Home / Publications / Protection des données personnelles : attention à...

Protection des données personnelles : attention à la responsabilité pénale des dirigeants !

17/10/2018

Auparavant reléguée au second rang des préoccupations, le respect de la réglementation informatique et libertés est revenu sur le devant de la scène avec l’adoption du règlement général sur la protection des données personnelles (RGPD). Ce texte a accentué la responsabilisation des acteurs, renforcé les pouvoirs de la Commission nationale de l’informatique et des libertés (CNIL) et augmenté le montant des amendes encourues. Celles-ci peuvent désormais s’élever à un maximum de 20 millions d’euros ou 4 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu.

Malgré ce durcissement, la sensibilisation des directions ne semble pas toujours acquise. Pourtant, au-delà de la question du risque encouru par la société, se pose celle de la responsabilité pénale de son dirigeant. Depuis 1994, le Code pénal prévoit un principe de responsabilité de la personne morale, mettant fin à une jurisprudence établie en 1892 par laquelle la Cour de cassation estimait qu’en cas de manquement de la société qu’il représentait, la responsabilité pénale des chefs d’entreprise devait seule être engagée (Cass. crim., 30 décembre 1892, Ferrand).

Cependant, cette responsabilité de la personne morale ne doit pas être vue comme un bouclier protégeant les dirigeants les conséquences pénales des différentes infractions commises. L’article 121-2 al. 3 du Code pénal énonce en effet que "la responsabilité pénale des personnes morales n’exclut pas celle des personnes physiques auteurs ou complices des mêmes faits, sous réserve des dispositions du 4e alinéa de l’article 121-3". La poursuite et la condamnation préalable de la personne morale ne conditionne pas la possibilité de poursuivre, pour les mêmes faits, le dirigeant qui a participé à la commission de l’infraction en connaissance de cause (Cass. crim., 9 novembre 2016, n° 15-82.744).

Conditions de la responsabilité - La responsabilité d’un dirigeant peut être engagée dans deux hypothèses : lorsqu’il s’est rendu coupable de l’infraction dans le cadre de ses fonctions, ou lorsque les agissements de ses subordonnés peuvent lui être imputés. En effet, la jurisprudence estime généralement que les fautes de ces derniers n’ont été permises que par un manquement du dirigeant à son devoir de surveillance et de direction de l’entreprise et de ses salariés.

Réglementation Informatique et libertés - Le Code pénal, dans ses articles 226-16 à 226-24, sanctionne les atteintes aux droits des personnes résultant de fichiers ou de traitements informatiques. Ces infractions peuvent, par exemple, consister dans le fait de procéder à un traitement de données à caractère personnel sans mettre en œuvre certaines mesures prescrites par la loi Informatique et libertés, ou le fait de ne pas notifier à la CNIL une violation de données personnelles. Ainsi, un dirigeant qui décide de ne pas recueillir le consentement de personnes concernées pour réaliser des campagnes de marketing de masse commet une infraction et est susceptible de voir sa responsabilité engagée. Ces infractions sont punies au maximum de cinq ans d’emprisonnement et de 300 000 euros d’amende. Néanmoins, à la suite de l’adoption du RGPD, il est fort probable que les peines encourues seront renforcées. 

Il convient donc d’être extrêmement vigilant en matière de données personnelles, car certaines décisions apparemment anodines peuvent être lourdes de conséquences pour l’entreprise et son dirigeant. A titre d’exemple, le fait de collecter des données à caractère personnel de manière déloyale est punissable de cinq ans d’emprisonnement. Un dirigeant, ou l’un de ses subordonnés, qui achèterait des fichiers, sans se préoccuper de la manière dont ils ont été obtenus, pourrait ainsi se rendre coupable du délit de recel.

Ces infractions ne visent pas spécifiquement le responsable du traitement. Elles incriminent uniquement le fait de procéder à un traitement, de conserver des données ou de les transférer sans respecter les prescriptions légales. Toute personne commettant ces infractions pourra faire l’objet de poursuites engagées par le procureur de la République, qui en informera la CNIL.

L’enjeu de la preuve – le principe d’accountability - La responsabilisation des différents acteurs, nouvelle obligation phare imposée par le RGPD, conduit à une documentation de tous les éléments permettant de démontrer la conformité à la réglementation. Si la direction prend une décision contraire aux recommandations de son data protection officer, il sera nécessaire d’en indiquer les raisons. Cela permettra de tracer les étapes de la prise de décision, et fait partie des éléments de preuves à fournir lors d’une procédure.

Il pourra également être utile de prévoir un mécanisme de délégation de pouvoir au profit des responsables de service amenés à collecter et à traiter habituellement des données à caractère personnel.

Source
Lettre Propriétés intellectuelles | Octobre 2018
Lire la suite

Auteurs

Portrait deAnne-Laure Villedieu
Anne-Laure Villedieu
Associée
Paris
Eleonore Favero