Un auteur extérieur nous a communiqué ce texte sur le RGPD qui semble devenir un sujet d’actualité fréquent et pas très facile à utiliser. Nous avons donc jugé intéressant pour nos lecteurs de pouvoir, en quelque sorte, se mettre à niveau sur ce sujet assez compliqué et aux conséquences parfois difficiles à appréhender.
YB
Le règlement général sur la protection des données ou RGPD est la conséquence de l’importance prise récemment par la gestion des fichiers depuis qu’ils ont été automatisés. Il est essentiel que les responsables de ces fichiers s’assurent que les avantages indéniables qu’ils peuvent obtenir du traitement automatisé des données n’aboutissent, en même temps, à l’affaiblissement des principes républicains fondamentaux, adoptés dans toutes les démocraties, garantis aux personnes concernées par les données traitées[[Voir le préambule du rapport explicatif convention STE 108 et le guide édité par la FRA.]].
Pour cette raison, la législation est divisée en deux blocs distincts :
• Les droits et obligations qui portent sur les données en elles-mêmes.
• Les droits et obligations qui portent sur l’usage qui est fait de ces données à caractère personnel.
Dans cet article, nous allons aborder 7 points clés sur le RGPD qui pourraient exposer la responsabilité pénale du dirigeant de votre société ou mettre en péril votre entreprise. Si vous ne connaissez pas ces points, je ne peux que vous inciter à rencontrer un avocat rompu à la problématique de la protection des données.
Historique : 60 ans de réglementation pour la protection des données
La Deuxième Guerre mondiale et le début de la guerre froide ont démontré que l’usage de l’informatique, de par sa capacité à traiter rapidement un grand nombre de données, pouvait être déterminant dans l’issue d’un combat.
Si le pouvoir de l’informatique était une arme puissante, il pouvait également porter gravement atteinte aux principes démocratiques fondamentaux.
L’idée de créer une réglementation en matière de protection des données est née dans les années 1960.
Elle a été rendue nécessaire par l’utilisation croissante de l’informatique à des fins administratives et de gestion. Les fichiers automatisés ont une capacité d’enregistrement bien supérieure à celle des fichiers manuels et permettent de procéder très rapidement à des opérations beaucoup plus variées et complexes.
Le « pouvoir de l’informatique » fait peser une responsabilité sociale correspondante sur les utilisateurs dans les secteurs privé et public. Dans la société moderne, une grande partie des décisions affectant les individus repose sur des données enregistrées ou issues de fichiers informatisés : garanties hypothécaires, vie familiale, état du patrimoine, dossiers médicaux, habitudes d’achat, etc.
Il est essentiel que les responsables de ces fichiers s’assurent que les avantages indéniables qu’ils peuvent obtenir du traitement automatisé des données n’aboutissent pas, en même temps, à un affaiblissement des principes républicains fondamentaux adoptés dans toutes les démocraties et garantis aux personnes concernées par les données traitées[[Voir le préambule du rapport explicatif convention STE 108 et le guide édité par la FRA.]].
Pour cette raison, la législation est divisée en deux blocs distincts :
• Les droits et obligations qui portent sur les données en elles-mêmes.
• Les droits et obligations qui portent sur l’usage qui est fait de ces données à caractère personnel.
La mise en œuvre du RGPD peut paraître disproportionnée et fastidieuse par rapport à l’activité de votre société, mais il faut rappeler que le but de la loi est la protection des principes républicains fondamentaux et des standards démocratiques, ce qui inclut la protection du patrimoine du chef d’entreprise.
Désormais, toutes les dettes font l’objet de traitements informatiques. Le RGPD offre un moyen de droit supranational au chef d’entreprise pour défendre son patrimoine.
Lorsque le chef d’entreprise s’est obligé personnellement sur ses biens vis-à-vis de ses créanciers, il peut être tentant pour ceux-ci d’essayer d’obtenir plus que ce qui n’est dû[[Voir articles 2284 et 2285 du code civil.]].
Les 7 points capitaux sur le RGPD et la protection des données
POINT N° 1 : La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante. Elle dispose d’un large pouvoir d’appréciation dans l’accomplissement de ses missions. Elle peut tenir compte de l’ensemble des intérêts généraux dont elle a la charge pour établir ses priorités ou ses actions[[Conseil d’État, 10ème SSJS, 01/10/2015, 381078, Inédit au recueil Lebon.]]. Toute personne qui a un litige concernant l’usage de ses données peut directement saisir l’autorité judiciaire de la demande utile sans se référer préalablement aux pratiques de la CNIL.
