Facilités des recours et lourdeurs des sanctions
Extrait de l’ouvrage de Bruno DUMAY : RGPD DÉCRYPTAGE – Pour les Dirigeants, les Directions Stratégiques et les collaborateurs des entreprises et des organisations – Préface de Gaëlle MONTEILLER
Malgré son intelligence et sa cohérence, malgré l’unité de tous les pays de l’Union Européenne pour faire connaître et valoir ses dispositions, le RGPD, comme tout règlement, manquerait de crédibilité, donc d’efficacité, s’il n’était assorti de possibilités de sanctions significatives en cas de non-respect par celles et ceux qui sont censés l’appliquer.
Fidèles à la prééminence qu’ils accordent aux individus sur les organismes, les rédacteurs ont prévu des voies de recours, simples à mettre en œuvre, susceptibles de déclencher des condamnations et des sanctions en cas de faute avérée. L’article 77 est limpide à cet égard : « … toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle… si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement ». Et si la décision de l’autorité de contrôle, qui a trois mois pour traiter la demande, ne satisfait pas la personne concernée, celle-ci peut alors former un recours juridictionnel (art. 78).
Mais l’action peut aussi être intentée directement contre le responsable du traitement. Le titre de l’article 79 ne laisse aucune ambiguïté à cet égard : « Droit à un recours juridictionnel effectif contre un responsable de traitement ou un sous-traitant ». L’alinéa 1 précise : « … toute personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés… ».
On voit donc qu’il est très facile de déclencher une action, administrative d’abord, éventuellement judiciaire ensuite, contre une entité et/ou une personne qui traite les données. Il suffit qu’une personne concernée « considère » que le traitement n’a pas été conforme pour agir. Elle peut agir seule ou se faire représenter par « un organisme, une organisation ou une association à but non lucratif… dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées… » (art. 80-1). Mieux encore, « les États membres peuvent prévoir que tout organisme, organisation ou association, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle… » (art. 80-2). Autrement dit, le RGPD laisse aux États membres la possibilité de donner à une structure spécialisée le droit de déclencher elle-même une procédure, quand bien même elle n’aurait pas été saisie par un particulier.
Ces dispositions laissent aussi la porte ouverte aux actions de groupe, déjà introduites en France par la loi Hamon de 2014 puis par la loi du 18 novembre 2016, dite « de modernisation de la justice du XXIe siècle ». Cette dernière loi ne permet d’obtenir que la cessation de l’infraction. Le RGPD ouvre, lui, la possibilité à une réparation, même si celle-ci apparaît davantage individuelle que collective.
En effet, après le droit de recours, le droit à la réparation est à son tour instauré : « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi » (art. 82-1).
Qui va payer cette réparation ? Les choses sont claires : « Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement » (art. 82-2). L’un ou l’autre peuvent tout de même démontrer l’absence de fautes : « Un responsable de traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable » (art. 82-3).
Lorsque plusieurs acteurs sont impliqués, « chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective » (art. 82-4). Ce qui n’empêche pas ensuite les compensations : « Lorsqu’un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitant ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage » (art. 82-5).
Les responsabilités étant établies, comment sanctionner ? C’est l’autorité de contrôle qui a tous les pouvoirs nécessaires pour rappeler à l’ordre un responsable du traitement ou un sous-traitant, notamment imposer une limitation ou une interdiction du traitement, ordonner la rectification ou l’effacement de données à caractère personnel, suspendre les transferts, retirer une certification et imposer une amende administrative (art. 58-2).
L’article 83 prévoit les conditions des amendes administratives, qui doivent être « proportionnées et dissuasives » (art. 83-1). Les 11 critères énumérés au paragraphe 2 de l’article pour « décider s’il y a lieu d’imposer une amende administrative » montrent que chaque sanction sera déterminée au cas par cas, en tenant compte bien entendu du « fait que la violation a été commise délibérément ou par négligence ». Les paragraphes 4 et 5 listent les différentes violations possibles et déterminent le montant maximal des amendes ; jusqu’à 20 000 000 d’euros ou, pour une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Autant dire que des amendes d’un tel montant peuvent sérieusement mettre à mal l’équilibre d’une entreprise (pour mémoire, les sanctions maximales appliquées par la CNIL ces dernières années se montaient à 150 000 €).
Quant aux réparations qui pourraient être demandées, et obtenues, en cas de recours en justice, soit contre la décision de l’autorité de contrôle soit contre le responsable du traitement ou le sous-traitant, on peut penser qu’elles seront elles aussi « proportionnées et dissuasives » (ces deux mots accolés ont l’air d’un oxymore, mais visiblement ils ne le sont pas dans l’esprit du RGPD).
L’autorité de contrôle est donc toute puissante, ce qui fait, entre parenthèses, de ce type d’organismes, des institutions cumulant trois pouvoirs – législatif (même si elles ne font que suggérer la loi), exécutif, judiciaire – habituellement séparés dans les grandes démocraties. Le seul non-respect d’une injonction émise par l’autorité de contrôle en vertu de l’article 58-2 peut valoir l’amende maximale (art. 83-5). Dans le cas de traitements transnationaux, la sanction sera adoptée conjointement par les autorités de contrôle concernées.
D’autres sanctions, « en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83 », peuvent être décidées par les États membres (art. 84-1).
Rappelons encore une fois le principe de base : toute personne doit conserver la propriété et la maîtrise de ses données personnelles. Tout organisme qui violera ce principe pourra être sanctionné.