axlaw, avocat rouen, avocat paris, Actualités

Actualités

Nous contacter

 

Suivez nos dernières publications en droit commercial sur

        

 

Juillet 2018 | Newsletter 11

 

LE REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES


 

Le Parlement et le Conseil européens ont adopté le 27 avril 2016 un nouveau régime juridique de protection des données personnelles en la forme du Règlement général sur la protection des données (RGPD). Particulièrement novatrice, la réglementation en question deviendra applicable le 25 mai 2018. Sa transposition en droit français provoque une refonte majeure des garanties liées aux renseignements à caractère individuel que chacun de nous est amené à fournir en vue de l’exécution de tel ou tel service. Cela parait d’autant plus nécessaire et urgent que l’essor de l’économie numérique, via le foisonnement des services proposés sur internet, ne cesse d’augmenter les risques d’atteintes à la vie privée des usagers, c’est-à-dire la nôtre. Mais de quoi parle-t-on au juste ?

 

Présentation générale

 

Le nouvel instrument s’applique aux « responsables du traitement » (article 4.7), c’est-à-dire aux personnes qui en définissent les modalités et les finalités, ainsi qu’à leurs « sous-traitants » (article 4.8), dès lors qu’ils sont chacun établis dans l’Union européenne (ci-après UE) et/ou qu’ils traitent chacun des données appartenant à des individus qui se trouvent sur le territoire de l’UE dans le cadre de leurs activités (article 3).

 

La notion de « traitement » renvoie quant à elle aux opérations touchant à « la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction » des indications personnelles (article 4.2). 

 

Les bénéficiaires du RGDP sont toutes les personnes physiques dont l’identité peut être établie de manière directe ou indirecte à partir des informations individuelles qu’elles ont remises à un opérateur de traitement (responsable ou sous-traitant). Des renseignements tels qu’« un nom, un numéro d’identification, des données de localisation, un identifiant en ligne […] ou [des] éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » figurent parmi les éléments couverts (article 4.1).

 

Le droit européen entend améliorer la défense des « données à caractère personnel » par deux approches complémentaires :

 

  • l’abandon du système formel de la déclaration préalable ;
  • et la création d’un dispositif matériel de suivi continu.

 

Inspirée du droit anglo-saxon, la réforme mise sur la « responsabilisation » permanente des opérateurs plutôt que sur la réitération d’engagements ponctuels à même de s’affaiblir avec le temps. L’idée de base consiste à obliger les personnes responsables d’établir des mécanismes permanents de garantie, lesquels doivent être non seulement effectifs mais efficaces dans la durée. La conception par défaut (article 25) des méthodes de protection attachées aux opérations de traitement répond aux principes dits de « privacy by design » ou de « privacy by default » formulés au milieu des années 1990 par une chercheuse canadienne dans le but de mieux prévenir les atteintes à la vie privée. 

 

Droits des personnes concernées

 

Le consentement des individus constitue la pierre angulaire du dispositif dans la mesure où l’essentiel de la protection juridique dépend de près ou de loin des modalités particulières de son octroi. Dès lors, il n’est pas étonnant que le RGDP oblige les personnes responsables à garantir (article 7) que la volonté des personnes concernées soit manifestée d’une façon « libre, spécifique, éclairée et univoque » au moyen d’une déclaration ou d’un acte positif clairement déterminé (articles 4.11).

 

Quant aux éléments destinés à éclairer le fait d’accepter de remettre à autrui des renseignements à caractère personnel, le règlement européen impose à la personne responsable d’informer la personne visée sur un certain nombre de points qui comprennent notamment :

 

  • « l’identité et les coordonnées du responsable du traitement » ;
  • « la durée de conservation des données » ;
  • « les finalités du traitement » ;
  • « les destinataires ou les catégories de destinataires des données » ;

 

ainsi que l’ensemble des droits individuels attachés à la protection et leurs conditions d’exercice pendant toute la durée du traitement (article 13).

 

Les garanties individuelles offertes par le RGPD consistent, pour une majeure partie, en six droits spécifiques :

 

  • le « droit d’accès » aux données et à l’informations sur leur traitement (article 15);
  • le « droit à l’effacement » des données ou « droit à l’oubli » en des cas précis (article 17) ;
  • le « droit à la limitation » du traitement (article 18) ;
  • le « droit d’opposition » au traitement (article 21);
  • le « droit à la portabilité » des données pour les récupérer ou les transmettre  (article 20);
  • et le « droit de rectification » des données (article 16).

