Sanctions

Data protection officer

L’indépendance du data protection officer
empêche théoriquement sa sanction…

L'indépendance du data protection officer empêche théoriquement sa sanctionRappelons que l’article 38 du Règlement européen sur la protection des données consacre l’indépendance absolue du data protection officer par rapport à son employeur, responsable du traitement (voir la page « Positionnement« ) :

« Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. »

A ce titre, on peut affirmer que le délégué à la protection des données est irresponsable pénalement, seul le responsable de traitement (en général le chef d’entreprise ou le directeur d’administration) l’est en cas de non-conformité au Règlement européen sur la protection des données.

Ceci étant dit, le DPO n’est pas protégé outre mesure en France par le Code du travail, comme le seraient des délégués du personnels ou syndicaux par exemple. Et, à ce titre, le délégué à la protection des données peut très bien être sanctionné dans l’entreprise pour des motifs généraux autres que liés à ses missions propres. Cette sanction peut naturellement aller jusqu’au licenciement.

 

 

… Mais des infractions délibérées et/ou une complicité dans la commission de ces infractions
suffi(sen)t à le rendre responsable pénalement

Mais des infractions délibérées et/ou une complicité dans la commission de ces infractions suffi(sen)t à le rendre responsable pénalementLe principe d’irresponsabilité par défaut du DPO ne peut jouer si ce dernier enfreint délibérément les règles éditées par le Règlement général ou qu’il aide le responsable de traitement pour arriver au même résultat. La définition de la complicité par le Code pénal est très claire :

« Est complice d’un crime ou d’un délit la personne qui sciemment, par aide ou assistance, en a facilité la préparation ou la consommation. » (article 121-7 du Code pénal).

La situation d’une entente entre le responsable du traitement et son délégué à la protection des données pour ne pas respecter le RGPD, dissimuler son non-respect ou prendre des mesures contraires au texte communautaire est parfaitement plausible et même à prévoir. Une complicité active avérée des deux acteurs rend d’ailleurs le DPO coupable au même niveau que son employeur (article 121-6 du Code pénal : « Sera puni comme auteur le complice de l’infraction […]. »).

 

 

Des sanctions lourdes pour des personnes physiques
en cas de non-respect des obligations relatives à la protection des données personnelles

Des sanctions lourdes pour des personnes physiques en cas de non-respect des obligations relatives à la protection des données personnellesThéoriquement, le Code pénal est objectivement sévère avec des individus ayant enfreint les règles relatives à la protection des données. Et ce même dans le cas de négligences pures et simples !

De manière exhaustive, plusieurs délits sanctionnés par 5 ans de prison (!) et 300 000 euros d’amende (articles 226-16 et suivants du Code pénal) :

collecte frauduleuse de données personnelles (dans le but de spammer par exemple, même des professionnels),
absence de mesures de sécurisation lors de traitements de données,
– traitements de données sensibles sans autorisation des personnes concernées,
– traitements de données de santé plus particulièrement sans autorisation des personnes concernées,
divulguer intentionnellement des données traitées sans autorisation des personnes concernées, etc.