Principe d'exactitude RGPD : article 5(1)(d), sanctions et bonnes pratiques

L’essentiel. Le RGPD impose que les données traitées soient exactes, complètes et tenues à jour. Cette obligation s’applique tout au long du traitement, pas seulement à la collecte. Son manquement expose à des sanctions administratives (CNIL, jusqu’à 20 M€ ou 4 % du CA mondial) et pénales (art. R. 625-12 du Code pénal).

Le principe d’exactitude dans le RGPD

Le principe d’exactitude — quatrième principe fondamental du RGPD — est posé par l’article 5(1)(d) du règlement :

“[Les données] sont exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.”

Cette formulation reprend, en l’enrichissant, le principe historique posé dès 1978 par la loi Informatique et Libertés. Trois exigences s’imposent désormais au responsable de traitement :

• Les données doivent être exactes au moment de la collecte
• Elles doivent rester tenues à jour pendant toute la durée du traitement
• Toute donnée inexacte doit être rectifiée ou effacée sans tarder

Ce dernier point fait du principe d’exactitude un principe proactif : le responsable n’attend pas une demande de la personne pour corriger une erreur. Il doit organiser des contrôles, des vérifications et des mises à jour.

L’exactitude en pratique : leviers opérationnels

L’informatique apporte aujourd’hui des solutions pratiques qui permettent dans un grand nombre de cas de s’assurer simplement de la conformité à ces principes. Plusieurs leviers concrets :

• Auto-complétion par l’utilisateur : nombreuses applications permettent aux personnes de modifier elles-mêmes leurs données (profils utilisateur, espaces clients). C’est la solution la plus efficace : l’utilisateur agit lui-même, à moindre frais pour l’organisation.
• Vérification à la collecte : pour les données critiques (adresse de livraison, RIB, coordonnées de contact), des contrôles automatisés (vérification d’adresse postale, validation IBAN, double opt-in email) limitent les erreurs initiales.
• Synchronisation entre systèmes : une donnée corrigée dans un système doit se propager aux autres. C’est l’un des points de contrôle systématiques de la CNIL en cas d’audit.
• Purges périodiques : les données qui ne peuvent être tenues à jour (anciens clients perdus de vue, prospects inactifs) doivent être archivées ou effacées plutôt que de rester actives.

Le risque pénal historique : article R. 625-12 du Code pénal

Les sanctions de l’inexécution de cette obligation, sur le plan pénal historique, sont posées par l’article R. 625-12 du Code pénal :

“Est puni de l’amende prévue pour les contraventions de la cinquième classe le fait, pour le responsable d’un traitement automatisé de données à caractère personnel, de ne pas procéder, sans frais pour le demandeur, aux opérations demandées par une personne physique justifiant de son identité et qui exige que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant ou concernant la personne décédée dont elle est l’héritière, lorsque ces données sont inexactes, incomplètes, équivoques, périmées, ou lorsque leur collecte, leur utilisation, leur communication ou leur conservation est interdite.”

Le montant de cette contravention est de 1 500 euros, augmenté en cas de récidive et lorsque l’auteur est une personne morale. Ce dispositif pénal subsiste mais a été en pratique supplanté par les sanctions administratives RGPD, bien plus dissuasives.

Les sanctions CNIL : le tournant Free Mobile (2022)

Sous le RGPD, la sanction pour défaut d’exactitude relève du plafond haut de l’article 83(5)(b) : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

La délibération SAN-2022-022 de la CNIL contre Free Mobile (300 000 €) est emblématique : la persistance de données erronées dans les systèmes de facturation, malgré les contestations des clients, a été qualifiée de manquement à l’article 5(1)(d). La décision marque deux principes :

1. L’exactitude est une obligation continue, pas un événement ponctuel. L’organisation doit avoir un processus de détection et correction des inexactitudes.
2. L’absence de demande des personnes n’est pas une excuse. Le défaut d’exactitude est sanctionnable même sans plainte des personnes concernées.

Cette logique est désormais constante : la CNIL contrôle l’effectivité du dispositif de qualité des données, pas seulement la réponse aux demandes individuelles.

Articulation avec le droit de rectification (Article 16 RGPD)

Le principe d’exactitude (Art. 5(1)(d)) et le droit de rectification (Art. 16) sont les deux faces d’une même obligation : l’un est un principe (obligation proactive de l’organisation), l’autre est un droit individuel (déclenché par la demande de la personne).

En pratique, le responsable de traitement doit organiser :

• Un processus de réponse aux demandes de rectification (Art. 16), avec un délai maximum d’un mois (Art. 12(3))
• Un mécanisme de limitation pendant vérification (Art. 18(1)(a)) — la donnée contestée doit être gelée le temps de l’instruction
• Un dispositif de notification aux destinataires des données rectifiées (Art. 19)
• Une procédure interne proactive de qualité de données (campagnes de mise à jour, doubles checks, alertes de péremption)

Le principe d’exactitude s’articule avec les autres principes essentiels du RGPD : principe de finalité, proportionnalité, temporalité. Tous se combinent pour définir un traitement licite et conforme. Pour structurer ce dispositif et industrialiser la qualité de la donnée à l’échelle, un logiciel RGPD permet de tracer les corrections, propager les rectifications aux sous-traitants et documenter le respect du principe.