Vers une exonération de sanctions financières en cas de violation du RGPD

Par Pablo Hurlin-Sanchez

Publié le

Les futures obligations des collectivités en matière de protection des données personnelles auront-elles des conséquences financières ? Le projet de loi examiné le 20 mars par la commission mixte pourrait les exonérer de sanctions financières en cas de non-respect du règlement européen.

Le 25 mai 2018, les collectivités devront être en mesure de démontrer qu’elles collectent et traitent les données personnelles de leurs usagers en respectant leurs droits. Les finalités du traitement devront être définies en amont de la collecte afin que celle-ci ne porte que sur les données nécessaires aux finalités ainsi définies. La minimisation de la collecte des données s’opère également dans le temps puisque les données personnelles ne pourront être conservées plus longtemps que le temps nécessaire à leur traitement. Le traitement des données devra être licite et légitime.

Le règlement européen prévoit qu’une amende administrative peut être prononcée en cas de violation des nouvelles obligations. Appréciées matériellement par la CNIL, les violations peuvent conduire à une amende administrative d’un montant maximum de vingt millions d’euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent.

Le projet de loi prévoit, en son article 6 modifié par amendement, que cette sanction ne pourra être appliquée à l’État, aux collectivités territoriales et à leurs groupements. Les intercommunalités, qu’il s’agisse de communautés, de métropole ou de syndicats, pourraient à la promulgation du texte échapper à une telle responsabilité. En revanche, les personnes publiques pourront notamment faire l’objet par la CNIL de rappels à l’ordre, d’un retrait des certifications ou d’une suspension du traitement.

Elles pourront également voir leur responsabilité être engagée et être condamnées par le juge administratif à la réparation intégrale des préjudices subis en cas de violation du règlement ayant causé des dommages.

Sources :

  • Projet de loi relatif à la protection des données personnelles, art. 6
  • Règlement n°2016/679 du 27 avril 2016, dit règlement général de la protection des données personnelles, art. 82 et 83