RGPD : Attention aux dommages et intérêts demandés en justice

NOYB (none of your business), une ONG qui est à la base de l’action contre Facebook et de l’arrêt du Privacy Shield, vient d’obtenir en Belgique le droit de représenter les consommateurs et les citoyens en justice. Il est donc utile de rappeler que les organisations, les PME, les ASBL, les indépendants et ici aussi le secteur public, risquent également de se voir condamner à des dommages et intérêts en justice pour non-respect du RGPD.

On évoque souvent les amendes, qui peuvent d’ailleurs être importantes, mais on oublie souvent que les risques ne se limitent pas aux amendes. On évoque moins souvent que la publication de la sanction peut évidemment entacher la réputation de l’organisation. Mais on oublie qu’il est aussi possible d’obtenir des dommages et intérêts en justice, et notamment dans le cadre d’actions collectives. Il est donc nécessaire de rappeler les risques que courent TOUTES les organisations, mais aussi les PME, les indépendants, les professions libérales.

Et ces risques sont réels, car dans ma pratique professionnelle de DPO, de formateur pour DPO, de CEO de GDPRfolder et de conseils aux organisations, grandes et petites, du secteur public et du secteur privé, je constate que bon nombre d’entre elles ne sont pas encore en règle et pour certaines qu’elles ont purement et simplement décidé soit de ne rien faire soit de faire le strict minimum.

Les risques sont pourtant importants et il n’est pas inutile de les rappeler.

On en parle peu, mais le nombre de plaintes est très important, même en Belgique. En effet, porter plainte est gratuit, ne nécessite pas de recours à un avocat et se fait en quelques minutes en complétant un formulaire qui se trouve sur le site de l’autorité de protection des données. La plainte sera à la base d’un contrôle de l’autorité de protection des données qui pourra alors déboucher sur une sanction.

Certes les amendes, qui sont potentiellement importantes car elles peuvent aller jusqu’à 20 millions € et même dépasser ce montant pour les grandes entreprises car elles peuvent aller jusqu’à 4% du chiffre d’affaires annuel. Et si en Europe les montant se chiffrent en centaines de millions d’euros, malheureusement l’autorité belge, pour des raisons plus politiques que de défense des consommateurs et citoyens, n’a imposé que des amendes très faibles, ce qui est totalement contre-productif par rapport au rôle de l’autorité qui est de convaincre, par tous les moyens, les organisations et indépendants de se mettre en règle par rapport au RGPD.

En effet, comment voulez-vous convaincre une ASBL, par exemple, de se mettre en ordre alors que l’amende la plus forte dans ce secteur a été de 1.000€. Comment ne pas comprendre que les ASBL préfèrent ne pas dépenser en conseil ou en solution informatique souvent plus chères que le montant de l’amende maximale ? Quand le gendarme ne fait pas peur, pourquoi respecter la loi ?

Autre caractéristique belge étonnante : les amendes ne s’appliquent pas au secteur public. Cette discrimination, condamnée par tous les juristes pour son manque de justification légale, et qui fait aujourd’hui l’objet d’un recours, n’a évidemment pas poussé tous les acteurs du secteur public à se mettre en règle. J’ai même entendu un haut responsable d’une administration déclarer que puisqu’il n’y avait pas de sanction le RGPD « n’est pas vraiment une priorité ».

Il est évident que vos clients, abonnés, membres, prospects, etc. ne seraient pas ravi de vous voir épingler par l’autorité de protection des données. La conséquence indirecte peut être une perte de clientèle actuelle ou future. De plus vos concurrents ne manqueront pas de le faire savoir, d’autant plus si eux ont eu la prudence de se mettre en règle. Sans oublier que la presse et les réseaux sociaux sont friands de ce genre d’incidents.

On l’oublie trop souvent, mais indépendamment des sanctions de l’autorité de protection des données, les citoyens et consommateurs peuvent aussi porter plainte en justice et demander des dommages et intérêts. Certes ce genre de procédure est rare, car elle nécessite le recours à un avocat et entraine des frais qui pourraient être supérieurs au montant des dommages et intérêts.

Mais il ne faut pas oublier que les actions collectives sont possibles, et par exemple, Test-Achats a entamé une action de ce type contre Facebook en représentant de nombreux consommateurs. L’avantage de ces actions colectives est que les frais de justice et d’avocats sont partagés par tous les consommateurs qui se regroupent, et donc ce type d’actions va évidemment se développer.

La récente décision d’octroyer l’autorisation à NOYB d’intenter des actions collectives nous a rappelé que ce type d’actions n’est pas uniquement théorique. Et quand on sait que NOYB a déjà porté plainte récemment contre quelques entreprises belges qui ne respectaient pas la décision de la cour de justice européenne interdisant le transfert de données personnelles vers les USA, le risque est réel.-, et d’ailleurs ils ont publié cette information sur leur site en insistant sur les possibilités que cette reconnaissance leur offrait de demander des millions d’euros au nom des consommateurs qu’ils défendront.

Les actions collectives qui sont très nombreuses dans les pays anglo-saxons sont peu connues chez nous. On peut parier sans trop de risque, que si NOYB a demandé et obtenu le droit d’intenter des actions collectives en Belgique c’est pour s’en servir.

Et si le secteur public est, temporairement, à l’abri des amendes, rien ne s’oppose à ce qu’une action collective soit dirigée vers un acteur du secteur public et une condamnation à des dommages et intérêts est dont tout à fait possible.

Que vous recommander d’autre que, face à ces risques réels, de vous mettre en ordre par rapport au RGPD, et le plus rapidement possible. L’analyse de risques qui consistait à mettre en balance le risque financier et le coût de mise en conformité a changé. Le risque est devenu élevé, le nombre de plaintes explose, et il existe des solutions efficaces et bon marché qui pourront vous aider.