GDPR : l'amende n'est pas votre plus grand risque

Lorsque des professionnels parlent du GDPR (ou RGPD en français), le premier élément qu’ils évoquent est l’amende. En Suisse en particulier, cette amende fait peur, car la législation actuelle sur la protection des données ne permet pas aux autorités, notamment le Préposé fédéral à la protection des données, d’infliger des sanctions administratives. Cette amende est d’ailleurs devenue l’argument de vente principal pour des solutions logicielles censées “mettre une société en conformité avec le GDPR” (elles sont d’ailleurs à éviter). On se sert de l’amende comme d’un épouvantail alors qu’elle n’est pas ce qu’une société suisse ou étrangère devrait craindre le plus.

Quand infliger une amende ?

Le GDPR prévoit plusieurs types de sanctions, dont l’amende administrative (infligée par une autorité administrative, comme la CNIL française). Ces sanctions sont prévues dans le but de renforcer l’application du GDPR et seront infligées “pour toute violation […], en complément ou à la place des mesures appropriées imposées par l’autorité”. Le considérant 148 du GDPR indique en outre ceci :

En cas de violation mineure ou si l’amende susceptible d’être imposée constitue une charge disproportionnée pour une personne physique, un rappel à l’ordre peut être adressé plutôt qu’une amende. Il convient toutefois de tenir dûment compte de la nature, de la gravité et de la durée de la violation, du caractère intentionnel de la violation et des mesures prises pour atténuer le dommage subi, du degré de responsabilité ou de toute violation pertinente commise précédemment, de la manière dont l’autorité de contrôle a eu connaissance de la violation, du respect des mesures ordonnées à l’encontre du responsable du traitement ou du sous-traitant, de l’application d’un code de conduite, et de toute autre circonstance aggravante ou atténuante.

En d’autres termes, l’amende ne devrait pas être la première sanction qui serait infligée, à moins de violer grossièrement et de manière intentionnelle le droit de la protection données, de tenter de cacher ces violations aux autorités, de ne rien faire pour y remédier, etc. Un autre indice est la place de l’amende dans le catalogue de sanctions de l’art. 58 GDPR : elle se trouve en avant-dernière position, après huit autres sanctions. Cela laisse supposer une gradation des sanctions en terme de sévérité : plus la violation est grave, plus la sanction sera lourde.

Les autres sanctions

Le catalogue est fourni et comprend une dizaine de sanctions. Le GDPR ne parle d’ailleurs pas de “sanctions” mais de mesures correctrices. Dans l’ordre, il y a :

1. l’avertissement que les opérations de traitement envisagées sont susceptibles de violer les dispositions du GDPR ;
2. un rappel à l’ordre lorsque les opérations de traitement ont entraîné une violation des dispositions du GDPR ;
3. l’ordre de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits (par ex. droit d’accès, droit à la portabilité) ;
4. l’ordre de mettre les opérations de traitement en conformité ;
5. l’ordre de communiquer à la personne concernée une violation de données personnelles ;
6. l’imposition d’une limitation temporaire ou définitive, y compris une interdiction, du traitement ;
7. l’ordre de rectifier ou effacer des données personnelles ou de limiter un traitement (en application des articles 16, 17 et 18) et de notifier ces mesures aux destinataires auxquels les données personnelles ont été divulguées (en application de l’article 17, paragraphe 2, et de l’article 19) ;
8. le retrait d’une certification ou l’ordre donnée à l’organisme de certification de retirer une certification délivrée en application des articles 42 et 43, ou l’ordre donné à l’organisme de certification de ne pas délivrer de certification si les exigences applicables à la certification ne sont pas ou plus satisfaites ;
9. l’amende ;
10. l’ordre de suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale.

Quel est le plus grand risque ?

Une violation des normes de protection des données peut causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu’une perte de contrôle sur leurs données personnelles ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important (GDPR, consid. 85).

Quant aux entreprises, une amende est certes susceptible de poser un sérieux problème financier, notamment à une PME, en particulier si l’amende infligée est lourde. Mais il faut rappeler que l’entreprise a l’obligation de notifier aux autorités de protection des données les violations qui engendrent un risque pour les droits et libertés des personnes physiques, dans les 72 heures après qu’elle en a eu connaissance. De plus, le responsable du traitement devra informer dans les meilleurs délais les personnes concernées au sujet d’une violation, lorsque cette violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés afin qu’elles puissent prendre les précautions qui s’imposent.

Ainsi, à mon avis, le plus grand risque que court une entreprise est un dégât d’image. Le droit suisse n’impose pas aujourd’hui un devoir d’information des autorités ou des personnes concernées en cas de violation de données personnelles. Mais le droit européen imposera une telle information, à tout le moins pour les personnes se trouvant sur le territoire de l’UE. Rien n’empêchera alors les personnes concernées de prévenir les médias. La perte de clients et une mauvaise réputation pourraient être beaucoup plus problématiques, voire fatales, à une entreprise.