La plupart des présentations du Règlement mettent en avant les sanctions administratives très importantes qui y sont prévues. Cela donne à tort l’impression que ce Règlement est avant tout répressif et que sa mise en œuvre va se faire par et grâce à la peur des amendes et de leur montant.
C’est doublement faux car, d’abord, le rôle des autorités de contrôle a toujours été et sera toujours en premier pédagogique, la sanction étant le résultat de l’échec de la méthode « douce ».
Et aussi car les amendes ne sont ni les seuls outils coercitifs qui existent dans cette législation ni probablement ceux qui vont le plus fréquemment être mis en œuvre pour la faire respecter.
Il est donc nécessaire de commencer par comprendre la logique de contrôle avant de s’intéresser au détail des mesures et sanctions.
La logique de contrôle
Les autorités disposent d’un arsenal diversifié pour agir, avant d’en arriver à des amendes administratives et aussi pénales.
Le texte, tout d’abord, s’attache à ce que les personnes concernées aient toujours un « recours effectif », face à une utilisation qu’elles trouveraient non conforme ou fautive de leurs données personnelles.
Avant que l’Autorité Administrative indépendante (en France, la CNIL) ou l’autorité judiciaire n’ait éventuellement à intervenir, c’est aux individus que le Règlement fournit des instruments pour contrôler le traitement de leurs données et, le cas échéant, réclamer la réparation de leur préjudice.
La logique de mise en œuvre du Règlement n’est donc pas celle d’un appel systématique à l’autorité pour prendre en charge la défense des titulaires de droits mais bien la possibilité pour chacun d’agir par lui-même.
Il est important d’insister sur cette notion car elle est assez antinomique avec la logique française habituelle.
Le réflexe en France est plutôt de porter plainte en espérant que l’autorité va se charger de faire respecter les droits du plaignant plutôt que d’essayer de faire soi-même respecter ses droits.
Le Règlement renforce le principe que les personnes concernées pourront, avant de s’adresser au choix à l’autorité judiciaire (c’est-à-dire les forces de l’ordre ou les tribunaux) ou à l’Autorité Compétente qui est, en France, la CNIL, réclamer le respect de leurs droits directement au responsable du traitement. Et surtout elles pourront réclamer une indemnisation.
Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent Règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
Ce risque d’avoir à réparer le préjudice subi doit donc être à l’esprit de tout responsable du traitement au moins autant, sinon plus, que celui de subir des sanctions administratives.
Réparer le préjudice
Ce type d’action va rapidement apparaître dans les garanties « défense et recours » des assurances des particuliers, pour qu’ils puissent être aidés à obtenir le respect de leurs droits par les juristes de leurs assureurs ou des avocats.
Si une action individuelle peut ne pas paraître très effrayante, les responsables doivent garder à l’esprit que la logique de « traitement » des données personnelles induit que les problématiques ne concernent rarement qu’un seul individu.
Il est probable que des legaltech se créent à ce sujet et le projet de l’activiste autrichien Max SHERMRS « NOYB » (www.noby.eu), qui est une organisation non gouvernementale (ONG) de défense des droits des citoyens de l’Union en la matière, a vocation à agir sur tout le territoire de l’Union Européenne.
Ce type d’organisation pourra agir via des actions de groupe. Le Règlement autorise la personne concernée à mandater un organisme, une organisation ou une association à but non lucratif qui a été valablement constitué conformément au droit d’un État membre.
Cette organisation doit agir dans l’intérêt public et dans le domaine de la protection des droits et libertés des personnes sur le sujet de la protection des données à caractère personnel.
Action de groupe
Dans ces conditions, l’organisme peut regrouper les actions de toute une série de personnes.
Cet outil juridique très puissant est, pour l’instant, d’un usage quasi inexistant dans le droit français même si une loi l’y a introduit récemment, dans des conditions trop étroites.
Néanmoins, cela ne sera réellement efficace que si ces actions permettent d’aboutir à des indemnisations, ce qui n’est pour l’instant pas prévu en France.
Il est possible que les actions des particuliers, individuellement ou en groupe, soient le vecteur principal de mise en œuvre du Règlement, plus que la peur des sanctions.
