Le RGPD prévoit des sanctions pénales pour les dirigeants d’entreprise en cas de non-respect des obligations imposées en matière de protection des données personnelles. Ces sanctions peuvent aller jusqu’à une peine d’emprisonnement et des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires global annuel de l’entreprise, selon le cas. Les dirigeants peuvent être personnellement tenus responsables si, par exemple, ils sont considérés comme ayant personnellement autorisé ou encouragé la violation des règles de protection des données personnelles. Dans de tels cas, ils peuvent être poursuivis personnellement et être condamnés à des peines d’emprisonnement et des amendes. Il est donc important pour les dirigeants d’une entreprise de prendre les mesures nécessaires pour se conformer aux exigences du RGPD et éviter toute responsabilité personnelle.
Les responsabilités
Si la plupart des dirigeants d’entreprise connaissent les sanctions qui peuvent être appliquées par la CNIL en cas de manquement au nouveau règlement, ils sont peu nombreux à savoir que leur responsabilité personnelle peut être engagée.
La CNIL avait prévenu : elle ne laisserait pas de délai aux entreprises pour se mettre en conformité avec le RGPD. Depuis son entrée en vigueur, de lourdes sanctions tombent pour les entreprises : Google ou encore Uber, pour ne citer que ces deux exemples, témoignent de l’ampleur desdites sanctions applicables et appliquées.
Si l’entité morale peut donc être condamnée à de très lourdes amendes (4% du chiffre d’affaires mondial ou 20 millions d’euros), les dirigeants peuvent voir leur responsabilité pénale personnelle engagée. Considéré comme garant de la mise en conformité aux RGPD de sa société, le dirigeant est en effet en première ligne en cas de manquement. Il est tenu de s’assurer et de contrôler que tout a été mis en œuvre pour le respect du règlement. Si tel n’est pas le cas et en particulier lorsqu’il a été informé des points de non conformité et n’a pas œuvré pour les résoudre, la CNIL a toutes largesses pour saisir le procureur et demander des poursuites pénales à son encontre.
À moins d’être en mesure de prouver qu’il a confié officiellement cette responsabilité à l’un de ses employés, le dirigeant peut donc être personnellement condamné (attention : une délégation au DPO n’est en aucun cas validable et ne saurait décharger le dirigeant de sa responsabilité personnelle). Les condamnations peuvent être très lourdes puisque le dirigeant peut se voir condamner notamment pour « complicité, abus de confiance, recel ou violation du secret des affaires » (cf. articles 226-16 et suivants du Code pénal qui prévoient des condamnations pouvant aller jusqu’à une peine d’emprisonnement de 5 ans et 300 000 € d’amende).
Exclusivité DPO PARTAGE
Trouver le DPO d'une société
Nouveau service pour trouver le DPO d'une société et lui ecrire pour rectifier vos données.
Annuaiare des DPODe moindres condamnations qui restent cependant lourdes sont également prévues avec des interdictions d’émettre des règlements au nom de l’entreprise pour une durée pouvant aller jusqu’à 5 ans ; d’exercer une activité professionnelle, sociale, commerciale ou industrielle pouvant aller jusqu’à 5 ans ; ou encore de diriger, administrer, gérer ou contrôler directement ou indirectement une entreprise (cf. article 131-6 du code pénal). En somme, la mise en conformité au RGPD est non seulement une obligation qui, lorsqu’elle n’est pas respectée, peut entraîner des sanctions graves pour une entreprise mais elle est également sous la responsabilité directe du dirigeant d’entreprise. Il est donc plus que primordial de mettre tout en œuvre pour être en mesure de prouver la conformité de votre entreprise à ce nouveau règlement européen.
Contacter DPO PARTAGE au 01 83 64 42 98 pour toutes vos questions ou directement avec le tchat (en bas a gauche de votre écran) ou le Formulaire de contact
Devoirs d’information et de transparence Pour respecter le RGPD, vous devez également tenir vos devoirs d’information et de transparence vis-à-vis des participants à votre étude de marché.
Communiquez sur :
- L’identité et les coordonnées du responsable du traitement (la personne de votre entreprise qui décide de la finalité du traitement)
- Vos engagements en matière de protection des données personnelles
- Les destinataires des données collectées
- La durée de conservation des données
- Le caractère obligatoire ou facultatif des réponses
- L’existence de droits d’accès, de rectification et de suppression des données pour le participant pendant la durée de l’étude.
Ces informations doivent être facilement accessibles, dans un langage clair et intelligible. Pensez à inclure ces précisions dans les mentions légales de formulaire.
Externalisation des études à un sous-traitant Si vous externalisez vos enquêtes auprès d’un institut de sondage ou d’une société spécialisée, assurez-vous contractuellement qu’ils présentent des garanties suffisantes de conformité RGPD.
Exigez qu’ils s’engagent par contrat à :
- Traiter les données uniquement selon vos instructions
- Ne pas communiquer les données à d’autres tiers
- Supprimer les données une fois le service réalisé
Ce contrat doit prendre la forme d’un acte juridique contraignant. L’externalisation ne vous exempte pas de vos responsabilités en termes de protection des données personnelles.
Désigner un référent RGPD/DPO Pour montre votre engagement RGPD, vous pouvez désigner un référent interne en la matière ou avoir recours à un Délégué à la Protection des Données (DPO) externe. Celui-ci pourra valider vos procédures d’enquêtes, réaliser des audits RGPD et vous assister en cas de besoin.
Avec ces bonnes pratiques, vous mènerez des études de marché utiles tout en protégeant efficacement les données personnelles des participants ! N’hésitez pas à contacter notre équipe de DPO externalisés pour plus d’accompagnement.
