RCMS : La responsabilité civile du dirigeant pour défaut de protection des données personnelles

 

RCMS :

La responsabilité civile du dirigeant pour défaut de protection des données personnelles

 

La responsabilité civile du dirigeant pour défaut de protection des données personnelles

Toute entreprise de courtage devant gérer des données personnelles concernant notamment ses clients ou ses collaborateurs doit appliquer rigoureusement les procédures légales de protection de ces données. Si ces obligations ne sont pas respectées, la responsabilité personnelle du dirigeant de la société peut être mise en cause.

Les dispositions légales concernant la protection des données personnelles

Les obligations de protection des données personnelles sont notamment prévues par la loi informatique et libertés du 6 janvier 1078, par la loi du 20 juin 2018 et par le règlement européen numéro 2016/679.

En vertu de ces textes, la société de courtage est tenue de prendre les mesures nécessaires pour que toute personne non habilitée ne puisse pas accéder aux données devant être protégées. Il doit commencer par limiter la quantité de données à traiter en ne demandant aux clients que les indications nécessaires au traitement de leurs dossiers. Ainsi, une société de courtage en crédit immobilier ne doit collecter que les données dont les banques auront besoin pour examiner les demandes de crédit.

Le courtier doit aussi réserver l’accès à ces données aux personnes devant intervenir dans le traitement des dossiers. Il doit faire en sorte que les personnes dont la collaboration n’est pas nécessaire ne puissent pas y accéder, ceci dans le but de réduire le plus possible les risques de fuite.

Il convient par ailleurs de réduire la durée de conservation de ces données à la période nécessaire pour la bonne gestion des services que le courtier rend à ses clients. Le courtier doit aussi informer ses clients de cette durée de conservation.

Si certaines données ont un caractère très personnel comme c’est le cas des données médicales qui peuvent être demandées pour l’assurance d’un prêt immobilier, le courtier doit évaluer les conséquences prévisibles d’une éventuelle fuite de ces données et renforcer leur protection. L’analyse d’impact sur la vie privée de ces données doit être présentée à la CNIL s’il n’a pas été possible de réduire suffisamment le risque de fuite. Dans certains cas, la désignation d’un délégué à la protection des données est obligatoire.

Les sanctions pouvant être prononcées

Toute personne victime d’un manquement à l’obligation de protection de données personnelles peut assigner la société de courtage devant la juridiction compétente et réclamer des dommages-intérêts. Par ailleurs, la Commission nationale de l’informatique et des libertés peut prononcer une amende administrative pouvant atteindre entre 2 et 4 % du chiffre d’affaires annuel du courtier.

La mise en cause de la responsabilité personnelle du dirigeant

Le dirigeant d’une entreprise de courtage doit être particulièrement attentif au respect de l’obligation de protection des données, car il peut être déclaré juridiquement responsable des fautes de ses collaborateurs en vertu du cinquième alinéa de l’article 1242 du Code civil. Les conséquences financières peuvent être lourdes si plusieurs personnes se plaignent en même temps de fuites concernant leurs données personnelles.

Le dirigeant doit donc notamment prendre des mesures rigoureuses pour éviter tout piratage des ordinateurs de l’entreprise. Il a intérêt à demander l’avis d’un technicien spécialisé en informatique pour savoir ce qu’il doit faire pour empêcher une personne indélicate d’introduire des virus grâce auxquels elle collecterait irrégulièrement des données personnelles concernant les clients de la société. Si l’un de ces clients a une raison légitime de chercher à mettre sa responsabilité en cause, il devra prouver que toutes les mesures techniquement possibles avaient été prises pour éliminer le plus possible les risques de piratage de données.

S’il constate un piratage des fichiers informatisés de la société, il doit déposer plainte immédiatement en transmettant l’intégralité du dossier au Parquet. En déposant cette plainte, il doit signaler les risques que le piratage fait peser sur les données personnelles des clients afin que l’autorité judiciaire puisse prendre les mesures appropriées.

Abonnez-vous à nos Newsletters

Mots-clefs : PROTECTION, PROTECTION DES DONNEES, RCMS, RGPD, données