Depuis le 25 Mai 2018, chaque entreprise doit mettre en place des procédures obligatoires afin de démontrer leur responsabilisation en matière de protection des données personnelles et de la vie privée. La mise en conformité RGPD de l’entreprise ou l’organisation pose de nombreuses questions aux Directions Générales et dirigeants. Cette mise en conformité, qui est un véritable levier de consolidation du patrimoine informationnel de l’entreprise et vecteur de différenciation concurrentielle, est très souvent perçue comme une contrainte et une source de coûts. Néanmoins, la responsabilité des dirigeants est engagée et le concept du « pas vu pas pris » n’est pas sans conséquences.

La responsabilité pénale des dirigeants

L’autorité de contrôle française, la CNIL, est en capacité de prononcer une sanction financière allant jusqu’à 4% du chiffre d’affaire annuel global. Ceci est potentiellement associé à une communication publique qui est un réel préjudice sur image pour l’entreprise et impacte les relations avec les tiers, clients, partenaires, collaborateurs. L’entreprise est donc la première victime de sa non-conformité au RGPD, néanmoins ces sanctions peuvent être couplées par des condamnations pénales prévues aux articles 226-16 et suiv. et R 625-10 et suiv. du Code pénal qui visent, dans certaines hypothèses, les dirigeants à titre personnel.

La responsabilité du dirigeant peut être engagée selon l’Article 121-2 du Code pénal :
Les personnes morales, à l’exclusion de l’Etat, sont responsables pénalement, selon les distinctions des articles 121-4 à 121-7, des infractions commises, pour leur compte, par leurs organes ou représentants.
Toutefois, les collectivités territoriales et leurs groupements ne sont responsables pénalement que des infractions commises dans l’exercice d’activités susceptibles de faire l’objet de conventions de délégation de service public.
La responsabilité pénale des personnes morales n’exclut pas celle des personnes physiques auteurs ou complices des mêmes faits, sous réserve [de la force majeure].

Ainsi le dirigeant peut être impacté selon les cas suivants :

  • La faute personnelle où le dirigeant se trouve être lui-même l’auteur des faits reprochés
  • La faute des préposés lorsqu’une infraction pénale non intentionnelle est commise par un salarié de l’entreprise. On présumera alors que le dirigeant a été négligeant dans son devoir de supervision des salariés, même s’il s’agit ici d’une présomption simple qui pourra être renversée en rapportant la preuve contraire.
  • La complicité au titre de l’article 121-7 du Code pénal.
  • Le recel au titre de l’article 321-1 du Code pénal.

La sanction pour le dirigeant peut atteindre deux mois à dix ans d’emprisonnement (article 131-4 du Code pénal) et/ou à une peine d’amende d’un minimum de 3.750 euros.
Peuvent s’ajouter des mesures complémentaires comme l’interdiction pour une durée de cinq ans d’émettre certains chèques et d’utiliser des cartes de paiement, l’interdiction pour une durée de cinq au plus d’exercer une activité professionnelle ou sociale, l’interdiction, pour une durée de cinq ans d’exercer une profession commerciale ou industrielle, de diriger, d’administrer, de gérer ou de contrôler à un titre quelconque, directement ou indirectement, pour son propre compte ou pour le compte d’autrui, une entreprise commerciale ou industrielle ou une société commerciale (article 131-6 du Code pénal).
Si un traitement de données à caractère personnel « illicite » est effectué pour des finalités commerciales, la responsabilité du dirigeant peut être facilement engagée. Rappelons que la donnée personnelle est présente en masse dans la quasi-totalité de nos entreprises aujourd’hui, pour ne pas dire toutes nos entreprises.

Prenons pour exemple l’article 226-18-1 qui prévoit en cas de traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne (lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes) une sanction à cinq ans d’emprisonnement et 300 000 euros d’amende.

La non-conformité au RGPD

Pour résumé, la non-conformité au RGPD :

  • Expose l’entreprise à des sanctions financières et préjudices sur image potentiellement à fort impact
  • Expose le dirigeant a des sanctions financières et pénales
  • Positionne l’entreprise dans une situation de défiance face à ses clients et partenaires.
  • Positionne le dirigeant dans une situation de défiance face aux investisseurs et collaborateurs.

Abordez sereinement et simplement votre conformité RGPD

Il n’est donc pas juste d’agir sous la pression ou l’attente de la sanction mais juste d’appliquer la conformité RGPD afin de valoriser le patrimoine informationnel de l’entreprise, son image de marque, et sa relation de confiance avec ses tiers, clients, prospects, partenaires, collaborateurs. Pour faciliter et accélérer la conformité RGPD, l’entreprise peut s’appuyer sur un logiciel RGPD.

Grâce à la plateforme Mission RGPD, l’entreprise met en place simplement et rapidement les procédures obligatoires relatives au Règlement Général sur la Protection des Données.
L’entreprise est également en capacité, avec la plateforme de conformité Mission RGPD, de démontrer facilement sa conformité et ainsi d’aborder sereinement un contrôle CNIL.