Quelles sanctions en cas de non respect du RGPD ?

Quelles sanctions en cas de non respect du RGPD ?

Lors de la création d’entreprise, qu’il s’agisse d’une SARL (ou EURL), d’une SAS (ou SASU) et même dans le cas de certains auto-entrepreneurs, le RGPD est devenu une obligation à laquelle il faut se soumettre faute de quoi ceux qui se risqueraient à l’ignorer se verraient infliger de lourdes sanctions.

Deux sortes de sanctions sont prévues si les entreprises ou les organismes privés ou publics en charge du traitement de données personnelles violent une des dispositions du Règlement européen général sur la protection des données (RGPD) après son entrée en vigueur le 25 mai 2018. Les montants de ces sanctions sont extrêmement élevés et ont avant tout un rôle dissuasif. Cela permet d’apporter plus de transparence lors de la collecte de données à caractère personnel et d’en faire un usage plus sécurisé et plus respectueux. Pensez donc à vous former à cette nouvelle réglementation.

 

Non respect du RGPD et risques de sanctions

L’imprudence et la négligence des entreprises et organismes publics ou privés lors du traitement de données sensibles sont désormais directement et lourdement sanctionnées par le RGPD.

Le RGPD impose aux entreprises et organismes traitant des données sensibles (données à caractère personnel) de nombreuses obligations.

Les entreprises et organismes doivent :

  • Garantir la sécurité maximale des données personnelles
  • Demander en aval le consentement des personnes concernées
  • Etre transparente dans le traitement des données – c.à.d. une obligation d’information et de conseil des personnes concernées
  • Respecter les droits de la personne concernée lors du traitement des données
  • Tenir un registre des traitements de données – ce registre est obligatoire quand le volume d’une entreprise dépasse les 250 personnes
  • Nommer un délégué à la protection des données (DPO)
  • Effectuer des Analyses d’impact préalable aux traitements des données personnelles permettant de gérer au préalable les risques éventuels lors du traitement (une fuite des données par exemple)

L’organisme ou l’entreprise doit avoir une relation continue et intense avec la CNIL grâce au DPO pour une information fluide et rapide de l’autorité de contrôle en cas de violation des données personnelles.

Le non-respect d’une de ses nombreuses obligations réglementées dans le RGPD peut engager la responsabilité du responsable au traitement des données personnelles et engendrer des sanctions lourdes de conséquences pour l’entreprise ou l’organisme fautif à partir du 25 mai 2018.

 

L’autorité de contrôle “CNIL” et les sanctions en cas de non-respect du RGPD

Le rôle de la CNIL

La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité chargée du contrôle des RGPD et de veiller au respect et à l’application conforme du RGPD. Le RGPD suit pour cela une logique de contrôle.

Elle a donc un devoir de vigilance, de dissuasion et de fermeté vis-à-vis des manquements des responsables de traitements et des sous-traitants.

Les autorités de contrôle (en France la CNIL) ont à présent le droit d’imposer elles-mêmes des sanctions administratives quand les conditions vues ci-dessus sont réunies. L’autorité de contrôle doit également s’assurer que les sanctions administratives prévues en cas de manquements au RGPD sont effectives, proportionnelles et dissuasives. Elle doit choisir le moyen le plus apte à atteindre l’objectif recherché : la mise en conformité de l’activité des entreprises et organismes au RGPD.

Le système de sanctions graduelles

Les moyens dissuasifs mis à la disposition de l’autorité de contrôle se trouvent à l’article 58 §2 du RGPD.
L’intervention de l’autorité de contrôle est progressive en fonction de la gravité du manquement de l’entreprise à une des obligations découlant du RGPD.
Les sanctions sont donc graduées en fonction de la violation du RGPD, tout en étant renforcées par rapport aux dispositions légales précédentes (entre autres la loi Informatique et libertés en France).

Les infractions sont donc sanctionnées graduellement et en fonction de leur gravité :

  • Etape 1 : Avertissement ou une mise en demeure de l’entreprise fautive avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD
  • Etape 2 : Injonction de cesser la violation
  • Etape 3 (dans certains cas) : Limitation ou suspension temporaire des traitements de données
  • Etape 4 : Sanctions administratives en cas de non-respect aux règles du RGPD après injonction vaine de l’autorité de contrôle

Bon à savoir ! Les sanctions prévues dans le RGPD ne sont donc en réalité que les ultimes sanctions auxquelles les organismes s’exposent s’ils ne suivent pas les injonctions de la CNIL Ces sanctions sont lourdes de conséquences. Elles ne sont pas à prendre à la légère malgré leur caractère « d’ultime recours ».

