement écran à une protection des dirigeants en cas de condamnation. Si la CNIL constate des manquements lors d’un contrôle, elle a la faculté de saisir le Procureur de la République pour des poursuites pénales à l’encontre du dirigeant.

Ainsi, dès que le représentant a eu personnellement connaissance des manquements relatés par l’autorité de contrôle, il est tenu de tout mettre en œuvre pour se conformer aux exigences du RGPD. Dans le cas d’une négligence de mise en conformité, il peut se voir reprocher les faits suivants :

  • Faute personnelle du dirigeant auteur des faits reprochés pour complicité, abus de confiance, recel ou violation du secret des affaires ;
  • Faute des préposés en cas de faute non intentionnelle d’un salarié. Dans ce cas, on présumera que le dirigeant a été négligé son devoir d’information ou de supervision des salariés.

Les articles 226-16 et suivants du Code pénal prévoient une sanction de 5 ans d’emprisonnement et 300 000€ d’amende à l’encontre du dirigeant qui manque à son obligation de résultat de mise en conformité (collecter des données par un moyen frauduleux ou illicite, traiter des données malgré l’opposition faite par la personne concernée, conserver des données au-delà du terme légal prévu etc.)

Plus fréquemment, des sanctions alternatives prévues par l’article 131-6 du code Pénal qui demeurent toutes aussi contraignantes pourront être prononcées, à savoir :

  • L’interdiction d’émettre des règlements au nom de l’entreprise pour une durée pouvant aller jusqu’à 5 ans ;
  • L’interdiction d’exercer une activité professionnelle, sociale, commerciale ou industrielle pouvant aller jusqu’à 5 ans ;
  • L’interdiction de diriger, administrer, gérer ou contrôler directement ou indirectement une entreprise.

II- L’application de sanctions envers les dirigeants

Cas concret

En 2013, l’enseigne IKEA est mise en examen dans le cadre d’une enquête liées au « recel habituel » d’infractions. Parmi ces infractions, il est reproché à IKEA des manœuvres « d’espionnage illicite de ses salariés », notamment en procédant au contrôle de leurs antécédents judiciaires. Au cœur de cette infraction : la protection des données personnelles, bien que la CNIL n’ait pas été à l’initiative de cette procédure.

Les dirigeants d’IKEA ont ainsi été placés, en tant que représentants, sous contrôle judiciaire pour « complicité de collecte de données à caractère personnel contenues dans un fichier par moyen frauduleux, déloyal ou illicite » et « complicité de violation du secret professionnel ».

A date, le dossier n’est toujours pas clos. En 2018, le parquet du Tribunal de Grande Instance de Versailles requiert le renvoi en correctionnelle de l’enseigne.

Possibilités d’exonérations

Le dirigeant pourrait être exonéré s’il a délégué ses pouvoirs à une autre collaborateur, par exemple au DRH pour ce qui concerne les traitements relatifs aux salariés. Dès lors, la charge de la preuve de l’existence de cette délégation de pouvoir pèse sur le dirigeant et peut être apportée par tous moyens. De ce fait, le délégataire peut être tenu responsable des infractions à la loi sous réserve que les conditions de délégation répondent à certaines conditions :

  • Le délégataire est pourvu de l’autorité, de la compétence et des moyens nécessaire à sa mission de traitement ;
  • La délégation porte sur la gestion de traitement de données personnelle.

Une délégation de pouvoir au DPO reste inenvisageable. Toutefois, le dirigeant ne pourra s’exonérer entièrement de ses responsabilités et les délégations devront être limitées tant dans leur objet que dans leur portée.

Pour conclure : le dirigeant de l’entreprise doit impérativement se rendre compte des risques qu’il encourt en cas de négligence dans la mise en conformité des traitements de données au RGPD. Aux sanctions lourdes sur le plan administratif et pénal s’ajoute une atteinte à la réputation de l’entreprise, laquelle peut mener à une certaine méfiance des clients, partenaires, investisseurs.

Afin de diminuer le risque de poursuites pénales à titre personnel, le dirigeant doit ainsi faire preuve de diligence dans sa supervision du chantier « RGPD ». Cela passe par :

  • Elaborer un registre des traitements et assurer sa mise à jour ;
  • Conserver les preuves de la conformité (mentions d’informations fournies aux personnes concernées, registre des demandes traités etc.)
  • Monitorer la sécurité en interne des données (mesure de sécurité physiques des locaux, logiques des systèmes etc.)
  • Piloter régulièrement le déploiement du chantier RGPD
  • Désigner un délégué à la protection des données personnelles et le rencontrer régulièrement pour s’assurer de la conformité continue de l’entreprise et obtenir un soutien nécessaire dans les difficultés rencontrées. Si vous ne souhaitez pas nommer un DPO en interne, pensez à externaliser la fonction avec DPO Consulting.

 

Par Marie de Asis-Trem

Suivez-nous sur Linkedin, Twitter et Facebook

Retour