Les nouvelles sanctions prévues par le Règlement Général sur la Protection des Données ont fait l’objet de nombreux commentaires dans la presse. Attention toutefois à ne pas oublier les nouvelles sanctions prévues par notre législateur national, avec la loi pour une République numérique.

Quels changements ?

Avec le Règlement Général sur la Protection des Données, le législateur européen a augmenté le montant des sanctions que pourront prononcer les autorités européennes de contrôle de protection des données personnelles à l’égard des responsables de traitements et des sous-traitants. Le compte à rebours pour se mettre en conformité s’achèvera le 24 mai 2018 à minuit, veille de l’entrée en application du Règlement.

Selon la catégorie de la violation commise par un responsable de traitements ou un sous-traitant, l’amende administrative maximale encourue pourra ainsi s’élever soit à 10 000 000 euros, soit à 20 000 000 euros. Dans le cas d’une entreprise et toujours selon la catégorie de la violation, ces amendes pourront aussi être calculées au regard du chiffre d’affaires réalisé dans la limite soit de 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, soit de 4% de ce même chiffre d’affaires (article 83 du Règlement).

Avant cette date, les responsables de traitement établis en France devront toutefois prendre en compte le nouveau cadre fixé par la loi pour une République numérique. En effet, le plafond maximal des sanctions de la CNIL passe de 150 000 € à 3 000 000 €. Le législateur national a en effet souhaité anticiper l’augmentation du montant maximal des amendes administratives prévue par le Règlement.

A noter que l’application de cette nouvelle loi et du Règlement sera sans influence sur les sanctions pénales prévues aux articles 226-16 à 226-24 du Code pénal. Il est d’ailleurs prévu dans le Règlement que les législations nationales peuvent déterminer le régime des sanctions pénales susceptibles d’être prononcées en cas d’atteinte à la protection des données à caractère personnel.

Quelle articulation entre le régime national et le régime européen ?

Le législateur français a prévu que les nouvelles sanctions prévues par la loi pour une République numérique s’appliqueront jusqu’au 25 mai 2018 (date d’application du Règlement). L’article 83 du Règlement précité sera alors applicable.

En revanche, conformément à l’article 84 du Règlement, les nouvelles sanctions prévues par la loi pour une République numérique resteront applicables à compter du 25 mai 2018, pour les atteintes à la protection des données à caractère personnel commises hors le champ d’application de l’article 83 du Règlement. Nous pouvons cependant nous interroger sur l’application effective de ces nouvelles sanctions de la loi pour une République numérique à compter du 25 mai 2018 car l’article 83 du Règlement nous paraît suffisamment large pour couvrir toute atteinte au cadre juridique relatif à la protection des données personnelles.

A noter que le Gouvernement doit remettre au Parlement, avant le 30 juin 2017, un rapport sur les modifications de la loi Informatique et Libertés rendue nécessaires par l’entrée en vigueur du Règlement.