POINT N°2 : Peuvent constituer des données à caractère personnel du chef d’entreprise : les bilans ; la situation financière de l’entreprise ; les déclarations fiscales ; les relevés bancaires ; les dossiers de prêt ; l’état chiffré des créances et des dettes ; l’état actif et passif des sûretés ainsi que celui des engagements hors bilan[[Délibération CNIL 2017-291]], les intérêts des prêts, les assurances de prêts[[Délibérations n° 85-14 du 30 avril 1985 et n° 88-82 du 5 juillet 1988, concernant les traitements automatisés d’informations nominatives relatifs à la gestion des crédits ou des prêts consentis à des personnes physiques par les établissements de crédit.]], etc.
POINT N°3 : Le RGPD exige que le créancier professionnel rectifie par lui-même toutes données économiques relatives à une dette impayée (dettes fournisseurs ou créances clients), par exemple, le montant d’une facture ou de frais erronés sans attendre que le client l’exige ou d’y être condamné[[Article 5 du règlement UE 2016-679 « d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ».]].
POINT N °4 : La loi sanctionne le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel d’un client sans qu’aient été respectées les formalités préalables à la mise en œuvre de ces traitements prévus par la loi et qui leur sont applicables. Cela exige donc d’identifier en premier lieu la loi qui est applicable aux traitements de données qui sont envisagés[[L’Article 226-16 énonce « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».]].
POINT N °5 : Le RGPD s’applique à l’ensemble des devis nominatifs ou des bons de commandes établis au stylo sur papier dès lors que ces documents seront gérés par informatique ultérieurement[[Article 4 du règlement UE 2016/679 2) «traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.]]. L’entreprise doit donc être particulièrement prudente, par exemple lorsque dans un devis nominatif ou un bon de commande elle fait état de subventions éventuelles dans le cadre de la transition énergétique.
POINT N° 6. Les données à caractères personnels des clients ou des débiteurs doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités[[Article 5 du règlement UE 2016/679. b) « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.» ]]. L’emploi trop fréquent par les entreprises de l’expression de portée générale « motifs légitimes » est à proscrire dans l’information destinée à des personnes concernées par les traitements. Cette expression est piégeuse si le motif légitime de traitement n’est pas précisé. L’emploi de cette expression de portée générale peut entraîner la condamnation de l’entreprise.
POINT N°7. En cas de difficultés financières, le RGPD protège le patrimoine du chef d’entreprise de ses créanciers[[Si l’article 2284 du code civil énonce, « Quiconque s’est obligé personnellement, est tenu de remplir son engagement sur tous ses biens mobiliers et immobiliers, présents et à venir » et l’article 2285 « Les biens du débiteur sont le gage commun de ses créanciers ; et le prix s’en distribue entre eux par contribution, à moins qu’il n’y ait entre les créanciers des causes légitimes de préférence ». Cependant dans de nombreuses délibérations rendues par la CNIL, le montant d’une dette constitue une donnée à caractère personnel du débiteur défaillant. Il en résulte que le créancier doit respecter le RGPD lors de la procédure de recouvrement de cette créance. Les modalités de protection ont aussi été rappelées par le ministre de l’Économie le 18 mai 2021.]].
Un exemple vécu
Au début des années 2000, certains fonds spéculatifs ont défrayé la chronique car ils cherchaient à porter atteinte au patrimoine personnel du chef d’entreprise par le biais d’entrée au capital de leur société.
M. X., ancien cadre supérieur dans une entreprise internationale, a été victime d’une variante de cette pratique qui repose sur le traitement des données économiques du chef d’entreprise et de sa société.
Ce qu’il ignorait au moment où il a créé sa propre entreprise, c’est que l’un de ses créanciers se servait déjà des données collectées pour chercher à s’emparer du patrimoine de son débiteur.
Lorsque la faillite est arrivée, il a été incapable de se défendre en justice, car il n’a pas pu prouver les manœuvres auxquelles son créancier s’est livré.
C’est pour prévenir ce genre de situation qu’il est indispensable d’être exigeant dans la mise en place et le respect du RGPD par ses propres créanciers ou ceux de l’entreprise, surtout lorsque les dettes engagent le patrimoine familial.
Conclusion
Le règlement général sur la protection des données est un domaine du droit nouveau appliqué aux systèmes d’information qu’il vaut mieux surveiller de près.
