GDPR. Le gros bâton des sanctions

Pratique
Par · 24/02/2017

Le texte de la réglementation fixe les plafonds maxima de sanction: “de 2 à 4% du chiffre d’affaires ou de 10 à 20 millions d’euros.”

Mais il s’agit bien de sanctions maximales. Quelle gradation sera-t-elle instaurée? Selon quels critères? C’est là  l’une des tâches du WP (Working Party) Article 29, comité consultatif qui est notamment chargé de rédiger les modalités pratiques d’application de la réglementation.

Il n’en demeure pas moins que les sanctions risquent d’être lourdes et appliquées plus systématiquement, par les autorités vie privée. Là où, hier, elles n’avaient pas de réelle autorité, devant passer le relais au Parquet et aux tribunaux, elles pourront désormais sévir directement  par le biais d’amendes administratives.

“Il vaut dès lors mieux se poser d’emblée les bonnes questions et se préparer”, estime Philippe Laurent, avocat auprès du cabinet Marx Van Ranst Vermeersch & Partners (MVVP).

Les moyens de l’action

Que risquent vraiment les sociétés qui seraient prises en défaut de conformité après l’entrée en vigueur de la réglementation? Les autorités seront-elles “compréhensives” dans un premier temps? Rien ne permet réellement de le dire.

Pour ce qui est de la Belgique, la rigueur de leur réaction pourrait tout simplement être déterminée par l’aptitude de la Commission de Protection de la Vie Privée à dédier suffisamment de ressources. Vu la maigreur de ses effectifs, peut-être se contentera-t-elle d’entrer en action et de sévir lorsqu’une société prise en défaut aura fait l’objet d’un piratage, vol ou détournement de données, etc.

Aux yeux de certains, on imagine mal que la Commission puisse agir, dans son périmètre actuel, de manière proactive et partir à la chasse des contrevenants par voie d’audit ou de sondage sur le terrain…

Mais cet avis n’est pas partagé par tout le monde. Ainsi Philippe Laurent estime que la Commission Vie privée pourrait fort bien vouloir faire très tôt la chasse aux infractions afin de “faire un exemple”.

Quant à savoir s’il ne s’agira que d’un coup de semonce, histoire de faire peur à tout le monde, sans que la Commission puisse continuer au même rythme dans cette voie, on en revient à la question des moyens dont elle dispose. Depuis longtemps, elle se plaint d’un manque de ressources et les nouvelles compétences qui lui échoient ne font qu’alourdir la barque. Même si son budget devait être revu à la hausse – ce qui n’est en rien garanti -, il n’est pas certain qu’il suffise…

Philippe Laurent (MVVP): “Hier, les sanctions étaient moins importantes et n’étaient appliquées qu’en cas d’infraction réellement lourde. La Commission Vie privée ne pouvait appliquer de véritables sanctions juridiques, passant la main au Parquet et aux tribunaux. Désormais, la Commission Vie privée pourra appliquer des sanctions administratives significatives.”

Y aura-t-il “proportionnalité” dans les sanctions en fonction de la taille de l’entreprise prise en faute?

Certains estiment en effet que les Autorités de contrôle se montreront sans doute plus sévères avec de grands groupes ou des acteurs ayant pignon sur rue, notamment les “GAFA”, qu’elles ne le seront vis-à-vis des PME pour qui toute application stricte des sanctions pourrait signifier de mettre la clé sous la porte…

Qui appliquera les sanctions?

C’est l’apanage de l’Autorité de Protection des Données (APD) de chaque pays. Autrement dit, en Belgique, la Commission de Protection de la Vie Privée.

La réglementation s’appliquant par-delà les frontières, une plainte ou un incident touchant des données personnelles d’un individu non belge pourrait viser une société belge. Auquel cas, l’APD du pays concerné pourra sanctionner la société belge en collaboration avec la Commission de Protection de la Vie Privée.

En cas de désaccord entre les autorités de contrôle concernées, certains estiment qu’une “super-APD” européenne sera amenée à trancher.

Autre cas de figure: un problème qui impacte une multinationale dont les données sont impactées dans plusieurs pays. Plusieurs autorités de contrôle sont alors, là aussi, concernées. Dans ce cas, c’est l’autorité du pays où est basé l’établissement principal de la multinationale qui a la main. Mais les autres autorités ont l’obligation de collaborer avec elle.