Le célèbre titre «Sommes-nous tous des criminels» du livre du Professeur de criminologie et de droit pénal André KUHN n’a jamais été autant d’actualité.
Par Maëlle Roulet, Avocate
Au sein de votre entreprise, supprimez-vous les informations de vos anciens clients?
Tenez-vous un registre des informations récoltées sur vos clients?
Chiffrez-vous les informations de vos clients qui sont stockées sur des serveurs?
Avez-vous conclu un contrat avec votre développeur et savez-vous comment traite-il les informations que vous lui transmettez?
Interdisez-vous à vos employés de se connecter au serveur de l’entreprise sur leurs smartphones personnels?
Si vous ne répondez pas positivement à toutes ces questions, vous êtes potentiellement un criminel, voire un serial killer.
En fait, vous avez probablement le profil type du criminel du Règlement européen sur la protection des données (RGPD) ou de la Loi fédérale sur la protection des données (LPD).
Le portrait-robot est facile à dresser: vous êtes dirigeant d’une entreprise sans un escadron de juristes prêts à batailler pour protéger les données de vos clients en mettant en place des mesures techniques et organisationnelles.
Cela dit, vous n’êtes pas seul. Des criminels, vous en croisez tous les jours: la boutique en ligne qui envoie des newsletters à ses clients sans leur consentement explicite en utilisant leur adresse email obtenue lors d’une commande, le salon de coiffure qui partage ses données avec d’autres salons du même groupe sans autorisation, le tabac qui installe des caméras de surveillance sans afficher d’avertissement clair pour informer les clients, et j’en passe.
Ces exemples peuvent paraitre futiles.
Toutefois, ces entreprises violent toutes la législation en matière de protection des données sans même en avoir conscience dans la plupart des cas.
Et c’est là que le bât blesse.
Où se situe le seuil de la répression en matière de protection des données, qui plus est de la répression pénale?
La LPD révisée (nLPD) qui entrera en vigueur le 1erseptembre 2023 prévoit une sanction pénale qui peut aller jusqu’à 250’000.- à l’encontre des administrateurs d’une société, mais uniquement en cas de violation intentionnelle de certaines obligations. Sera ainsi condamné le dirigeant de l’entreprise qui n’informe pas son client de la collecte de certaines de ses données personnelles et qu’il le fait de manière intentionnelle.
Le législateur nous l’a en effet promis: la négligence ne sera pas réprimée pénalement.
Cependant, dans la réalité, qu’implique cela?
Il faut savoir que, juridiquement, l’intention englobe les comportements commis par dol éventuel. Sera donc également réprimé pénalement l’associé d’une Sàrl qui tient pour possible le fait que le développeur de son site n’a pas mis en place de mesures de sécurité et accepte qu’il puisse exister une brèche de sécurité qui pourrait conduire à une fuite des données personnelles de ses clients.
C’est dire à quel point il sera difficile de tracer la frontière entre la négligence et l’intention.
Cela étant, la majorité des infractions pénales prévues par la nLPD ne seront poursuivies par les autorités que sur plainte soit du client concerné soit du Préposé à la protection des données.
Nul doute: la prévention est ainsi le maitre mot de la nLPD.
La répression reposera manifestement sur la seule volonté du Préposé à la protection des données de déposer une plainte pénale ou non contre telle ou telle entreprise.
Reste à savoir qui sera la cible d’une répression systématique.
Les dirigeants de PME ou ceux de grandes multinationales? Je vous laisse en juger.
Avocate en nouvelles technologies et cybersécurité, ROULET Avocats et Fondatrice de Code+.
Code+ est une plateforme suisse romande permettant aux entreprises d’accéder à des avocats et à des experts spécialisés en nouvelles technologies, internet et cybersécurité. Les avocats et experts de Code+ sont solidement implantés en Suisse romande et travaillent en étroite collaboration sur les projets et les litiges de leurs clients ou en cas de cyberattaque et de fuite/vol de données. Ils conseillent et défendent les entreprises dans toutes les affaires liées de près ou de loin à la technologie et à l’internet. Code+ offre également une solution simple aux entreprises afin d’externaliser leurs services juridiques et de cybersécurité.