Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Black Friday: -25€ dès 75€ sur les livres en ligne, vidéos... avec le code BWEEK25. J'en profite !
  1. Livres et vidéos
  2. RGPD
  3. Les sanctions
Extrait - RGPD Le comprendre et le mettre en oeuvre (2e édition) - (retours d'expérience pour les DPO...)
Extraits du livre
RGPD Le comprendre et le mettre en oeuvre (2e édition) - (retours d'expérience pour les DPO...)
2 avis
Revenir à la page d'achat du livre

Les sanctions

Diversité des sanctions

Les sanctions sont de sources diverses. Certaines sont prévues par le règlement. D’autres peuvent être adoptées par les États (RGPD, art. 84 § 1) et d’autres enfin relèvent de mécanismes juridiques spécifiques. Il convient en particulier d’observer que l’article 84 du règlement laisse aux États membres la possibilité de prévoir d’autres sanctions que celles qu’il prévoit. Les sanctions peuvent donc en partie varier selon les États membres. Il est possible d’en prendre connaissance auprès de la Commission dans la mesure où les États doivent les lui notifier (RGPD, art. 84 § 2).

Sur un autre plan, il apparaît que certaines sanctions peuvent être prononcées par l’autorité de contrôle tandis que d’autres peuvent l’être par une juridiction à la suite notamment d’une action en réparation du préjudice subi par la personne concernée contre le responsable du traitement ou encore d’une action découlant du caractère illicite du traitement de données.

1. Sanctions prononcées par l’autorité de contrôle

L’autorité de contrôle peut adopter des mesures correctrices et prononcer des amendes.

a. Mesures correctrices

Ces mesures sont prévues à l’article 58 § 2 du règlement. La loi du 6 janvier 1978 apporte des précisions sur la mise en œuvre de ces mesures qui peuvent être prises par le Président de la CNIL ou sur son initiative (L.1978, art. 20).

En premier lieu, l’autorité de contrôle peut « avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement » (RGPD, art. 58 § 2 a)). Cet avertissement revient en France au Président de la CNIL (L. 1978, art. 20 I). Cette mesure suppose que le traitement n’ait pas encore été mis en œuvre puisque l’article 58 § 2 a) vise les « opérations de traitement envisagées ». Elle pourra être prise notamment en cas de consultation préalable de l’autorité de...

Représentation de la personne concernée

L’article 80 du RGPD est relatif à la représentation de la personne concernée. Il dispose qu’elle peut « mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit » (art. 80 §1).

Conformément au IV de l’article 37 de la loi du 6 janvier 1978, les associations autorisées sont :

  • « les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel,

  • les associations de défense des consommateurs représentatives au niveau national et agréées...

Détermination des responsables

Responsable du traitement, sous-traitant, responsable au titre des amendes ou sur le plan de la responsabilité civile, les termes peuvent prêter à confusion dans le règlement.

Il faut bien différencier le responsable du traitement, notion spécifique au droit des données personnelles, du responsable, au sens du droit de la responsabilité civile, qui peut être défini comme la personne tenue à la réparation du préjudice, matériel ou moral, subi par une victime.

Sur ce dernier plan, la détermination de la personne responsable, entre le ou les responsables du traitement, les éventuels sous-traitants n’est pas évidente. Il faut distinguer selon que le traitement est mis en œuvre par un seul ou par plusieurs responsables ou encore par l’intermédiaire d’un sous-traitant. La multiplicité d’intervenants fait naître une interrogation sur le partage éventuel de responsabilités et la possibilité d’actions récursoires.

1. Un responsable du traitement

Une personne concernée subit un préjudice moral car des données à caractère personnel portant sur une maladie qu’elle voulait garder secrète ont été divulguées. Qui peut-elle mettre en cause pour obtenir réparation de ce préjudice ? Qui devra l’indemniser ?

En vertu de l’article 82 § 1 du RGPD, la personne concernée peut demander réparation du préjudice qu’elle a subi au responsable du traitement ou au sous-traitant.

Le responsable du traitement doit-il répondre en toute hypothèse de la violation du règlement, y compris lorsque celle-ci est le fait du sous-traitant ? En d’autres termes, le responsable du traitement pourrait-il chercher à échapper à sa responsabilité en s’abritant derrière un sous-traitant qui a mal exécuté ses obligations ?

A priori, l’article 82 § 2 du règlement milite dans le sens contraire puisqu’il envisage la responsabilité civile de tout responsable de traitement ayant participé...

Appréciation de la responsabilité

1. Limitation ou exclusion de responsabilité

Le responsable de traitement ou le sous-traitant peut être tenté d’échapper à sa responsabilité envers la personne concernée, en incluant dans un contrat des clauses limitatives ou exclusives de responsabilité, clauses qui ont pour objet de limiter ou d’exclure la responsabilité. Toutefois, la protection conférée à la personne concernée relevant de l’ordre public, les clauses visant à diminuer ou exclure la responsabilité civile du responsable ou du sous-traitant devraient être considérées comme non écrites, ce qui revient à dire qu’elles ne pourront être opposées à la personne concernée.

En revanche, de telles clauses pourraient être admises pour répartir les responsabilités entre plusieurs responsables et entre les responsables et les sous-traitants. Toutefois, celles-ci ne sauraient en toute hypothèse remettre en cause la qualité de responsable du traitement par rapport aux sous-traitants. En outre, leur validité doit être appréciée à la lumière du droit commun des contrats.

2. Responsabilité, certifications et codes de conduites

L’application par un sous-traitant d’un code de conduite approuvé ou d’un mécanisme de certification approuvé peut servir à démontrer le respect des obligations incombant au responsable du traitement ou au sous-traitant (RGPD, considérant n°81). De tels mécanismes ou encore des labels, des marques en matière de protection des données doivent permettre aux personnes concernées d’évaluer rapidement le niveau de protection des données offert par les produits et services proposés (RGPD, considérant n° 100).

Dans le même sens, l’article 24 § 3 du règlement dispose que « L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou de mécanismes de certification approuvés comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des obligations incombant au responsable...