Aujourd’hui, le montant de la sanction pécuniaire prévue par l’article 45 de la loi Informatique et Libertés est de 150 000 euros maximum. En cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, l’amende ne pourra excéder 300 000 euros ou, s’agissant d’une entreprise, 5 % du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300 000 euros (article 47).
Le projet de loi « République numérique » adopté le 20 juillet 2016 a augmenté le montant de l’amende à 3 millions d’euros maximum (article 33 bis B).
A compter du 25 mai 2018 (applicabilité directe du Règlement européen sur les données personnelles) l’amende pourra atteindre 20 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
En complément des sanctions administratives, s’ajoutent des sanctions pénales : le fait de procéder ou de faire procéder à un traitement de données à caractère personnel en violation des dispositions prescrites par la loi n° 78-17 du 6 janvier 1978 est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende (Article 226-17 du Code pénal), à multiplier par 5 pour les personnes morales.
Charlotte GALICHET