Parmi tout ce qui est écrit sur le RGPD (le réglement général sur la protection des données) qui devient applicable le 25 mai 2018, on parle un peu des sanctions, souvent pour faire peur.
Le RGPD prévoit des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du CA mondial, le plus élevé des deux montants étant retenu (article 83 RGPD).
L’appréciation du risque conduit quand même à être raisonnable : jamais une PME, voire une ETI, ne sera condamnée à payer un tel montant. Ces montants ont été fixés, quand le RGPD a été discuté au Parlement Européen, pour amener les #GAFAM à mettre en place des programmes de mise en conformité.
Surtout, la fixation de la sanction obéira aux grands principes de la « conformité » ou « compliance ». Notamment, la CNIL tiendra compte du comportement de la société poursuivie, de sa bonne volonté, du programme de mise en conformité mis en oeuvre etc. Cela donnera un autre billet de blog.
L’objet du présent billet est d’attirer l’attention du lecteur sur une autre sanction, moins connue des praticiens de la data. Si on ne respecte pas le RGPD, les datas clients perdent toute valeur.
En effet, la cour de cassation a jugé le 25 juin 2013 qu’un fichier clients qui n’était pas conforme à la loi informatique et libertés ne pouvait pas être vendu.
Dans l’affaire en cause, un fichier client avait été vendu 100.000 euros. L’acheteur (probablement parce qu’il avait l’impression d’avoir été floué sur la valeur du fichier) a attaqué le vendeur en fondant son argument sur la violation de la loi informatique et libertés. La cour d’appel lui a donné tort. La cour de cassation annule l’arrêt de la cour d’appel avec un paragraphe sévère et clair : « tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL » et « la vente …d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite ».
A partir du 25 mai 2018, il n’y aura quasiment plus de déclaration à la CNIL. Mais le principe restera le même : si la loi n’est pas respecté, la vente est nulle.
Le pire est que dans ce cas-là, l’acheteur aura eu la transmission des données, mais il pourra récupérer le prix payé.
Oui, le respect du #RGPD est vertueux. Il contribue à la valorisation des datas de l’entreprise. La preuve ? C’est la cour de cassation qui le dit : pas de respect de la loi, pas de valeur.
D’ailleurs, la question de la conformité RGPD commence à apparaître dans les questionnaires des auditeurs et commissaires aux comptes. Donc, au moment de la clôture des comptes, ou lors d’un audit avant une levée de fonds, la question de la conformité RGPD est posée.
La date de publication de cet article est : 15/03/2018 . Des évolutions de la loi ou de la jurisprudence pouvant intervenir régulièrement, n’hésitez pas à nous contacter pour plus d’information.