La reponsabilité pénale
des dirigeants

Depuis le 25 Mai 2018, chaque entreprise doit mettre en place des procédures obligatoires afin de démontrer leur responsabilisation en matière de protection des données personnelles et de la vie privée. La mise en conformité au RGPD de l’entreprise (ou de l’organisation concernée) soulève de nombreuses questions aux Directions Générales et aux dirigeants. Cette mise en conformité, véritable levier de consolidation du patrimoine informationnel de l’entreprise et vecteur de différenciation concurrentielle, est très souvent perçue comme une contrainte et une source de coûts. Néanmoins, la responsabilité des dirigeants est engagée et le concept du « pas vu pas pris » n’est pas sans conséquence.

L’autorité de contrôle française, la CNIL, est en capacité de prononcer une sanction financière pouvant atteindre jusqu’à 4% du chiffre d’affaires annuel global. Ceci est potentiellement associé à une communication publique qui est un réel préjudice sur image pour l’entreprise et impacte les relations avec les tiers, clients, partenaires, collaborateurs.

L’entreprise est donc la première victime de sa non-conformité au RGPD, néanmoins ces amendes  administratives peuvent être cumulées avec des condamnations pénales prévues aux articles 226-16 et suiv. et R 625-10 et suiv. du Code pénal lesquelles visent, dans certaines hypothèses, les dirigeants à titre personnel.

La responsabilité du dirigeant peut être engagée selon l’Article 121-2 du Code pénal :
Les personnes morales, à l’exclusion de l’Etat, sont responsables pénalement, selon les distinctions des articles 121-4 à 121-7, des infractions commises, pour leur compte, par leurs organes ou représentants.
Toutefois, les collectivités territoriales et leurs groupements ne sont responsables pénalement que des infractions commises dans l’exercice d’activités susceptibles de faire l’objet de conventions de délégation de service public.
La responsabilité pénale des personnes morales n’exclut pas celle des personnes physiques auteurs ou complices des mêmes faits, sous réserve [de la force majeure].

Ainsi le dirigeant peut être impacté dans les hypothèses suivantes :

  • La faute personnelle lorsque le dirigeant se trouve être lui-même l’auteur des faits reprochés.
  • La faute des préposés lorsqu’une infraction pénale non intentionnelle est commise par un salarié de l’entreprise. On présumera alors que le dirigeant a été négligent dans son devoir de supervision des salariés, même s’il s’agit ici d’une présomption simple qui pourra être renversée en rapportant la preuve contraire.
  • La complicité au titre de l’article 121-7 du Code pénal.
  • Le recel au titre de l’article 321-1 du Code pénal.

La sanction pour le dirigeant peut être comprise entre deux mois et dix ans d’emprisonnement (article 131-4 du Code pénal) associée ou non à une peine d’amende d’un minimum de 3.750 euros.
Peuvent s’ajouter des mesures complémentaires comme l’interdiction pour une durée de cinq ans d’émettre certains chèques et d’utiliser des cartes de paiement, l’interdiction pour une durée de cinq au plus d’exercer une activité professionnelle ou sociale, l’interdiction, pour une durée de cinq ans d’exercer une profession commerciale ou industrielle, de diriger, d’administrer, de gérer ou de contrôler à un titre quelconque, directement ou indirectement, pour son propre compte ou pour le compte d’autrui, une entreprise commerciale ou industrielle ou une société commerciale (article 131-6 du Code pénal).
Si un traitement de données à caractère personnel « illicite » est effectué pour des finalités commerciales, la responsabilité du dirigeant peut être facilement engagée. Rappelons que la donnée personnelle est présente en masse dans la quasi-totalité de nos entreprises aujourd’hui, pour ne pas dire toutes nos entreprises.

Prenons pour exemple l’article 226-18-1 qui prévoit en cas de traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne (lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes) une sanction à cinq ans d’emprisonnement et 300 000 euros d’amende.

La non-conformité
au RGPD

Pour résumé, la non-conformité au RGPD :

  • Expose le cabinet à des sanctions financières et financières et à un préjudice d’image potentiellement à fort impact,
  • Expose le dirigeant a des sanctions financières et pénales,
  • Positionne le cabinet dans une situation de défiance face à ses clients et partenaires,
  • Positionne le dirigeant dans une situation de défiance face aux investisseurs et à ses collaborateurs.

Gérez votre conformité RGPD
en toute simplicité et sérénité

Il ne s’agit pas seulement d’agir sous la pression ou l’attente de la sanction mais appliquer la conformité RGPD c’est également valoriser le patrimoine informationnel de l’entreprise, son image de marque, et la relation de confiance avec les tiers, clients, prospects, partenaires, collaborateurs. Pour faciliter et accélérer la conformité RGPD, l’entreprise peut s’appuyer sur un logiciel RGPD.

Grâce au logiciel Mission RGPD, l’entreprise met en place simplement et rapidement les procédures obligatoires relatives au Règlement Général sur la Protection des Données.
L’entreprise est également en capacité, avec la plateforme de conformité Mission RGPD, de démontrer facilement sa conformité et ainsi d’aborder sereinement un contrôle CNIL.

Votre diagnostic RGPD en 5 min 🚀

Êtes-vous sûr de votre conformité ? 

Pour savoir où vous en êtes, faites votre diagnostic gratuit en ligne, en répondant au questionnaire, pour obtenir votre niveau de maturité RGPD et les recommandations de nos experts.