Mais la palette des sanctions ne s’arrête pas là car la Loi n’a pas abrogé les sanctions pénales qui peuvent être appliquées par les tribunaux de l’ordre judiciaire. Il y a donc un cumul possible de sanctions et il n’est plus rare qu’une entreprise sanctionnée par la Cnil se voit ensuite poursuivie au pénal. Les articles 226-16 à 226-24 du code pénal prévoient jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende et même 1,2 million d’euros d’amende pour les personnes morales. Le propre de l’action pénale est justement de casser la “coquille” société pour atteindre les personnes physiques. Le plus souvent, les actions concerneront le représentant légal, soit le Gérant ou Président, sauf si celui-ci a délégué ses pouvoirs à un directeur, comme le DSI. Ces sanctions pénales sont, notamment, le fait de “y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel” sans déclaration ou autorisation préalable de la Cnil ou “le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite”, soit le plus souvent sans l’accord préalable de la personne concernée. Il existe une obligation spécifique de sécurité du système d’information. L’article 34 de la Loi de 1978 prévoit que le responsable du traitement est tenu de prendre “toutes précautions utiles” pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. L’article L 226-17 du code pénal dispose que : “le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites (…) est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.”
Y compris pénales !
Sommaire du dossier