En mars dernier, nous consacrions un article à l’application du RGPD aux établissements de santé (d’autres suivront), soulignant que les inspecteurs de la CNIL ne débouleraient pas par milliers dans les hôpitaux dès le 25 mai 2018, sans bonne raison. Par contre, en cas de fuite de données, non seulement la CNIL pourrait leur demander quelques explications, mais les patients (ou les salariés) risqueraient de prendre les devants sur le terrain judiciaire.
Qu’il s’agisse de données personnelles des salariés, des clients ou des usagers, les amendes administratives peuvent effectivement atteindre vingt millions d’euros ou 4 % du chiffre d’affaires annuel mondial, en sus de sanctions pénales de cinq ans d’emprisonnement pour le responsable, et un million d’euros d’amendes pour l’entreprise ou l’établissement. Mais il ne faut jamais oublier que les peines mentionnées sont un maximum, un plafond, et que le juge répressif et la CNIL tiennent compte du contexte, sans que la simple négligence puisse toutefois suffire à s’exonérer de toute responsabilité.
Les amendes administratives maximales mentionnées ci-dessus s’appliquent principalement au traitement illicite de données à caractère personnel, ou à l’absence de consentement, lorsque celui-ci est obligatoire. Ces plafonds sont abaissés de moitié en cas de « simple » non-respect du formalisme imposé par le RGPD. Par ailleurs, l’article 83 du RGPD dispose que les amendes doivent être proportionnées, tenir compte notamment de la nature, de la gravité, de la portée, de la finalité, de l’ampleur de la violation, de sa nature intentionnelle, des dommages subis par les victimes, du degré de coopération avec l’autorité de contrôle (la CNIL)... En outre, chacun n’est responsable que de ses propres fautes : si l’on sous-traite le stockage des données à un service Cloud certifié et que celui-ci décide de les vendre à des entreprises de marketing, il serait absurde d’en être tenu pour responsable. Pourtant, à l’occasion de nos formations, nous constatons régulièrement une paranoïa ambiante qui tranche avec un « jmenfoutisme » à l’égard du RGPD ou de la sécurité informatique constaté ailleurs. C’est comme si les entreprises peinaient à se situer entre le trop et le pas assez.
Nous continuerons, dans prochaines semaines, à publier des articles sur le RGPD en répondant à des questions que l’on doit se poser : le consentement des personnels est-il indispensable ? Est-il suffisant ? Qu’est une donnée à caractère personnelle? Qu’est une donnée sensible ? Comment cartographier ses données personnelles ? Comment réaliser une étude d’impact ? À quelles conditions des données peuvent-elles être transférées hors de l’Union européenne... Une autre question intéressante et même fondamentale pour le citoyen et les professionnels réside dans la possibilité de conditionner la mise à disposition d’un service à la transmission des données personnelles. Par exemple: si vous voulez bénéficier d’une mutuelle santé à bon prix, justifiez que vous êtes en bonne santé et que vous faites tout pour l’entretenir (marcher, faire du sport, manger bio...). Est-ce légal ?
Enfin, nous ne pouvons qu’insister une nouvelle fois sur les dangers résultant des mauvaises pratiques informatiques, en particulier au niveau de l’utilisateur final, qui doit être formé à l’hygiène informatique, et pas seulement pour respecter le RGPD. Nous y travaillons.
Raymond Taube
Directeur de l'Institut de Droit Pratique
Formation et Conseil sur les données personnelles, le RGPD, et l"hygiène informatique" de tous les utilisateurs