 

Typologie des sanctions et amendes prévues par le RGPD

Deux sortes de sanctions sont prévues si les entreprises ou les organismes privés ou publics en charge du traitement de données personnelles violent une des dispositions du RGPD après son entrée en vigueur le 25 mai 2018. Les montants de ces sanctions sont extrêmement élevés et ont avant tout un rôle dissuasif

Les amendes administratives

L’article 83 du RGPD :

L’article 83 RGPD liste les conditions permettant à une autorité de contrôle (la CNIL en France) d’imposer une sanction administrative à un organisme ayant violer une des règlementations du RGPD. Ces facteurs doivent être pris en compte pour fixer un montant d’amende proportionnel, dissuasif et effectif par rapport à la violation du règlement européen.

Afin de renforcer la protection des données personnelles faisant l’objet d’un traitement en ligne, une augmentation significative du montant des amendes administratives vient marquer l’entrée en vigueur du Règlement Général Pour la Protection des Données.

Deux niveaux de sanctions administratives prévus par le RGPD

Les sanctions administratives sont réparties en deux groupes en fonction de la durée, la nature et la gravité de la violation.

Selon la gravité du dysfonctionnement constaté et lié au RGPD, notamment lorsqu’il s’agit d’un des manquements aux obligations suivantes, une amende d’un montant de 2% du chiffre d’affaires mondial pour les entreprises ou 10 millions d’euros d’amende peut être appliqué :

  • les obligations incombant au responsable du traitement et au sous-traitant
  • les obligations incombant à l’organisme de certification
  • les obligations incombant à l’organisme chargé du suivi des codes de conduite.

Exemples : l’absence de tenue d’un registre des traitements ou l’absence d’analyse d’impact préalable aux traitements des données personnelles.

Dans le cas d’infractions plus graves liées à la mauvaise application ou au non-respect du RGPD, une amende qui correspond à 4 % du chiffre d’affaires mondial s’agissant des entreprises ou 20 millions d’euros d’amende. Les infractions en question doivent concerner les dispositions suivantes :

  •  L’obligation de consentement de la personne concernée avant collecte, traitement ou stockage des données personnelles
  • Les autres droits des personnes concernées
  • Les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale
  • Toutes les obligations découlant du droit des Etats membres
  • Le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle.

Exemples : le défaut de consentement de la personne concernée par le traitement des données personnelles d’une entreprise, refus de coopérer avec la CNIL après injonctions de celle-ci (exemple : avertissement et mise en demeure de mise en conformité d’un traitement de données au RGPD) ou manque de sécurité et de prudence lors d’un transfert transfrontalier des données personnelles.

Les sanctions pénales

D’après l’article 84 du RGPD, les Etat Membres peuvent également mettre en place des sanctions supplémentaires en cas de violation du RGPD, en particulier pour compléter le RGPD. Il s’agit surtout de réprimander les violations qui ne font pas l’objet d’amendes administratives au sens de l’article 83 du RGPD.

On les retrouve en France à la section « Des atteintes aux droits de la personne résultat des fichiers ou des traitements informatiques » (articles 226-16 à 226-24) du Code pénal. Il existe donc par exemple une sanction pénale en cas de détournement de la finalité des données personnelles lors d’un traitement de données (Article 226-21 du Code pénal).

Les sanctions pénales peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (Article 226-16 du Code pénal).

 

Dommages et intérêts et déficit d’image en cas de non-respect du RGPD

Les dommages et intérêts

Les personnes concernées par la violation d’une des dispositions du RGPD sont victimes du comportement des responsables de traitement et peuvent en éprouver un dommage matériel et moral. La personne concernée et lésée par le traitement de données non conforme au RPGD peut décider de porter plainte contre l’organisme en faute, généralement suite à une fuite de données personnelles. Le RPGD suit en effet une logique de renforcement des droits des citoyens européens.

D’éventuels dommages et intérêts devront alors être versés à la personne concernée si elle en fait le recours en justice. Ils seront considérés comme une sanction supplémentaire aux amendes administratives ou aux sanctions pénales dont l’organisme peut faire l’objet.

Le déficit d’image de l’organisme non conforme au RGPD

Enfin, le non-respect du RGPD peut entrainer une perte de réputation de l’organisme fautif face à la concurrence sur le marché. Un manquement ou une absence de mise en conformité d’une entreprise au RGPD risque de nuire à son image et à sa réputation. En effet, les clients vont perdre confiance en l’entreprise.

  • Emmanuel Aires Monteiro

    et concraitement en tant que consomateur, comment on fait pour deposer une reclamation??? Je reçois des mailings sans opt-out et sans avoir fait de opt-in de C discount et Bouygues.

    J’aimerai les attaquer…