226-16. Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise jusqu'à 4 % du chiffre d'affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
Une amende administrative ne pouvant excéder 10 millions d'euros ou 2% du chiffre d'affaire annuel mondial de la société. Pour les manquements les plus graves, ce montant peut s'élever jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial.
Les sanctions pénales
En France, l'article 226-21 du code pénal prévoit une sanction en cas de détournement de la finalité lors du traitement des données personnelles pouvant aller jusqu'à 5 ans d'emprisonnement et 300 000 euros d'amende.
Les sanctions pénales sanctionnent les infractions pénales. Elles sont décidées par le juge pénal et peuvent prendre différentes formes. L'amende et l'incarcération sont les deux sanctions principales pour une infraction. Certaines sanctions pénales sont inscrites au casier judiciaire, d'autres pas.
Infraction pénale : définition juridique
Une infraction pénale désigne un acte, une omission ou un comportement interdit par la loi et passible de sanctions pénales (amende, prison, peines d'interdiction, travaux d'intérêt général, etc.). L'infraction pénale n'est pas définie en tant que tel par le Code pénal.
Sanctions. Selon la RévLPD, les personnes physiques peuvent désormais être condamnées à une amende allant jusqu'à CHF 250'000 (contre CHF 10'000 auparavant), notamment en cas de violation intentionnelle des obligations d'information ou de diligence.
Les risques liés à la donnée sont essentiellement des risques d'intrusion. D'intrusion dans sa vie intime, dans sa vie personnelle, dans sa vie privée numérique. Quand on navigue sur le web, on laisse beaucoup d'informations, on laisse plein de traces - quelques fois sans s'en rendre véritablement compte.
En cas de manquement aux obligations du RGPD dans le cadre de votre activité professionnelle, les risques encourus sont multiples : Une amende administrative, en cas d'action de la CNIL ou d'une autorité administrative, pouvant aller jusqu'à 4 % de votre chiffre d'affaires annuel global, ou 20 millions d'euros.
La contravention est la moins grave des 3 infractions, le délit est l'infraction intermédiaire et le crime est l'infraction la plus grave.
Une troisième sanction civile peut être l'exécution forcée. La force publique est employée pour contraindre la personne qui a violé la règle de droit à s'exécuter (saisies, confiscations, expulsions). La règle de droit est dite générale car elle s'applique à tous les citoyens.
La notion de sanction administrative
Comme la sanction pénale, la sanction administrative vise à réprimer un comportement fautif. Mais, alors que la première s'analyse comme une décision juridictionnelle, la seconde est une décision administrative émanant d'une autorité administrative.
Des sanctions graduelles
Avertissement ou mise en demeure et rappel des règles de mises en conformité ; Injonction, ordre de cessation immédiate des violations ; Limitation ou suspension temporaire des traitements ; Sanctions administratives en cas d'inefficacité des injonctions ou de récidive.
Le règlement s'applique à toute organisation effectuant un traitement de données personnelles : Si cette organisation est établie sur le territoire de l'Union européenne ; Ou si son activité cible directement des résidents européens.
En effet, le RGPD exige du responsable du traitement qu'il notifie toute violation à la CNIL, lorsqu'elle est susceptible d'engendrer un risque de conséquences négatives de nature à entraîner des dommages physiques, matériels ou un préjudice moral (limitation des droits, discrimination, vol ou usurpation d'identité, ...
La personne qui traite les données personnelles (un commerçant en ligne par exemple) doit respecter certaines obligations. Notamment : Recueillir l'accord préalable des clients. Informer les clients de leurs droits d'accès, de rectification, d'opposition et de suppression des informations collectées.
Des mesures de sécurité physiques : sécurité des accès aux locaux ; Des mesures de sécurité informatiques : antivirus, sécurisation des mots de passe, etc.
Les sanctions possibles pour non respect du RGPD sont :
Un rappel à l'ordre de la CNIL. Des injonctions sous astreintes allant jusqu'à 100 000 euros par jour.
Ce sont également les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique. Il est interdit de recueillir et d'utiliser ces données.
Alors que la confidentialité garantit que les informations personnelles sont correctement collectées, utilisées et partagées, la sécurité protège ces informations contre les attaques malveillantes et l'exploitation des données volées à des fins lucratives.
Le délit est une infraction de gravité moyenne, entre la contravention et le crime. Exemples de délit : vol, abus de biens sociaux, discrimination, harcèlement moral, attouchements sexuels, homicide involontaire. Le crime est l'infraction la plus grave.
Durée de la peine
Les peines encourues pour un délit vont de 2 mois à 10 ans de prison. Certains délits ne sont pas punis par une peine de prison, mais seulement par une amende. Les peines encourues pour crime vont de 15 ans de prison à la perpétuité (prison à vie).
Le crime est l'infraction pénale la plus grave.
Le meurtre, l'assassinat, la tentative d'homicide, le braquage ou le viol constituent des exemples de crimes. De manière générale, il est possible de classer les crimes en trois catégories : Les crimes contre des personnes physiques : meurtre, viol, torture, génocide…