 

Les responsables et sous-traitants doivent répondre aux demandes qui leur sont adressées dans l’exercice desdits droits individuels conformément à un délai de un mois à compter de leur réception, délai qui pourra au besoin être prolongé de deux mois supplémentaires « compte tenu de la complexité et du nombre des demandes » (article 12.3).

 

Contrôles, sanctions et voies de recours

 

En France, le contrôle de la mise en œuvre du RGPD est effectué par la Commission Nationale de l’Informatique et des Libertés (ci-après CNIL). Pour l’exercice de ses missions d’intérêt général, la CNIL dispose de pouvoirs spéciaux dérivés de la puissance publique. En qualité d’Autorité administrative indépendante, elle peut :

 

  • « ordonner au responsable du traitement et au sous-traitant […] de lui communiquer toute information dont elle a besoin » ;
  • « mener des enquêtes sous la forme d’audits » ;
  • « notifier […] une violation » du règlement ;
  • « obtenir […] l’accès à toutes les données à caractère personnel et à toutes les informations nécessaires » ;
  • ou encore « obtenir l’accès à tous les locaux […], notamment à toute installation et à tout moyen de traitement » (article 58.1).

 

Les manquements importants au règlement donnent lieu au paiement d’amendes administratives, dont le plafond s’élève :

 

  • à 20 millions d’euros ou, « dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu », pour les violations les plus graves, celles qui affectent les principes fondamentaux du traitement ou les droits individuels des personnes identifiées ;
  • ou à 10 millions d’euros ou, « jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu », pour les infractions liées à des obligations particulières des responsables et de leurs sous-traitants.

 

Outre son plafonnement, l’évaluation de l’amende doit respecter une liste étendue de onze critères, le principal étant « la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi » (article 83.2.a).

 

Concernant les atteintes moins importantes à la protection des données personnelles, celles qui ne donnent pas lieu à des amendes administratives, le RGPD laisse aux autorités nationales de contrôle la liberté de recourir à d’autres sanctions, pour autant qu’elles demeurent « effectives, proportionnées et dissuasives » (article 84). La CNIL est habilitée dans ce cadre à délivrer des avertissements, à ordonner des injonctions de cesser le traitement illicite ou à infliger des sanctions pécuniaires dans la limite de 150.000 euros, une somme portée à 300.000 euros en cas de récidive.

 

Les manquements au RGPD ouvrent trois voies de recours différentes. La première voie s’adresse aux personnes victimes et consiste à introduire une réclamation auprès de l’autorité de contrôle du lieu de leur résidence habituelle, du lieu de leur travail ou du lieu de la violation alléguée (article 77). La deuxième voie s’adresse aux personnes concernées par les décisions juridiquement contraignantes des autorités de contrôle et consiste à introduire des recours juridictionnels contre celles-ci (article 78). En France, les responsables mis en cause par la CNIL ont un délai de deux mois pour saisir les juges administratifs du Conseil d’Etat de leur recours en annulation, en réformation ou en remplacement. La troisième voie s’adresse enfin aux personnes victimes et consiste à introduire un recours juridictionnel contre un responsable du traitement ou un sous-traitant (article 79). Le tribunal compétent sera soit celui du lieu de l’établissement du responsable ou du sous-traitant, soit celui de la résidence habituelle de la personne victime.

 

Le principe réglementaire de la « responsabilité conjointe » permet à la personne victime d’obtenir réparation de la totalité de son préjudice auprès de l’un des responsables, lorsque ces derniers ont déterminé à plusieurs « les finalités et les moyens du traitement » illicite (article 26.1).

 

Modalités du traitement

 

Le règlement organise la prévention des atteintes aux données personnelles via trois dispositifs novateurs qu’il importe de mentionner brièvement.

 

Les traitements susceptibles « d’engendrer un risque élevé pour les droits et libertés des personnes physiques » eu égard à leur nature, à leur portée, à leur contexte et à leurs finalités, doivent faire l’objet d’une « analyse d’impact relative à la protection des données » (article 35). Préalable à des traitements sensibles, l’étude en question porte sur des éléments précis visant à détailler les opérations envisagées et leurs finalités, à mettre en évidence leur nécessité et leur proportionnalité, à mesurer les risques qu’elles font peser sur les droits individuels des personnes visées et à exposer les réponses apportées à ces risques.

