Skip to content

Les sanctions en cas de non-respect du RGPD

Les sanctions en cas de non-respect du RGPD

Des sanctions, telles qu’une amende, sont prévues en cas de non-respect du Règlement Général sur la Protection des Données (RGPD). Celui-ci a en effet imposé de nombreuses règles à respecter aux organismes traitant des données personnelles.

Ainsi, les entreprises tout comme les associations sont dans l’obligation de procéder à une mise en conformité au RGPD. Cela leur permet alors d’éviter toutes les sanctions liées au RGPD.

Quelles sont les sanctions et amende en cas de non-respect du RGPD ?

Le RGPD, entré en vigueur en 2018, prévoit deux types de sanctions en cas de non-respect des dispositions concernant le traitement des données personnelles. Outre les amendes prévues par le RGPD, d’autres conséquences peuvent résulter de la violation des principes du RGPD.

Les sanctions et amende prévues par le RGPD

Deux types de sanctions sont prévues par le RGPD : les amendes administratives ainsi que les sanctions pénales.

Les amendes administratives

L’article 83 du RGPD énumère les violations du RGPD engendrant des sanctions administratives. Celles-ci doivent être proportionnées et dissuasives. Avant d’octroyer une amende pour non-respect du RGPD, l’autorité de contrôle doit prendre en compte de nombreux critères. En effet, la délivrance de l’amende ainsi que son montant tiennent compte d’éléments tels que :

  • la gravité et la durée de la violation ;
  • les mesures prises pour atténuer le dommage subi par les personnes concernées ;
  • le degré de coopération, etc. 

Par ailleurs, le montant de l’amende prévue par le RGPD diffère selon la violation constatée. Ainsi, le montant de l’amende s’élève à :

  • 10 millions d’euros ou 2% du chiffre d’affaires : c’est notamment le cas lorsque les entreprises violent les conditions imposées pour le recueil du consentement des enfants ou lorsqu’elles ne respectent pas les principes de privacy by design ou privacy by default.
  • 20 millions d’euros ou 4% du chiffre d’affaires : elle concerne par exemple la violation des principes de traitement des données ou le non-respect des conditions de licéité du traitement.

Les sanctions pénales

L’article 84 du RGPD confère aux Etats membres le pouvoir de mettre en place des sanctions supplémentaires en cas de violation du RGPD. Il s’agit alors de sanctionner les violations qui ne font pas l’objet d’amendes administratives.

Ainsi, la France a inséré au sein de son Code pénal de nombreuses sanctions liées au traitement de données personnelles. L’article 226-21 du Code pénal prévoit par exemple une sanction en cas de détournement de la finalité lors du traitement de données personnelles.

Par ailleurs, les sanctions pénales s’élèvent jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.

A noter : Les sanctions pénales sont prévues à la section “Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques” du Code pénal.

Les conséquences de la violation du RGPD

Outre les sanctions prévues par le RGPD, la violation de ses dispositions engendre d’autres conséquences. En effet, les entreprises peuvent être confrontées à :

  • une demande en dommages et intérêts : les personnes concernées par la violation du RGPD peuvent subir un dommage matériel ou moral. L’organisme sera alors amené à verser des dommages et intérêts.
Attention : Le versement de dommages et intérêts intervient en complément du paiement de l’amende prononcée pour non-respect du RGPD. En effet, le paiement de dommages et intérêts ne se substituent pas aux sanctions administratives et pénales.
  • un déficit d’image : un manquement ou une absence de mise en conformité d’une entreprise au RGPD risque de nuire à son image et à sa réputation. Cela pourrait alors engendrer une perte de confiance des clients en l’entreprise, et donc une perte de revenus.
Bon à savoir : Afin d’éviter de telles conséquences, des formations RGPD sont proposées aux entreprises. Cela leur permet ainsi de comprendre les enjeux du RGPD et de se mettre en conformité.

Comment sont délivrées les sanctions et amende liées au RGPD ?

Les sanctions et amende liées au RGPD sont délivrées par les autorités de contrôle telles que la CNIL en France. Celle-ci doit répondre à un système de sanctions graduelles.

Le rôle de la CNIL

La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité chargée du contrôle du RGPD. En effet, elle veille au respect et à l’application conforme du RGPD.

Ainsi, elle a donc un devoir de vigilance, de dissuasion et de fermeté vis-à-vis des manquements des responsables de traitements et des sous-traitants.

Le RGPD a donc renforcé les pouvoirs de sanctions de la CNIL. En effet, celle-ci a le droit d’imposer elle-même des sanctions administratives. Elle doit également s’assurer que les sanctions sont effectives, proportionnelles et dissuasives.

A noter : La CNIL doit choisir la sanction la plus adaptée à l’objectif recherché qui est le respect des règles imposées par le RGPD.

Le système de sanctions graduelles

L’article 58 du RGPD offre aux autorités de contrôle le pouvoir d’adopter des mesures correctrices. Celles-ci peuvent être prononcées en complément des sanctions administratives. Cependant, du fait de leur caractère dissuasif, elles ont tendance à être prises avant les amendes liées au RGPD.

Les sanctions sont donc graduées en fonction de la violation du RGPD constatée. Ainsi, la CNIL est en mesure de délivrer :

  • un avertissement ou une mise en demeure de l’entreprise fautive avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD
  • une injonction de cesser la violation
  • une limitation ou suspension temporaire des traitements de données
  • des sanctions administratives en cas de non-respect des règles du RGPD après injonction vaine de l’autorité de contrôle
Bon à savoir : Les sanctions prévues par le RGPD ne sont donc en réalité que les ultimes sanctions auxquelles les organismes s’exposent s’ils ne suivent pas les injonctions de la CNIL.

