Les principales sanctions en cas d'atteinte aux données

Le 21 janvier 2019, la Commission nationale de l’informatique et des libertés (Cnil) a prononcé une sanction record de 50 millions d’euros à l’encontre de la société Google pour non-respect des dispositions du RGPD. Dans le contexte actuel, les sanctions sont d’autant plus élevées que les risques pour la confidentialité, l’intégrité et la disponibilité des données sont importants.

LES SANCTIONS LIEES A LA DIVULGATION DES DONNEES

Violation du secret professionnel

Dans certains secteurs d’activité telles que les secteurs bancaire et médical, le secret constitue une obligation pour le professionnel et, de manière générale, la violation de ce secret est punie d’un an d’emprisonnement et de 15 000 euros d’amende[i] auxquelles s’ajoutent des sanctions civiles.

Violation du secret des affaires

La loi relative à la protection du secret des affaires, adoptée le 21 juin 2018, apporte un cadre légal permettant la protection d’informations souvent stratégiques pour une entreprise et qui n’étaient jusqu’alors pas protégées.
L’obtention, l’utilisation et/ou la divulgation illicites d’un secret d’affaires permet au détenteur du secret de solliciter des mesures, procédures et réparations prévues par la loi. Sur le fondement de la responsabilité civile, le détenteur peut notamment solliciter l’octroi de dommages et intérêts en réparation du préjudice subi[ii].
Outre le cadre légal, la signature d’un accord de confidentialité en amont des négociations et/ou l’insertion d’une clause de confidentialité dans les contrats commerciaux permettent de se premunir contre la divulgation d’informations. En cas de violation de cet accord, la partie lésée pourra engager la responsabilité contractuelle de la partie défaillante et/ou, le cas échéant, enclencher la clause pénale prévue au sein dudit accord afin d’obtenir réparation.

Violation du secret des correspondances

Le secret des correspondances est un principe qui trouve son application dans différents textes tels que l’article L801-1 du code de la sécurité intérieure qui précise que « le secret des correspondances est garanti par la loi ». Sa violation est punie d’un an d’emprisonnement et de 45 000 euros d’amende[iii].

LES SANCTIONS LIEES AU NON-RESPECT DU RGPD

Non-respect des exigences de sécurité

Du fait de la nature et du caractère sensible de certaines données, le législateur a mis à la charge des professionnels une obligation de sécurité. Ainsi, l’article 32 du RGPD[iv] et l’article 34 de la loi « Informatique et libertés »[v] précisent que le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. L’absence de déploiement de ces mesures de sécurité est punie de cinq ans d’emprisonnement et de 300 000 euros d’amende[vi].
Parallèlement, les violations des dispositions concernant la sécurité des données font l’objet d’une amende administrative pouvant s’élever jusqu’à 10 millions d’euros ou jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu[vii]. C’est, dans ce contexte, que les sociétés Dailymotion[viii], Bouygues Telecom[ix] et Uber[x] ont été sanctionnées, en août et décembre 2018, pour manquement à la sécurité des données de leurs clients.

Non-conformité aux autres dispositions du RGPD

La non-conformité aux autres dispositions du RGPD telles que celles relatives à l’obligation de notification des violations de sécurité, à la limitation de la durée de conservation des données, au transfert de données hors de l’Union européenne, est punie de cinq ans d’emprisonnement et de 300 000 euros d’amende[xi]. Le non-respect des dispositions relatives aux droits d’information, d’accès, de rectification et d’effacement des données fait l’objet de contraventions de 5e classe[xii].
Parallèlement, hormis certains cas listés, les violations des autres dispositions du RGPD font l’objet d’amendes administratives pouvant s’élever jusqu’à 20 millions d’euros et jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu[xiii]. A ce titre, la sanction prononcée par la Cnil à l’encontre de la société Google résultait d’un manque de transparence, d’information et de consentement valable pour la personnalisation de la publicité[xiv].

LES SANCTIONS LIEES A DES ATTEINTES AUX SYSTEMES D’INFORMATION

La loi Godfrain du 5 janvier 1988[xv] est la première loi française à introduire la notion de système de traitement automatisé de données (STAD) et à incriminer les actes de piratage informatique au sein du code pénal.
Les infractions et les sanctions prévues par cette loi sont les suivantes :

Schéma des sanctions et infractions prévues par la loi Godfrin

Schéma des sanctions et des infractions prévues par la loi Godfrin

 

[i] Article 226-13 du code pénal.
[ii] Chapitre II de la loi n° 2018-
670 du 30 juillet 2018 relative à la protection du secret des affaires.
[iii] Article 226-15 du code pénal.
[iv] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 32.
[v] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, art. 34.
[vi] Article 226-17 du code pénal.
[vii] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 83.
[viii] Cnil.fr, DAILYMOTION : sanction de 50.000€ pour une atteinte à la sécurité des données des utilisateurs, 2 août 2018 : https://www.cnil.fr/fr/dailymotion-sanction-de-50000eu-pour-une-atteinte-la-securite-des-donnees-des-utilisateurs.
[ix] Cnil.fr, BOUYGUES TELECOM : sanction pécuniaire pour manquement à la sécurité des données clients, 27 décembre 2018 : https://www.cnil.fr/fr/bouygues-telecom-sanction-pecuniaire-pour-manquement-la-securite-des-donnees-clients.
[x] Cnil.fr, UBER : sanction de 400.000€ pour une atteinte à la sécurité des données des utilisateurs, 20 décembre 2018 : https://www.cnil.fr/fr/uber-sanction-de-400000eu-pour-une-atteinte-la-securite-des-donnees-des-utilisateurs.
[xi] Articles 226-16 à 226-24 du code pénal.
[xii] Articles R625-10 à R625-13 du code pénal.
[xiii] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 83.
[xiv] Cnil.fr, La formation restreinte de la CNIL prononce une sanction de 50 millions d’euros à l’encontre de la société GOOGLE, 21 janvier 2019 : https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la.
[xv] Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique.