📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

RGPD : ce que le dirigeant risque personnellement

Actualités RGPD

Sommaire

Quand on parle de sanction RGPD, l’image qui vient à l’esprit du chef d’entreprise est presque toujours la même : une lourde amende de la CNIL qui frappe la société. L’entreprise est une personne morale, elle dispose d’un patrimoine, c’est elle qui encaisse le risque. Le dirigeant, lui, se croit à l’abri derrière la structure qu’il dirige.


Cette idée est compréhensible, mais elle peut conduire à sous-estimer une partie importante du risque.

La protection des données personnelles est l’un des rares domaines où le dirigeant peut être recherché personnellement, sur trois terrains distincts et cumulables : au pénal, où il risque la prison et une amende qui ne pèse pas sur la société mais sur lui, sur son propre compte en banque ; au civil, où il peut être condamné à réparer un préjudice sur son patrimoine propre ; et à l’égard de sa propre entreprise, qui peut se retourner contre lui pour faute de gestion. Une jurisprudence récente, sur laquelle nous reviendrons, est venue rappeler avec netteté que ce risque n’est pas théorique.

L’objet de cet article est de dissiper le malentendu, d’exposer concrètement ce que le dirigeant risque en propre, et de montrer ce qui peut, ou non, l’en protéger.

Une idée reçue : « c’est l’entreprise qui paie »

Il faut d’abord distinguer deux mondes que l’on confond en permanence.

Le premier est celui de la sanction administrative, celle que prononce la CNIL. Elle vise le responsable de traitement ou le sous-traitant, c’est-à-dire le plus souvent la personne morale. Elle peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. C’est cette sanction qui alimente les gros titres. Et c’est elle qui entretient l’idée que le risque s’arrête à la caisse de l’entreprise.

Le second monde est celui de la responsabilité personnelle du dirigeant. Il ne fonctionne pas du tout selon la même logique. Ici, on ne cherche plus une entreprise, on cherche une personne physique : celle qui a décidé, qui a laissé faire, ou qui n’a pas mis en place ce qu’il fallait. Ce monde est moins médiatisé, donc moins connu des dirigeants. Il n’en est pas moins réel.

L’erreur consiste à croire que ces deux mondes s’excluent. Ils se cumulent. Une même affaire peut donner lieu à une amende administrative contre la société et à des poursuites pénales contre son dirigeant. Le Code pénal l’écrit noir sur blanc : la responsabilité pénale de la personne morale n’exclut pas celle de la personne physique auteur ou complice des mêmes faits.

La responsabilité pénale : le dirigeant dans le viseur du Code pénal

C’est le terrain le plus méconnu, et le plus sévère.

Bien avant le RGPD, le législateur français avait inscrit dans le Code pénal une série d’infractions relatives aux fichiers et aux traitements de données. Ces dispositions existent toujours, elles ont été actualisées, et figurent aux articles 226-16 à 226-24 du Code pénal, sous l’intitulé « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques ».

Le niveau des peines surprend toujours les dirigeants à qui on les expose pour la première fois. La plupart de ces infractions sont punies de cinq ans d’emprisonnement et de 300 000 euros d’amende pour une personne physique. Pour une personne morale, l’amende peut être multipliée par cinq, soit 1,5 million d’euros, mais la peine d’emprisonnement, par nature, ne peut viser qu’un être humain.

Quelques exemples de ces infractions, choisis parce qu’ils correspondent à des situations ordinaires d’entreprise :

  • Collecter des données par un moyen frauduleux, déloyal ou illicite. Une collecte cachée, un consentement extorqué, un fichier constitué en contournant les règles.
  • Traiter des données sensibles sans base légale. Conserver dans un fichier, sans le consentement exprès des personnes, des informations sur la santé, les opinions politiques, religieuses, syndicales, l’origine ou l’orientation sexuelle.
  • Détourner des données de leur finalité ou les conserver au-delà de la durée prévue.
  • Divulguer à un tiers des données portant atteinte à la vie privée des personnes concernées.
  • Procéder à un traitement sans mettre en œuvre les mesures de sécurité exigées par le RGPD, notamment au titre de son article 32.

Un point mérite une attention particulière, parce qu’il fait tomber le réflexe défensif le plus répandu. Plusieurs de ces infractions sont punissables « y compris par négligence ». Autrement dit, il n’est pas nécessaire d’avoir voulu mal faire. L’absence d’intention frauduleuse ne suffit pas à s’exonérer. Un dirigeant qui n’a pas encore structuré sa gouvernance RGPD peut se retrouver exposé, même sans intention frauduleuse.

Reste une question décisive : qui est visé, l’entreprise ou son dirigeant ? La réponse de la jurisprudence pénale est constante. Le chef d’entreprise est, par principe, considéré comme responsable des infractions commises dans le cadre du fonctionnement de la société qu’il dirige, parce qu’il en détermine les moyens et les finalités. Il est celui qui « procède ou fait procéder » au traitement. Pour échapper à cette responsabilité de principe, il devra démontrer qu’il s’en est valablement déchargé. C’est tout l’enjeu de la délégation de pouvoirs, sur laquelle nous reviendrons.

Cet article pourrait aussi vous intéresser : RGPD 2018-2026 : que faut-il retenir ?

La responsabilité civile : réparer le préjudice sur son patrimoine propreLe deuxième terrain est celui de la réparation.

Le RGPD reconnaît à toute personne ayant subi un dommage du fait d’une violation un droit à réparation, en principe à l’encontre du responsable de traitement. Une fuite massive de données, un détournement de fichier client, une atteinte à la vie privée d’un salarié peuvent ainsi se traduire par des actions en dommages et intérêts. Dans la plupart des cas, c’est la société qui est attaquée et qui indemnise.

