Depuis l’entrée en vigueur du règlement pour la protection générale des données personnelles (RGPD) en 2018, de nombreux organismes ont dû mettre en place un certain nombre de mesures afin d’être en conformité à la nouvelle réglementation relative au traitement des données personnelles. Lorsque les organismes ne respectent pas ces mesures ils s’exposent à des sanctions plus ou moins lourdes en fonction de la gravité de la violation.
Comment un organisme est-il sanctionné en cas de non-respect du RGPD ?
Un organisme peut être sanctionné au titre du non-respect du RGPD dans le cadre d’une plainte ou d’un contrôle effectué par la CNIL.
Le dépôt d’une plainte ou d’un signalement auprès de la CNIL
Toute personne est en mesure de déposer une plainte ou un signalement auprès de la CNIL dans les cas suivants :
- Lorsqu’elle n’arrive pas à exercer ses droits relatifs à la loi « Informatique et Libertés »
- Lorsqu’elle souhaite signaler une atteinte aux règles de protection des données personnelles par un organisme public ou privé
Pour adresser une réclamation, elle peut se rendre sur le site internet de la CNIL par le téléservice de plainte en ligne pour certains cas. Elle peut également contracter l’autorité de contrôle par courrier postal en écrivant à :
« CNIL – SERVICES DES PLAINTES – 3 PLACE DE FONTENOY – TSA 80715 – 75334 PARIS CEDEX 07 ».
La personne doit joindre à sa réclamation tous les documents pouvant attester des faits décrits.
Le contrôle effectué par la CNIL
La CNIL peut également être amenée à sanctionner les responsables de traitement suite à un contrôle effectué à posteriori. Ce dernier vise à vérifier la mise en œuvre concrète de la loi et peut s’opérer auprès de tout organisme traitant des données à caractère personnel dès lors :
- Que l’organisme visé par le contrôle est établi en France
- Que le traitement concerne des résidents français
Ce contrôle peut être effectué par la CNIL en coopération avec d’autres autorités de protection des données si l’organisme dispose de plusieurs établissements dans l’UE ou traite les données personnelles de personnes dans l’UE.
Le RGPD permet également à la CNIL d’effectuer des vérifications auprès de prestataires sous-traitants chargés de la mise en œuvre d’un traitement pour le compte d’un organisme.
Ainsi ces contrôles peuvent avoir lieu du fait :
- Du programme annuel des contrôles
- De l’initiative de la CNIL
- D’un contrôle des dispositifs de vidéoprotection
- De la procédure de contrôle clôturée, des mises en demeure et des sanctions
Quelles sont les sanctions en cas de non-respect du RGPD ?
Les organismes contrevenant aux règles imposées par le RGPD relatives au traitement de données personnelles s’exposent à des sanctions de diverses nature :
- Administrative
- Pénales
- Versement de dommages et intérêts
- Déficit d’image
Les sanctions administratives
La CNIL peut prononcer plusieurs types de sanctions administratives à l’encontre de l’organisme contrevenant, dont la mise en œuvre peut être graduelle :
- Mesures correctrices
- Sanctions administratives
- Sanctions pénales
- Versement de dommages-intérêts et publicité de la violation
Les mesures correctrices
L’article 58 du RGPD offre aux autorités de contrôle le pouvoir d’adopter des mesures correctrices. Celles-ci peuvent être prononcées en complément des sanctions administratives. Cependant, du fait de leur caractère dissuasif, elles ont tendance à être prises avant les amendes liées au RGPD.
Les sanctions sont donc graduelles en fonction de la gravité de la violation du RGPD constatée. Ainsi, la CNIL est en mesure de délivrer :
- un avertissement ou une mise en demeure de l’entreprise fautive avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD
- une injonction de cesser la violation
- une limitation ou suspension temporaire des traitements de données
- des sanctions administratives en cas de non-respect des règles du RGPD après injonction vaine de l’autorité de contrôle
Bon à savoir : Les sanctions prévues par le RGPD ne sont donc en réalité que les ultimes sanctions auxquelles les organismes s’exposent s’ils ne suivent pas les injonctions de la CNIL.
Les sanctions administratives
La CNIL peut sanctionner le non-respect du RGPD par des sanctions administratives. Ces dernières doivent être proportionnées et dissuasives. Elles tiennent compte des critères suivants :
- La gravité et la durée de la violation
- Le degré de coopération
- Les mesures prises pour atténuer le dommage subi par la personne concernée
Ainsi, l’autorité de contrôle peut également fixer des amendes à régler. Leur montant dépend de la violation constatée :
- 10 millions d’euros ou 2% du chiffre d’affaires : c’est le cas lorsque les entreprises violent les conditions imposées concernant le recueil du consentement des enfants ou si elles ne respectent pas le principe du privacy by design ou du privacy by default.
- 20 millions d’euros ou 4% du chiffre d’affaires : c’est le cas lors d’une violation des principes de traitement des données ou le non-respect des conditions de licéité du traitement.
