Vous êtes dirigeant d’une personne morale et le RGPD n’est pas votre sujet prioritaire? Et si le gros lot des 20 millions d’euros d’amende vous menaçait également?
C’est en tout cas le risque que fait poindre une récente décision de la CNIL slovène, sanctionnant à la fois la personne morale et son dirigeant (IP, 23 septembre 2024, n° 0603 30 2023 12).
Mais… la CNIL a écrit le contraire, non? Oui, dans son référentiel Pharmacie (Délibération n° 2022-067 du 2 juin 2022), par exemple. Mais ça n’est pas toujours le cas. Dans son Guide Association, elle indiquait au contraire que :
« Le responsable de traitement est en général incarné par le représentant légal de la structure.«
Une contradiction lourde de conséquences, donc.
Une contradiction qui rapproche manifestement le droit de la protection des données du droit pénal.
Pour mémoire, dans ce domaine, la responsabilité personnelle du dirigeant peut toujours être engagée aux côtés de celle de la personne morale, du fait d’un défaut de contrôle par l’humain.
Imaginez un dirigeant qui laisserait ses équipes gérer la conformité RGPD sans contrôle, sans aucune « revue de direction« . En cas de manquement, pourrait-il être poursuivi avec sont entreprise?
Êtes-vous certain que la CNIL pourrait s’emparer de la solution slovène? Certain, non. Cela ressort toutefois du domaine du possible.
D’autant que ce serait pour elle un excellent levier pour « encourager » une mise en conformité volontaire des responsables de traitement et sous-traitants.
Qu’en pensez-vous ? Une extension de cette jurisprudence étrangère à la France vous inquiète-t-elle? Partagez vos points de vue en commentaires.
Besoin d’auditer votre conformité ? De vous accompagner dans l’élaboration d’un plan de mise en conformité ? N’hésitez pas à me contacter.