L’arrivée du Règlement européen pour la protection des données personnelles en 2016 constitue un véritable bouleversement pour les entreprises et pour les gouvernances qu’elles doivent mettre en œuvre. En matière de privacy, rien n’existait de manière européenne, voire mondiale, qui permettent de mettre de manière opérationnelle au centre des business models la question de la vie privée et des données personnelles. Pourtant, après, voire même avant les ressources humaines et les finances, les data sont les plus essentielles aux performances des entreprises, quel que soit leur objet et leur taille. En conséquence, toutes les opérations de haut de bilan devraient se focaliser sur la manière dont les questions de protection des données personnelles sont prises en compte. A défaut, c’est une des gouvernances les plus essentielles qui fera l’objet d’une sanction de la part des autorités, des marchés ou des salariés.
Par Bernard Tézé, associé, et Sylvain Staub, associé, DS Avocats
Quelques chiffres clés permettent de rappeler l’importance de la réglementation sur la protection des données personnelles. En France, il y a eu 3 459 signalements auprès de la CNIL depuis le 25 mai 2018, date d’entrée en application du RGPD et, rien qu’en 2020, le montant total des sanctions s’est élevé à 138,9 millions d’euros.
Le 26 novembre 2020, la CNIL a par exemple prononcé une amende de 3,05 millions d’euros à l’encontre de Carrefour France et de Carrefour Banque pour de nombreux manquements au RGPD, en matière de sécurité des traitements, de collecte des données et de transparence vis-à-vis des personnes concernées.
Les sanctions prévues à l’article 83 du RGPG peuvent atteindre 4 % du chiffre d’affaires mondial de la société, et les condamnations prononcées dans les différents pays se rapprochent de plus en plus de ce plafond.
Une non-conformité est souvent révélatrice de mauvaise transparence auprès des personnes concernées et de failles de sécurité profondes dans les systèmes d’information. Outre les sanctions et le préjudice d’image, les coûts de (re)mise en état sont importants et donc extrêmement coûteux, spécialement dans le cadre d’une acquisition de sociétés.
Marriott International en a fait l’amère expérience lors de son acquisition de Starwood Hotels en 2016 pour plus de 12 milliards de dollars. Elle s’est vue sanctionnée d’une amende de 99 millions de livres par l’autorité de contrôle anglaise (ICO), pour une faille découverte deux ans après l’acquisition de la cible portant sur des faits antérieurs à celle-ci.