Les sanctions pénales
Les Etats membres peuvent mettre en place des sanctions supplémentaires en cas de violation du RGPD, grâce à l’article 84 du RGPD.
En France, l’article 226-21 du code pénal prévoit une sanction en cas de détournement de la finalité lors du traitement des données personnelles pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.
Le versement de dommages et d’intérêts et le déficit d’image
Enfin, outre les sanctions précédemment listées, la violation du RGPD peut également entrainer d’autres conséquences telles que :
- La publicité de la violation commise par l’organisme : la CNIL peut en effet obliger l’organisme ou l’entreprise contrevenante à publier la sanction dont elle a fait l’objet.
- La condamnation au versement de dommages et intérêts : les personnes victimes de la violation du RGPD peuvent subir un dommage matériel ou moral. Dans ce cas, l’organisme contrevenant pourra se voir condamner au versement de dommage-intérêts en réparation du préjudice subi.
FAQ
Quelles sont les sanctions prévues en cas de violation du RGPD ?
Le RGPD prévoit des sanctions administratives et pénales en cas de violation du règlement. Il permet également aux Etats membres de prévoir des sanctions pénales. La France prévoit notamment des sanctions à l’article 226-21 du code pénal.
Qui peut sanctionner les organismes en cas de violation du RGPD ?
Le RGPD confère aux autorités telles que la CNIL un pouvoir de sanction. Celle-ci doit ainsi veiller au respect des principes du RGPD. Dans le cas contraire, elle peut prononcer des mesures correctrices telles qu’un avertissement. Si la violation persiste, des sanctions pécuniaires seront alors prononcées.
Comment éviter les sanctions liées au RGPD ?
Afin d’éviter toutes sanctions, les responsables de traitement sont dans l’obligation de se mettre en conformité avec le RGPD. Pour cela, ils doivent veiller à respecter plusieurs obligations et principes, tels que la licéité du traitement ou la minimisation des données. Ils doivent également respecter les droits conférés aux personnes dont les données sont traitées.
Voir les commentaires (21)
et concraitement en tant que consomateur, comment on fait pour deposer une reclamation??? Je reçois des mailings sans opt-out et sans avoir fait de opt-in de C discount et Bouygues.
J'aimerai les attaquer...
Il est possible de saisir la CNIL pour cela : https://www.cnil.fr/webform/adresser-une-plainte
Bonjour,
Ce genre de pratiques peuvent être signalées directement auprès de la Commission nationale de l'informatique et des libertés (CNIL).
En espérant que notre réponse vous sera utile.
L'équipe LegalPlace
L'objectif initial du RGPD était semble t-il de lutter contre les spams. Or en pratique, rien n'a vraiment été fait qui permette d'améliorer cette lutte réalisée par des petits groupes épars, bien en dehors de ces considérations juridiques: pas de progrès sur les outils ou les moyens d'authentifications des hackers ou des spammeurs. Les outils de reporting actuellement existants sont notoirement inefficients.
De l'autre côté, les hackers, grâce au RGPD s'en donnent à coeur joie et vont se remplir les poches :
"La sécurité à 100% est un mythe.
Les applications et systèmes d'exploitation auront toujours des bugs. Les défauts d'architecture matérielle, comme Meltdown et Spectre préexistent à l'insu même parfois des plus férus des "experts" et des gouvernements. Les utilisateurs se feront piéger et, soit divulgueront des données confidentielles, soit permettront à un hacker de pénétrer vos systèmes informatiques." ( Ref. https://www.easytech.lu/gdpr/)
Je trouve scandaleux de vouloir faire porter totalement la responsabilité du hacking aux entreprises qui hébergent et exploitent des données (la plupart de celles sur Internet qui ont des sites web et consignent à minima des noms/prénoms).
Et s'il n'y a pas de nom/prénoms mêmes des textes anonymes ("invités") sur des blogs, par profiling permettent de retrouver et d'identifier leurs auteurs.
Une conséquence directe: le développement du "ransom hack". Saisissez juste RansomHack et dans votre moteur de recherche vous trouverez un florilège de références:
* https://siliconangle.com/2018/06/24/europes-gdpr-leveraged-new-form-cyberattack-dubbed-ransomhack/
* https://www.hackread.com/ransomhack-gdpr-attack-blackmailing-business-owners/
* https://www.alarmtilt.com/nl/nieuws/1389-ransomhack-when-the-gdpr-becomes-the-catalyst-for-a-crisis
* http://www.itforbusiness.fr/thematiques/securite/item/10475-le-ransomhack-surfe-sur-la-vague-rgpd
etc.
Par ailleurs, cette loi rempli les poches des juristes et des experts en informatique...
Est-ce que cela réduira la quantité de spams ou de pubs non sollicités ? Je doute fort que non !
Bonjour,
Mon employeur a fournit mon adresse personnelle à mon R+1 ainsi qu'à un autre collègue qui lui, s'est présenté chez moi.
Évidemment sans mon accord en amont.
C'est clairement une violation RGPD selon moi ?
Que puis-je faire svp ?
Merci beaucoup pour votre retour.
