Le Règlement Général sur la Protection des Données (RGPD) régit de façon précise les modalités d’envois de communication publicitaires par les voies électroniques. Depuis le mois de mai 2018, les entreprises doivent se conformer pour la collecte des données, ainsi que le traitement qui en est fait.
La méthodologie de collecte est en ce sens au centre des objectifs du RGPD, pour assurer le consentement de l’utilisateur. Ce projet de loi remplace les précédentes dispositions mises en place grâce à la “Loi informatique et Libertés” (1978) et la directive sur la protection des données (1995). Les normes relatives à la protection et à la confidentialité des données doivent être appliquées selon ce nouveau cadre législatif.
Le responsable de traitement, de même que le sous-traitant, sont tous les deux concernés par la mise en conformité RGPD. Initié au niveau de la Commission européenne, le RGPD s’applique dans tous les pays de l’UE.
1. Les amendes administratives
Les amendes administratives désignent les sanctions financières appliquées par la CNIL en cas de manquement aux obligations de conformité au RGPD.
La Commission nationale de l’Informatique et des libertés figure en effet en tant qu’organise de contrôle sur le territoire français. La CNIL et la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) fournissent aux entreprises et aux consommateurs un ensemble de bonnes pratiques en vue de la mise en conformité.
Les responsables de traitement et les sous-traitants pourront faire l’objet de sanctions administratives importantes en cas de violation du RGPD :
– De 2 à 4% du chiffre d’affaires annuel mondial de l’entreprise ou 20 millions euros d’amende.
Les infractions doivent concerner les dispositions suivantes :
- L’obligation de consentement de la personne concernée avant collecte, traitement ou stockage des données personnelles
- Les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale
- Toutes les obligations découlant du droit des États membres
- Le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle. La CNIL (qui demeure l’autorité de régulation et de contrôle en France) pourra prononcer un avertissement, mettre en demeure, limiter un traitement en cours, suspendre les flux de données, ordonner l’exercice des droits d’accès, de rectification, de suppression ou de portabilité des données personnelles, sanctionner (amende).
Les infractions sont donc sanctionnées graduellement et en fonction de leur gravité :
Étape 1 : Avertissement ou une mise en demeure de l’entreprise avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD
Étape 2 : Injonction de cesser la violation
Étape 3 (potentiellement) : Limitation ou suspension temporaire des traitements de données
Étape 4 : Sanctions administratives en cas de non-respect aux règles du RGPD après injonction sans effet de l’autorité de contrôle
2. Les sanctions pénales
Le manquement aux dispositions demandées par le RGPD aboutit également à des sanctions pénales. En effet, ce nouveau règlement du droit français, appliqué au niveau européen, complète une législation déjà présentée dans le Code pénal. Les articles 226–16 et 226–16-A, et l’article 226–22–1 sont très clairs à ces sujets.
Une condamnation de 300 000 euros d’amende et de 5 années d’emprisonnement est prévue pour :
- Le transfert de données transfrontières à l’encontre de l’article 70 de la loi informatique et Libertés, ou des exigences de la Commission des Communautés européennes
- Le non-respect des formalités préalables,
- Le non-respect de l’article 34 de la loi informatique et Libertés en ce qui concerne la sécurité des données
- Le détournement de la finalité des données collectées
- Les infractions suivantes entraînent une condamnation de 1 500 euros d’amende, par entorse constatée aux :
obligations d’informations des personnes touchées par la collecte des données respect des droits des personnes
2. Réparation du dommage subi par la personne concernée
En marge de ces sanctions administratives, le responsable de traitements et/ou le sous-traitant pourront être condamnés par les juridictions nationales à indemniser les personnes concernées par une violation de leurs données personnelles au titre d’un « préjudice matériel ou moral ». Le recours juridictionnel pourra être porté par une association habilitée qui aura reçu mandat de la ou des personne(s) concernée(s) sous la forme d’une action collective (ce qui accroît considérablement la portée des risques potentiels d’indemnisation).
Alors que tout responsable de traitement ayant participé au traitement est responsable du dommage causé à la personne concernée par le traitement intervenu en contravention avec le RGPD, le sous-traitant ne sera tenu pour responsable du dommage « que s’il n’a pas respecté les obligations issues du RGPD incombant spécifiquement au sous-traitant ou qu’il a agi en dehors des instructions licitent du responsable de traitement ou contrairement à celles-ci » (Art.82).
Si le responsable de traitement et le sous-traitant ont tous deux concouru au dommage par une violation à l’une de leurs obligations spécifiques issues du RGPD, ils seront condamnés solidairement pour la totalité de l’indemnité à verser.
3. Le rôle du DPO pour prévenir les sanctions administratives
Le Data Protection Officer est obligatoire dans certaines entreprises. Il est la personne désignée pour assurer la mise en conformité de la collecte et du traitement des données. En Français, on parle de Délégué à la Protection des Données. Il assure d’une part le respect du RGPD au sein de la structure dans laquelle il exerce, et travaille de façon conjointe avec les différents services afin de sensibiliser l’ensemble des acteurs aux obligations qui concernent les communications électroniques.
Dans le cadre d’un contrôle par la CNIL, le DPO en charge est en mesure de fournir les éléments qui montrent les dispositifs mis en œuvre dans son organisation. Parmi les documents courants, la cartographie des traitements permet de schématiser de façon synthétique toute la méthodologie de collecte, la durée de conservation, et le traitement de données personnelles.
De la même manière, le registre d’activités des traitements permet de contrôler s’il y a eu un délit. Même s’il s’agit d’une documentation facultative en principe pour les entreprises de moins de 250 salariés, elle est recommandée pour toutes les tailles de structures.
4. À quel moment l’entreprise peut-elle être sanctionnée ?
Une entreprise responsable, ou sous-traitante est sanctionnable dès lors qu’il est constaté un manquement aux obligations issues du RGPD. L’accompagnement d’un cabinet d’avocat permet notamment de s’assurer de la conformité des mentions utilisées dans les formulaires de collecte.
Les contrôles réalisés par la CNIL permettent l’identification des infractions. Cependant, les contrevenants s’exposent également aux risques de sanctions dès lors qu’une plainte est formulée à leur encontre. La CNIL facilite les démarches pour les consommateurs grâce à une procédure de plainte en ligne contre une personne morale. De la même manière, l’usage litigieux des données personnelles est susceptible d’entraîner des actions au pénal.