 

Lorsque le traitement est effectué par un organisme public, lorsqu’il exige « un suivi régulier et systématique à grand échelle des personnes concernées » ou lorsqu’il porte « à grande échelle » sur des catégories très sensibles de données (casier judiciaire, fiches de santé…), le règlement impose la désignation d’un délégué à la protection des données. Indépendante, cette personne est chargée de veiller en permanence à la conformité avec le RGPD des actions entreprises sous l’autorité du responsable du traitement ou d’un sous-traitant (article 37).

 

Pour finir, tous les traitements possibles et imaginables, qu’ils portent ou non sur des données confidentielles, doivent être répertoriés d’une certaine façon et actualisés dans un « registre des activités de traitement » propre à démontrer en continu le respect des obligations imposées par le RGPD (article 30).

 

 

Plus d'actualités

Juin 2018 | Newsletter 10

 

ACTUALITE JURISPRUDENTIELLE


 

Le refus pour l’un des membres d’un directoire d’assurer la transition après une restructuration non-conforme à ses attentes d’obtenir la présidence d’une société anonyme ne peut servir de juste motif à sa révocation - En l’espèce, l’individu dont il s’agit était convaincu de succéder tôt ou tard au Président de la SA défenderesse. En contradiction avec cette ambition individuelle de présider la société, le conseil de surveillance entreprit de fusionner avec une société concurrente. Décidé à quitter le directoire suite à la déception totale de ses croyances légitimes, le demandeur refusa la proposition d’un départ amiable qui lui enjoignait de rester en place le temps de restructurer la direction de la société. Son refus aurait motivé la décision des membres du conseil de surveillance de le révoquer sur le champ.

 

Jugeant aux termes d’un arrêt du 7 décembre 2017 (n° 16/01013) que la révocation ne présentait pas de justes motifs, la Cour d’appel de Paris condamna la SA à lui verser sur le fondement de l’article L225-61, alinéa 1 du Code de commerce une indemnité pour préjudice d’un montant de 1,6 millions d’euros. Les juges estimèrent que les attentes déçues de l’ancien membre du directoire reposaient sur des promesses non-tenues du Président en fonction. La volonté de négocier son départ était justifiée par les circonstances, de même que les demandes indemnitaires formulées en vue de le compenser, celles-ci étant conformes aux engagements préalables de la SA envers lui. Au final, la décision de le révoquer suivait non pas la décision du membre lésé de quitter l’entreprise sans période transitoire, mais le refus du conseil de surveillance d’honorer les modalités contractuelles d’une révocation dépourvue de justes motifs.

 


 

La prescription triennale de l’action en responsabilité du dirigeant a pour point de départ, soit le jour de la réalisation du fait dommageable, soit le jour de sa constatation en cas de dissimulation – La date du placement en redressement judiciaire d’une société cherchant à engager la responsabilité d’un dirigeant pour des fautes commises dans l’exécution de son mandat d’administrateur ne marque pas le lancement par défaut du délai de prescription de l’action en responsabilité. C’est pourtant la position que les juges de la Cour d’appel de Bourges avaient retenue le 7 mai 2015 avant que la chambre commerciale de la Cour de cassation ne la censure en application des articles L225-254 et L227-8 du Code de commerce dans un arrêt du 20 décembre 2017 (n° 15-23.218).

 

En l’espèce, le dirigeant d’une société par actions simplifiée (SAS) qui était en redressement judiciaire depuis le 2 novembre 2011 bénéficiait d’une rémunération mensuelle pour l’accomplissement de son mandat social. Le 21 mars 2013, il assigna la SAS en paiement d’une somme égale à une partie non-réglée de sa rémunération. En réaction, la défenderesse formula une demande reconventionnelle en paiement de dommages et intérêts pour faute du demandeur dans l’exercice de ses fonctions d’administrateur.

 

Les juges du fond déboutèrent le dirigeant avant de le condamner au versement de dommages et intérêts dans la mesure fautive de son comportement. Selon eux, la responsabilité du dirigeant-administrateur n’était pas encore prescrite au jour du dépôt par la SAS de ses conclusions en responsabilité, dès lors qu’une période de moins de 3 ans séparait cette date, laquelle était antérieure par définition au jugement de première instance du 6 mai 2014, de l’ouverture de la procédure collective de redressement judiciaire le 2 novembre 2011.

 

Les juges de cassation rejettent ce raisonnement au motif qu’il fait débuter le délai de la prescription triennale au jour du lancement de la procédure collective sans avoir vérifié qu’il s’agissait bien du point de départ légal de la commission ou de la révélation (après dissimulation) des faits dommageables.

 

 

Plus d'actualités