Non-conformité RGPD : la responsabilité personnelle du dirigeant d’entreprise

conformite RGPD

Depuis l’entrée en vigueur du RGPD le 25 mai 2018, les sanctions imposées par la CNIL pour non-conformité sont de plus en plus nombreuses. Elles s’appliquent aussi bien pour manque de transparence, informations insatisfaisantes et manque de consentement valable des personnes concernées que pour manque de sécurité des données des utilisateurs. Par exemple, on peut citer les récentes sanctions de BOUYGUES TELECOM, UBER ou GOOGLE LLC.

Pratiquement, les notifications ou sanctions formelles émises par la CNIL pour non-respect ne concernent que la personne morale. Dans la plupart des cas, le dirigeant, en tant que représentant, est uniquement informé de la décision de la CNIL. Cependant, il sera chargé de corriger les insuffisances signalées par l’autorité de contrôle.

La responsabilité personnelle de ce dernier tend souvent à être négligée. Cependant, l’article 24 du RGPD prévoit la possibilité d’assumer la responsabilité du responsable du traitement.

Ainsi, lorsqu’il s’agit de sanctions, le dirigeant n’est pas toujours à l’abri des risques et ne reste pas toujours impuni. En fait, en cas de violation du RGPD, il court le risque d’en être personnellement responsable.

Non-conformité RGPD : comment est engagée la responsabilité du dirigeant ?

La responsabilité pénale du dirigeant

Le dirigeant, en tant que représentant du responsable de traitement, garantit la conformité de son entreprise aux exigences du Règlement Général sur la Protection des Données (protection des droits et libertés des personnes concernées, garantie de l’intégrité et de la sécurisation des données, respect des principes de licéité de traitement…). Pour cela, il doit faire appel à un dpo rgpd qui pilotera la démarche de mise en conformité.

Il s’assure que les mesures techniques et organisationnelles appropriées sont mises en œuvre dans sa structure pour réduire les risques de condamnations pour l’entreprise. Rappelons que le risque de sanctions pouvant peser sur la personne morale équivaut à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Cependant, outre les sanctions pour la personne morale, le dirigeant peut assumer sa responsabilité personnelle. En effet, s’il manque de vigilance quant au suivi de l’application de ces mesures par ses collaborateurs, sa responsabilité personnelle peut être assumée.

L’application du RGPD et la loi française

Il va sans dire que la responsabilité d’une personne morale ne protège pas nécessairement les administrateurs en cas de sanctions. Si l’autorité de contrôle française constate des irrégularités lors d’une inspection, elle peut saisir le ministère public pour la procédure pénale contre le dirigeant. Pour éviter cela, ce dernier peut se servir d’un outil performant en ligne, mais il convient premièrement de se renseigner sur le prix logiciel rgpd.

Dès que le dirigeant est informé des manquements signalés par la CNIL, il doit faire en sorte de se conformer aux exigences du RGPD. En cas de non-conformité, on pourra lui reprocher les faits suivants :

  • Les actes allégués de complicité, de dissimulation, d’abus de confiance, ou de violation de secret commercial
  • La faute des préposés s’il y a eu faute non intentionnelle d’un salarié. Dans ce cas, on supposera qu’il a négligé son devoir de superviser ou d’informer les employés.

Les articles 226-16 et suivants du Code pénal prévoient une peine d’emprisonnement de 5 ans et d’une peine d’amende de 300000 pour tout dirigeant qui ne respecte pas son devoir de se conformer au RGPD (collecte de données à caractère personnel de façon illégale, traitement de données personnelles sans consentement, conservation des données au-delà de la date limite réglementaire…).

Le plus souvent, des sanctions alternatives peuvent être imposées en vertu de l’article 131-6 du code pénal, qui restent également contraignantes, à savoir :

  • L’interdiction de gérer, d’administrer, de contrôler ou de diriger une entreprise, de façon directe ou indirecte.
  • La proscription de publier des règlements au nom de l’entreprise pendant une période pouvant aller jusqu’à 5 ans
  • L’impossibilité d’exercer toute activité sociale, professionnelle, industrielle ou commerciale jusqu’à 5 ans.

L’application des condamnations contre le dirigeant

Un exemple de cas

En 2013, IKEA a été inculpée dans le cadre d’une enquête sur la « dissimulation habituelle » d’infractions. Parmi ces crimes, l’enseigne a été accusée d ‘« espionnage illégal de ses employés», notamment en vérifiant leurs antécédents criminels. Cette infraction est directement liée à la protection des données personnelles, bien que l’autorité de contrôle n’ait pas été initiée par cette procédure.

De cette manière, les responsables IKEA ont été mis sous contrôle judiciaire pour « complicité dans la collecte de données personnelles par des moyens déloyaux, frauduleux ou illégaux ».

À ce jour, l’affaire est encore en cours. En 2018, le parquet du Tribunal de Grande Instance de Versailles a demandé que la marque soit condamnée à rectification.

Des retranchements possibles

Le dirigeant pourrait être disculpé s’il a délégué ses pouvoirs à un autre salarié, comme le DRH concernant les traitements liés aux salariés. Le délégué sera tenu responsable des infractions à la loi, mais uniquement si les conditions de la délégation remplissent quelques critères :

  • La délégation concerne la gestion du traitement des données personnelles.
  • Le délégué est doté des compétences, pouvoirs et moyens nécessaires à sa mission de traitement

Déléguer le pouvoir au DPO n’est pas envisageable. Cependant, le dirigeant ne peut pas se soustraire complètement de ses responsabilités. De plus, les délégations doivent être limitées dans leur portée et leur objet.

Par ailleurs, la Commission Nationale de l’Informatique et Libertés (CNIL) a soumis le 20 mai 2019 une liste des traitements de données personnelles exempts de l’analyse d’impact sur la vie privée à la Commission européenne.

Conclusion

Le dirigeant doit être conscient des risques qu’il encourt en cas de négligence dans la mise en conformité du traitement des données avec le RGPD. Outre les lourdes sanctions administratives et pénales, il y a aussi l’atteinte à la réputation de l’entreprise, pouvant générer une certaine méfiance de la part des clients, des investisseurs et des partenaires.

Par conséquent, pour réduire le risque de poursuites pénales personnelles, le responsable doit être diligent dans sa supervision du projet « RGPD ». Il doit alors :

  • Élaborer un registre des traitements et le mettre à jour
  • Surveiller la sécurité des données internes (mesures de sécurité physique des installations, logique système, etc.)
  • Conserver la preuve de conformité (informations fournies aux personnes physiques concernées, enregistrement des demandes traitées, etc. )
  • Nommer un DPO et aller à sa rencontre régulièrement pour s’assurer de la conformité de l’entreprise en tout temps et obtenir un appui nécessaire en cas de difficultés.
  • Diriger régulièrement la mise en œuvre du projet RGPD. Si vous ne souhaitez pas nommer un DPO en interne, envisagez de sous-traiter la fonction à DPO Consulting.