Depuis l’entrée en vigueur du RGPD le 25 mai 2018, l’attention portée à la protection des données à caractère personnel a pris une autre dimension.

Un des acteurs essentiels de ce nouveau schéma est le responsable de traitement. Aux termes de l’article 121 de la loi « informatique et libertés » (LIL) du 6 janvier 1978, « le responsable de traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La CNIL multiplie les contrôles et les sanctions, comme en témoigne l’amende de 500 000 euros infligée par la formation restreinte de la CNIL à la société Brico Privé le 17 juin 2021 pour divers manquements au RGPD.

En effet, si l’autorité de contrôle constate que les principes relatifs à la protection des données à caractère personnel ne sont pas respectés au sein des organismes, elle peut les mettre en demeure et/ou les sanctionner.

Pouvoir de sanction de la CNIL en cas de risques potentiels de violations de données personnelles : le silence des textes.

Les articles 33 et 34 du RGPD évoquent respectivement la notification à l’autorité de contrôle et la communication à la personne concernée d’une violation de données à caractère personnel.

L’article 4.12 du RGPD définit une violation de données à caractère personnel comme

« une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Cependant, ici, il s’agit d’une violation de données à caractère personnel qui est établie. Il n’est pas question d’une violation potentielle de données personnelles. On remarque que le RGPD et la LIL restent silencieux en cas de risques potentiels.

Le principe de précaution : un principe non consacré en matière de protection des données personnelles.

Les responsables de traitement ou les sous-traitants doivent respecter une obligation générale de sécurité. Si la CNIL constate que les mesures de sécurité ne sont pas adaptées et sanctionne le risque potentiel d’une violation de données, cela signifie que le dommage est encore hypothétique. Ce dernier n’est pas certain.

Ainsi, l’autorité de contrôle fait application d’un principe de précaution. Or, on ne trouve aucune trace de ce principe au sein du RGPD ou de la LIL.

En effet, ce principe est consacré en droit de l’environnement, à l’article 5 de la Charte de l’environnement notamment.
On le retrouve également à l’article L. 110-1 du Code de l’environnement :

« 1° Le principe de précaution, selon lequel l’absence de certitudes, compte tenu des connaissances scientifiques et techniques du moment, ne doit pas retarder l’adoption de mesures effectives et proportionnées visant à prévenir un risque de dommages graves et irréversibles à l’environnement à un coût économiquement acceptable ».

Ici, « le doute ne porte pas sur la réalisation du dommage né d’un risque avéré mais sur l’existence du risque lui-même » [1].

Or,l’article 32 du RGPD relatif à la sécurité du traitement précise que le « degré de probabilité et de gravité » des risques pour les droits et libertés des personnes physiques varient.

Le principe de précaution : un principe difficilement applicable en matière de protection des données personnelles.

Dans l’arrêt Artegodan GmbH e. a. c/ Commission [2], le juge européen a érigé le principe de précaution en principe général du droit de l’Union, l’étendant ainsi au-delà du seul droit de l’environnement.

Cependant, il reste difficile d’envisager que ce principe s’applique à toutes les branches du droit. Le tribunal administratif d’Amiens a notamment jugé en 2007 qu’il n’a pas vocation à protéger la sécurité des personnes et des biens [3].

Plus précisément, on constate que les fois où le principe de précaution a été appliqué à d’autres domaines du droit, il était en réalité étroitement lié au droit de l’environnement. Par exemple, le Conseil d’Etat a admis que ce principe s’appliquait également en matière d’urbanisme. [4]

Mais, force est de constater que le lien entre le droit de l’environnement et une violation de données à caractère personnel est beaucoup moins évident.

Pour que la CNIL puisse sanctionner des risques potentiels de violations de données à caractère personnel, il faudrait que le principe de précaution soit consacré en matière de protection des données personnelles.

Gerard Haas, Avocat associé fondateur du Cabinet HAAS Avocats