Lorsque les actions des personnes, individuelles ou collectives, n’aboutissent pas, le Règlement prévoit la mise en place de recours administratifs ou juridictionnels à l’encontre des responsables du traitement.
Les personnes concernées ont tout d’abord le droit d’introduire une réclamation auprès d’une Autorité Indépendante. Chaque citoyen de l’Union peut le faire auprès de celle de l’État membre où il réside.
L’Autorité Indépendante joue pour lui le rôle d’un Guichet Unique, y compris si le responsable du traitement se trouve dans un autre pays de l’Union.
Amendes administratives
Ces autorités (la CNIL en France) pourront, à l’issue d’un processus progressif, infliger des amendes administratives aux organismes responsables du traitement.
Elles peuvent aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial d’une entreprise ou d’un groupe pour ce qui concerne les manquements les moins sensibles et, pour les obligations les plus importantes, tels les droits dont bénéficient les personnes concernées, monter jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel.
Il s’agit de montants maximums, non de ce qui va être appliqué à la moindre faute et encore moins systématiquement au plus grand nombre des responsables de traitement.
Mais il s’agit de montants suffisamment importants pour devenir plus que significatifs pour les entreprises dont l’activité est mondialisée et dont l’Europe n’est, non seulement, qu’une des zones d’action mais, surtout, pas leur pays d’origine.
Pour certaines entreprises, on espère que la crainte de la sanction leur fera appliquer le Règlement, faute de parvenir à les convaincre de l’importance des valeurs qu’il porte.
Il s’agit, par exemple, de celles pour lesquelles le régime juridique des pays où elles ont été créées ne connaît pas de règles similaires, voire fonctionne sur des logiques très différentes.
Le pari est d’envergure car il faudra qu’un grand nombre de pays du monde se rallient à la logique de protection de la vie privée et des données personnelles pour que cette réglementation soit un atout pour l’Europe et qu’elle n’ait pas les effets économiques négatifs que certains craignent.
La Convention pour la protection des données à caractère personnel, la « Convention 108 », qui est une convention internationale ouverte à la signature depuis le 28 janvier 1981 et actuellement en cours de révision, est le principal instrument de diffusion des valeurs européennes de respect des droits fondamentaux de la personne humaine au regard de l’application de la protection des données.
Mais dans tous les cas, la marge de manœuvre dans la mise en œuvre de ces sanctions est très importante et la jurisprudence mettra plusieurs années à se caler.
Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il sera tenu compte, dans chaque cas, d’une longue liste de critères.
Cela peut être :
- La nature, la gravité et la durée de la violation,
- La nature de la portée ou la finalité du traitement concerné,
- Le nombre de personnes concernées affectées,
- Le niveau de dommage qu’elles ont subi,
- Le fait que la violation ait été commise délibérément ou par négligence mais aussi toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées,
- Le degré de coopération établi avec l’autorité de contrôle…
Les autorités indépendantes pourront aussi mener des contrôles et des poursuites par elles-mêmes.
Dans la logique du texte et dans celle de l’accountability, le montant de la sanction devra aussi être adapté par l’Autorité Indépendante en prenant en compte l’historique du respect par l’entreprise des principes du Règlement, de sa bonne foi et de son esprit de collaboration avec les autorités.
C’est d’ailleurs l’esprit dans lequel la CNIL a toujours exercé ses pouvoirs de sanction.
Le montant sera donc sans aucun doute très différent si la défaillance est le résultat d’une absence de respect des règles et principes que chaque responsable du traitement doit être capable de démontrer dans le cadre de l’accountability ou si elle est le fait, par exemple, d’une attaque informatique que même une entreprise très sécurisée n’a pu prévenir.
Bien sûr, pour certaines obligations particulièrement importantes, ne pas pouvoir justifier de leur mise en œuvre aboutira presque systématiquement à des sanctions.
Le fait, par exemple, de ne pas avoir informé les personnes concernées d’une faille de sécurité dans les 72 heures aboutira plus que probablement à une sanction mais, même dans ce cas, les circonstances seront étudiées pour adapter la sanction.
Escalade des sanctions
L’action de l’Autorité Compétente commencera généralement par un avertissement ou une mise en demeure.
