Recevez chaque jour toute l'actualité du numérique

x

Peut-on se prémunir d'une sanction de la Cnil pour violation du RGPD ?

En cas de non-respect du RGPD, la sanction peut grimper jusqu'à 4 % du chiffre d'affaires pour le responsable de traitement. Les entreprises gérant des données personnelles souhaitent plus que jamais se protéger face à cette éventualité. Mais peut-on se prémunir d'une sanction de la Cnil, organisme chargée de veiller au respect du texte européen ?  
Twitter Facebook Linkedin Flipboard Email
×

Peut-on se prémunir d'une sanction de la Cnil pour violation du RGPD ?
Les entreprises qui gèrent des données personnelles veulent se protéger. © Pixabay/TheDigitalArtist

Le Règlement général sur la protection des données personnelles (RGPD) a considérablement changé la vie quotidienne des entreprises en leur imposant de nombreuses obligations à respecter. Mais c'est surtout le montant de la sanction en cas de non-respect de ce texte qui les inquiète. Cette dernière peut monter jusqu'à 4 % du chiffre d'affaires, une somme bien plus importante que celle précédemment prévue par la loi "Informatique et libertés" de 1978, qui s'élevait à 150 000 euros.

 

une clause limitative de réparation

Assez logiquement, les entreprises qui gèrent des données personnelles veulent se protéger. Rien de plus simple. Dans les contrats signés avec leurs hébergeurs, elles mettent en place un partage de responsabilité. "Imaginons une banque et un hébergeur qui stocke l'ensemble des fichiers clients. En cas de fuite de données, la banque perd tous ses clients et subit un préjudice commercial important. Elle peut se retourner vers son hébergeur pour qu'il répare cette situation", explique Anne Cousin, avocate en droit des nouvelles technologies. Forcément, de son côté, l'hébergeur veut limiter cette situation. Il négocie alors avec l'entreprise un plafond au-dessus duquel il ne sera plus tenu de payer : une clause limitative de réparation.  

 

La nature de la sanction au centre des débats

La situation se complique lorsque la Cnil prononce une sanction envers l'entreprise pour violation du RGPD. La réponse est pourtant en apparence assez simple : "Il est impossible de partager cette responsabilité", tranche la juriste. En effet, elle estime que la nature même de la sanction empêche de diviser la somme à payer entre l'entreprise et son hébergeur. Il s'agit d'une sanction dite "personnelle", proche d'une sanction pénale. "Elles sont d’une nature essentiellement répressive et procèdent d’une intention de punir un manquement à une obligation. Elles se fondent sur un comportement personnel considéré comme fautif", indique le Conseil d'Etat, la plus haute juridiction administrative.

 

Pourtant tous les juristes ne sont pas du même avis. Certains conseillent à leurs clients de prévoir une clause limitative de réparation en cas de sanction prononcée par le gendarme de la vie privée. "Elle sera illégale", rétorque Anne Cousin. L'avocate repose son raisonnement sur une jurisprudence de la Cour de cassation en matière d'amende douanière (arrêt du 16 avril 2013). La plus haute juridiction avait alors estimé que la sanction douanière était de nature "fiscale et indemnitaire". Conséquence de quoi, une partie était tenue de rembourser le montant de l'amende prononcée à l'encontre de son cocontractant. En inversant le raisonnement, cela signifie bien qu'une amende qui n'est indemnitaire ne peut pas être partagée entre les différents protagonistes.

 

Une situation en apparence injuste pour l'entreprise

Cette situation peut paraître injuste pour l'entreprise qui devra supporter toute seule la somme exigée, alors même que la faute peut provenir de son sous-traitant. "La banque pourra essayer de faire engager la responsabilité de l'hébergeur devant un tribunal en invoquant un comportement fautif", déclare la juriste. Mais attention, si l'entreprise gagne, l'hébergeur ne remboursera que le préjudice commercial subit, et non pas celui découlant de la sanction prononcée par la Cnil.

 

Ces problématiques peuvent paraître théoriques, mais les entreprises gérant des données personnelles sont très inquiétées. "Les négociations contractuelles montrent la préoccupation des responsables de traitement face à ces situations", confie l'avocate.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media