Comment éviter les sanctions et amende prévues par le RGPD ?

Afin d’éviter toutes sanctions ou amende liées au RGPD, les organismes sont dans l’obligation de se soumettre à cette nouvelle réglementation. Pour cela, ils doivent respecter plusieurs obligations.

Les principes instaurés par le RGPD

Le RGPD a instauré de nombreux principes afin de garantir la protection des données personnelles. Il appartient donc aux organismes d’adapter le traitement des données personnelles aux nouvelles règles imposées par le RGPD.

Ainsi, les responsables de traitement sont dans l’obligation de respecter les principes tels que :

  • la licéité du traitement : l’article 6-1 du RGPD prévoit six conditions dans lesquelles le traitement des données personnelles est permis. Les organismes doivent ainsi veiller à ce que le traitement des données entre dans ces conditions.
Attention : Si le traitement des données personnelles de l’entreprise ne répond pas aux six conditions, celui-ci ne sera pas licite.
  • la minimisation des données : l’organisme a l’obligation de limiter la collecte des données à celles strictement nécessaires par rapport à la finalité du traitement. Ainsi, il doit collecter des données uniquement pour répondre à l’objectif défini.
  • le principe d’accountability : les entreprises sont responsables en cas de non-respect des principes posés par le RGPD. Ainsi, les responsables de traitement doivent mettre en place des mesures pour garantir les principes du RGPD.
  • le principe de “privacy by design” : l’organisme doit veiller à prendre en compte la protection des données personnelles dès la conception du produit ou d’un service.

Le respect des droits des personnes

Le RGPD confère de nombreux droits aux personnes dont les données sont collectées. En effet, celles-ci disposent notamment d’un droit :

  • d’accès ;
  • de rectification ;
  • à la portabilité : toute personne a le droit de récupérer les données qu’elle a fournies à un responsables de traitement.

Les organismes sont ainsi dans l’obligation de mettre en place des mesures veillant à respecter ces droits.

Par ailleurs, ils doivent veiller dans de nombreuses situations à recueillir le consentement dans le cadre du RGPD des personnes concernées.

A noter : Les responsables de traitement doivent également respecter les règles strictes imposées en matière de profilage par le RGPD.

FAQ

Quelles sont les sanctions prévues en cas de violation du RGPD ?

Le RGPD prévoit des amendes lorsque des violations aux dispositions sont constatées. Celles-ci peuvent alors s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires. Par ailleurs, des sanctions pénales peuvent également être prononcées.

Qui peut sanctionner les organismes en cas de violation du RGPD ?

Le RGPD confère aux autorités telles que la CNIL un pouvoir de sanction. Celle-ci doit ainsi veiller au respect des principes du RGPD. Dans le cas contraire, elle peut prononcer des mesures correctrices telles qu’un avertissement. Si la violation persiste, des sanctions pécuniaires seront alors délivrées aux entreprises.

Comment éviter les sanctions liées au RGPD ?

Afin d’éviter toutes sanctions, les responsables de traitement sont dans l’obligation de se mettre en conformité avec le RGPD. Pour cela, ils doivent veiller à respecter plusieurs obligations et principes, tels que la licéité du traitement ou la minimisation des données. Ils doivent également respecter les droits conférés aux personnes dont les données sont traitées.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 19/07/2021

S’abonner
Notifier de
guest
5 Commentaires
le plus ancien
le plus récent
Inline Feedbacks
View all comments
Emmanuel Aires Monteiro
Emmanuel Aires Monteiro
juin 28, 2018 9:17

et concraitement en tant que consomateur, comment on fait pour deposer une reclamation??? Je reçois des mailings sans opt-out et sans avoir fait de opt-in de C discount et Bouygues.

J’aimerai les attaquer…

Gravity
Gravity
août 17, 2018 10:36

Il est possible de saisir la CNIL pour cela : https://www.cnil.fr/webform/adresser-une-plainte

Michael
Michael
octobre 21, 2018 11:13

L’objectif initial du RGPD était semble t-il de lutter contre les spams. Or en pratique, rien n’a vraiment été fait qui permette d’améliorer cette lutte réalisée par des petits groupes épars, bien en dehors de ces considérations juridiques: pas de progrès sur les outils ou les moyens d’authentifications des hackers ou des spammeurs. Les outils de reporting actuellement existants sont notoirement inefficients. De l’autre côté, les hackers, grâce au RGPD s’en donnent à coeur joie et vont se remplir les poches : “La sécurité à 100% est un mythe. Les applications et systèmes d’exploitation auront toujours des bugs. Les défauts… Lire la suite »

Megn
Megn
octobre 29, 2020 2:35

Bonjour,
Mon employeur a fournit mon adresse personnelle à mon R+1 ainsi qu’à un autre collègue qui lui, s’est présenté chez moi.
Évidemment sans mon accord en amont.
C’est clairement une violation RGPD selon moi ?

Que puis-je faire svp ?

Merci beaucoup pour votre retour.

Fatna
Fatna
mai 27, 2021 2:13
Reply to  Megn

Bonjour, Si la communication de votre adresse postale a été réalisée sans votre accord, vous avez la possibilité d’adresser une plainte à la CNIL grâce au lien suivant : https://www.cnil.fr/fr/plaintes. Vous pouvez également leur adresser un courrier postal à l’adresse : CNIL – Service des Plaintes – 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07. Cependant, il est probable que votre supérieur ait dans le cadre de ses fonctions accès aux données personnelles de ses employés. Il serait donc recommandé de vous renseigner tout d’abord auprès du data protection officer (DPO) de votre entreprise afin de… Lire la suite »