La plupart des plaintes reçues par la CNIL aboutissent à une suite favorable pour le demandeur grâce aux avertissements qui sont d’abord émis, s’il n’y a pas d’urgence.
Seul un petit nombre de plaintes débouchent sur des mises en demeure, qui elles-mêmes n’aboutissent que très rarement sur des sanctions.
C’est à la fois une marque d’efficacité de la part de la CNIL et la démonstration que la sanction administrative n’est pas la solution privilégiée.
La sanction peut aussi consister en une limitation temporaire ou définitive d’un traitement, à la suspension d’un flux de données…
Elle pourra prendre la forme d’une ordonnance de satisfaire aux demandes d’exercice des droits des personnes ou de la rectification, de la limitation ou l’effacement des données ; au retrait d’une certification…
La réputation du responsable du traitement
Ce n’est généralement qu’après que tous ces types de sanctions aient été envisagés qu’une amende administrative sera infligée.
Dans tous les cas, les sanctions pourront faire l’objet d’une publication et c’est aussi cette mauvaise publicité, cette atteinte à sa réputation que l’organisme doit craindre.
En plus des actions individuelles ou collectives et des sanctions administratives qui relèvent du pouvoir de l’autorité indépendante de chaque pays, il existe aussi en France un arsenal très important de sanctions pénales.
Sanctions pénales
Elles figurent principalement dans une section spécifique du Code Pénal intitulée : « les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques ». Il contient une liste impressionnante d’infractions venant sanctionner la plupart des obligations en matière de traitement de données personnelles.
Pour autant, les procès sur le fondement de ces infractions pénales sont peu nombreux.
Les exemples de décisions de justice condamnant les responsables du traitement à des sanctions pénales en raison de la violation des obligations de la loi de 1978, pour l’instant applicable, sont rares.
Les condamnations pénales, si elles ne sont pas inexistantes, sont assez exceptionnelles.
En 2017, une personne a été condamnée à 5000 euros d’amende pour des faits de traitements de données à caractère personnel sans autorisation ; il s’agissait de données médicales de mineurs.
Pour cette responsabilité pénale, il faut distinguer la responsabilité de la personne morale de l’éventuelle responsabilité du dirigeant ; les deux peuvent être poursuivis selon les circonstances.
Ce qui est sûr, c’est que ce sera le dirigeant qui sera poursuivi et non le DPO s’il y en a un. Il ne pourra pas se voir attribuer une délégation de pouvoir.
Les délégations de pouvoir
Une délégation de pouvoir est un acte par lequel le dirigeant d’une organisation transfère une partie de ses pouvoirs à l’un de ses collaborateurs qui va non seulement exercer ce pouvoir à la place du dirigeant mais aussi en assumer la responsabilité.
Il ne faut pas confondre les délégations de pouvoir avec les délégations de signatures par lesquelles le dirigeant autorise une personne à engager l’entreprise, la collectivité ou l’association en son nom mais demeure responsable des conséquences.
Seule une délégation de pouvoir permettra au représentant de l’organisme de s’exonérer de sa responsabilité.
Il faut pour cela qu’il justifie de la mise en œuvre effective d’une délégation valide.
Un DPO, de par son statut, ne pourra pas se voir attribuer une délégation de pouvoir.
Et pour être valable, la délégation de pouvoir et de responsabilité doit être certaine, expresse et limitée à un domaine précis.
Le délégant doit être dans l’impossibilité́ réelle de veiller personnellement au respect de la réglementation, compte tenu de la taille de l’entreprise mais aussi de sa structure.
Le délégataire doit être doté de la compétence (y compris en termes de connaissance de la réglementation applicable), des moyens et de l’autorité nécessaires à l’accomplissement des tâches qui lui sont déléguées.
Dans tous les cas, cette protection ne fonctionnera que dans le seul domaine couvert par la délégation et le dirigeant ne devra pas avoir pris personnellement part à l’infraction.
Une délégation pourra toujours être invalidée par un juge s’il ne l’estime pas réelle.
L’arsenal répressif destiné à garantir la mise en œuvre du Règlement est donc à la fois considérable et sévère mais laisse une très grande marge de manœuvre aux personnes concernées, aux autorités indépendantes et aux juridictions pour la réalité de son utilisation.
