RGPD : sanction administrative et pénale

RGPD : sanction administrative et pénale

Le Règlement européen sur la protection des données (le "RGPD"), entrée en vigueur en France le 25 mai 2018, a renforcé les sanctions administratives et pénales susceptibles d'être prononcées contre les entreprises et leurs dirigeants en cas de violation des règles édictées par le RGPD.

La CNIL applique un principe de gradation des sanctions administratives. Elle peut ainsi

• prononcer un rappel à l'ordre;
• enjoindre de mettre le traitement en conformité, au besoin sous astreinte;
• limiter temporairement ou définitivement un traitement;
• suspendre les flux de données;
• ordonner de satisfaire aux demandes d'exercice des droits des personnes, au besoin sous astreinte;
• prononcer une sanction administrative pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial.

Si des sanctions pénales existaient déjà (Livre II, Titre II, chapitre VI, section de la partie législative du code pénal "les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques" et articles R. 625-10 à R625-13 du code pénal), le RGPD a crée de nouvelles infractions et a renforcé les sanctions pénales existantes (articles 226-16 à 226-24 du code pénal).

Sont ainsi punis d'une peine maximum de 5 ans d'emprisonnement et d'une amende pouvant aller jusqu'à 300 000 euros d'amende, le fait par les personnes responsables du traitement de :

• procéder à celui-ci sans respecter des formalités préalables à leur mise en oeuvre par la loi (article 226-16 du code pénal);
• détourner la finalité des données personnelles (article 226-21 du code pénal);
• procéder à ce traitement en violation de l'article 34 de la loi Informatique et Libertés relatif à l'obligation de sécurité (articles 226-17 et 226-17-1 du code pénal);
• collecter des données par un moyen frauduleux, déloyal ou illicite (article 226-18 du code pénal);
• procéder à un traitement de données concernant une personne malgré son refus, lorsque ce traitement est fait à des fins de prospection ou lorsque cette opposition est fondée sur des motifs légitimes (article 226-18-1 du code pénal);
• mettre ou conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé, à l'orientation sexuelle ou à l'identité de genre de celles-ci (article 226-19 du code pénal);
• procéder à un transfert de données transfrontières contrevenant aux mesures prises par la Commission des Communautés européennes ou à l'article 70 de la loi Informatique et Libertés (article 226-22-1 du code pénal).

L'absence d'information des personnes concernées par le traitement et le non-respect de leurs droits est sanctionnée d'une peine d'amende pouvant aller jusqu'à 1 500 euros par infraction constatée (article R. 625-10 et suivants du code pénal).

La plupart des entreprises sont concernées tant le champ d'application du RGPD est large. Ainsi, les données à caractère personnel couvre toutes les données permettant d'identifier directement ou indirectement une personne (nom, prénom, adresse mail, numéro de sécurité sociale, la voix, l'image, une adresse IP, un identifiant de connexion informatique...). 

On rappellera que le cumul de sanctions administratives et pénales est possible.

A ce jour, la CNIL a effectué un nombre important de contrôle et a prononcé des sanctions usant pleinement de ses pouvoirs conférés par le RGPD. 

Vous pouvez solliciter le cabinet Chapelle Avocat, avocat pénaliste à Paris, en allant sur la page Contact ou en nous envoyant un email à cabinet@chapelleavocat.com