Feuillet Hebdo de la Revue Fiduciaire
Les sanctions
En matière de preuve, la chambre sociale de la Cour de cassation considérait, avant l'entrée en vigueur du RGPD, que les données personnelles collectées sans déclaration à la CNIL constituaient une preuve illicite (cass. soc. 8 octobre 2014, n° 13-14991, BC V n° 230).
En outre, la CNIL pouvait, et peut toujours, prononcer des sanctions.
Le RGPD instaure des sanctions financières plus lourdes que celles qui étaient jusqu'alors applicables. Celles-ci sont fixées selon l'importance de la violation. Elles peuvent aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent du responsable du traitement (ou de son sous-traitant). La loi française reprend ces dispositions (loi 78-17 du 6 janvier 1978, art. 45 à 48 ; loi 2018-493, art. 7).
Enfin, les personnes concernées par le traitement de leurs données à caractère personnel ont le droit à un recours juridictionnel dès lors qu'elles estiment que leurs droits tirés du RGPD ont été violés.
Cela étant, le 25 mai n'a pas été une date couperet pour les sanctions. En effet, dans les premiers mois de mise en oeuvre du RGPD, la CNIL distinguera, lors de ses contrôles, deux types d'obligations s'imposant aux professionnels (conférence de presse du 10 avril 2018 de présentation du 38e rapport d'activité 2017 et des enjeux 2018).
D'une part, les principes fondamentaux de la protection des données restant pour l'essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.), ils continueront donc à faire l'objet de vérifications rigoureuses par la CNIL. D'autre part, pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (analyses d'impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d'accompagner les entreprises « vers une bonne compréhension et la mise en oeuvre opérationnelle des textes ».