Mais le dirigeant n’est pas systématiquement protégé par l’écran de la personne morale. Le droit des sociétés connaît une notion qui perce cet écran : la faute séparable des fonctions, également appelée faute détachable. Selon une jurisprudence bien établie de la Cour de cassation, le dirigeant engage sa responsabilité personnelle envers les tiers lorsqu’il commet intentionnellement une faute d’une particulière gravité, incompatible avec l’exercice normal de ses fonctions sociales.

Transposée à la protection des données, cette grille de lecture désigne des comportements précis :

  • Le dirigeant qui organise sciemment une collecte illicite ou une revente de fichiers.
  • Celui qui, ayant été informé par son DPO, son DSI ou un prestataire d’une faille grave, ne donne pas suite à ces alertes.
  • Celui qui détourne à son profit les données de l’entreprise, par exemple en emportant un fichier client.

Dans ces hypothèses, ce n’est plus seulement la société qui paie. C’est le dirigeant, sur ses biens propres, à côté ou à la place de l’entreprise. L’écran de la personne morale ne protège que le dirigeant qui agit dans les limites normales de ses fonctions. Il ne protège pas celui qui en sort gravement.

La responsabilité envers sa propre entreprise

Le troisième terrain est souvent oublié, parce qu’il ne vient ni de la CNIL ni des personnes concernées, mais de l’intérieur.

Un dirigeant qui, par sa négligence en matière de protection des données ou de sécurité, cause un préjudice à sa société expose celle-ci à des pertes financières, à une atteinte de réputation, à une perte de marchés, voire à la sanction de la CNIL. Or la société, ou ses associés, peuvent se retourner contre lui pour faute de gestion, sur le fondement des règles du Code de commerce qui régissent la responsabilité des dirigeants envers la personne morale. La conséquence peut aller de la condamnation à indemniser la société jusqu’à la révocation.

Cet article pourrait aussi vous intéresser : Data Act : un nouveau cadre pour la gestion des données en Europe

La délégation de pouvoirs : un bouclier réel, mais conditionnel

Puisque le dirigeant est responsable par principe, comment peut-il transférer ce risque ? L’outil existe : c’est la délégation de pouvoirs. Elle permet au chef d’entreprise de confier à un collaborateur la charge d’un domaine déterminé, et avec elle, la responsabilité pénale qui s’y attache. Mais c’est un bouclier exigeant, qui ne protège qu’à des conditions strictes, et qui comporte plusieurs angles morts.

Pour être valable et produire son effet exonératoire, la délégation doit réunir trois conditions cumulatives. Le délégataire doit disposer :

  • de l’autorité nécessaire pour faire respecter les règles dans son périmètre ;
  • de la compétence technique et juridique pour accomplir la mission ;
  • des moyens suffisants, humains, techniques et budgétaires, pour l’exercer réellement.

Une délégation qui ne s’accompagne pas d’une autorité réelle et de moyens suffisants ne produit pas l’effet protecteur attendu. Les juges du fond apprécient souverainement sa réalité et sa portée.

Surtout, la délégation comporte des limites que tout dirigeant doit connaître :

  • Elle ne couvre que le domaine délégué. Ce qui reste hors du champ de la délégation reste sur les épaules du dirigeant.
  • Elle ne joue pas si le dirigeant a personnellement participé à l’infraction ou commis une faute distincte de celle du délégataire.
  • La délégation implique un devoir de surveillance : s’assurer régulièrement que la mission est effectivement exercée fait partie de la démarche.
  • En matière civile, la délégation ne déplace pas la responsabilité de la même façon qu’au pénal. Celui qui cause le dommage en répond.

Un dernier point appelle une mise en garde, car il est régulièrement mal compris. On ne peut pas déléguer ses pouvoirs au DPO. Le délégué à la protection des données conseille, alerte, contrôle et fait le lien avec la CNIL, mais il n’est pas le responsable de la conformité et n’engage pas sa responsabilité pénale à la place du dirigeant. La CNIL l’a rappelé. Désigner un DPO est indispensable, mais cette désignation ne transfère aucune responsabilité juridique vers lui. 

Conclusion

Le dirigeant qui aborde le RGPD sous l’angle des seules sanctions financières dispose d’une vision partielle du risque. La sanction administrative de la CNIL n’est qu’une des trois faces du risque. À côté d’elle, et indépendamment d’elle, le dirigeant peut être poursuivi pénalement, jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende qui frappent sa personne et non la société, y compris pour de simples négligences. Il peut être condamné à réparer un préjudice sur son patrimoine propre lorsque sa faute se détache de l’exercice normal de ses fonctions. Et il peut devoir répondre, devant sa propre entreprise, d’une gestion défaillante de la donnée.

Ce risque n’est pas une fatalité : il se pilote. Une gouvernance documentée, des délégations de pouvoirs, un DPO écouté et des arbitrages tracés ne sont pas des formalités administratives : ce sont les preuves qui, le jour venu, font la différence entre un dirigeant qui a organisé la conformité et un dirigeant qui l’a négligée. La protection des données dépasse la gestion des fichiers et des cookies. Pour le dirigeant, s’y engager sérieusement, c’est aussi se protéger lui-même.

Confiez-nous votre conformité
on saura la faire passer de 😡 à 😎
Prendre RDV maintenant
Partager le post

Articles connexes

Diogo Morais Gomes
Diogo Morais Gomes
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.