Bonjour,
Si la communication de votre adresse postale a été réalisée sans votre accord, vous avez la possibilité d'adresser une plainte à la CNIL grâce au lien suivant : https://www.cnil.fr/fr/plaintes. Vous pouvez également leur adresser un courrier postal à l'adresse : CNIL - Service des Plaintes - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07.
Cependant, il est probable que votre supérieur ait dans le cadre de ses fonctions accès aux données personnelles de ses employés. Il serait donc recommandé de vous renseigner tout d'abord auprès du data protection officer (DPO) de votre entreprise afin de connaitre les procédures de traitement des données personnelles au sein de votre entreprise.
En espérant que notre réponse vous sera utile.
L'équipe LegalPlace.
Bonjour, je viens d'entrer dans une entreprise en qualité de développeur informatique.
L'application principale sur laquelle je travaille récolte des tas de données sensibles (n° sécu entre autres, je sais que ce dernier est directement concerné par le RGPD car j'ai déjà eu à le gérer lors de développements précédents).
Rien, absolument rien n'a été mis en place au sein de l'application (ils vendent des licences à des clients) alors que nous sommes en février 2022.
Comment faire pour que ces pseudo professionnels inconscients (ils s'en foutent, j'ai déjà remonté le point mais ce n'est toujours pas dans le pipe) se prennent les taquets qu'ils méritent ?
Car de mon côté, j'apprécie moyennement qu'on "oublie" de me dire en entretien que "chez nous, on fuck la loi" et de devenir hors la loi dès que j'ai franchi le seuil de leur porte.
D'avance, merci
Bonjour,
Si votre employeur ne respecte pas les dispositions du RGPD quant à la protection des données sensibles vous avez deux possibilité d'adresser une réclamation à la CNIL, elle interviendra auprès de votre employeur si les éléments que vous nous apportez sont suffisamment conséquents (voir le site internet suivant : https://www.cnil.fr/fr/plaintes/travail)
En espérant avoir pu répondre à vos interrogations,
L'équipe Legalplace
Bonjour,
Je suis depuis 2mois dans une entreprise en tant que chef de projet vente directe. Mon DG me demande de mener des actions qui vont à l'encontre du RGPD (collecte d'informations personnelles d'alumni de business schools) pour ensuite leur envoyer des emails.
Deux questions:
Quels sont mes moyens de refuser?
Si cela est fait (vu l'insistance, tous les moyens seront bons pour aller jusqu'au bout de l'idée...) à qui revient la responsabilité et les possibles sanctions?
Merci
Bonjour,
En cas de non respect des normes RGPD de la part de votre employeur, vous avez la possibilité d'adresser une plainte à la CNIL via le formulaire suivant : https://www.cnil.fr/fr/plaintes/travail
Quant à la responsabilité en cas de violation des dispositions du RGPD, en principe cette dernière incombe au responsable de traitement.
En espérant avoir pu répondre à vos interrogations,
L'équipe Legalplace
En cas de non-conformité au RGPD, quel est le montant maximal de la sanction?
Bonjour,
Le montant des sanctions peut s'élever jusqu'à 20 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial.
En espérant avoir su répondre à vos interrogations.
L’équipe LegalPlace
Bonjour
on vient de me refuser un prêt sous motif que jetai interdit de gestion document de la FIBEN il s'avère que l'information été fausse la banque de france a rectifier immédiatement après ma réclamation mais trop tard que faire
Bonjour,
Nous vous invitons à contacter l'organisme de prêt avec les nouvelles informations en votre possession et de tenter de résoudre cette situation à l'amiable.
En espérant que notre réponse vous sera utile, nous vous souhaitons une belle journée.
L'équipe LegalPlace
Quelles bonnes pratiques mettre en place ?
Bonjour,
Les organismes contrevenant aux règles imposées par le RGPD relatives au traitement de données personnelles s’exposent à des sanctions de diverses nature :
- Administrative ;
- Pénales ;
- Versement de dommages et intérêts ;
- Déficit d’image.
En vous souhaitant une belle journée,
L’équipe LegalPlace.
Quel est le droit des victimes ?
Bonjour,
Les victimes du RGPD peuvent faire une réclamation ou exercer un recours juridictionnel effectif devant une autorité de contrôle ou une responsable du traitement ou un sous traitant.
Cela permet aux victimes ayant subit un préjudice matériel ou moral du fait de la violation des ces données personnelles d'obtenir réparation.
En espérant avoir su répondre à vos interrogations.
L'équipe LegalPlace
Bonjour, je réalise une vidéo de prévention RGPD pour l'entreprise qui m'emploi.
On parle des sanctions visant l'organisme/entreprise contrevenante, mais quand est il des sanctions pour l'employer directement?
Peut il y avoir des pénalités visant directement l'employer prévus par la CNIL?
y a t-il une séparation possible entre l'organisme et l'employer?
Bonjour,
En cas de violation des règles RGPD, l'employeur s'expose à des amendes administratives dont le montant peut être très élevé selon l'infraction voire à des sanctions pénales en cas de violation très grave. Pour en savoir plus sur les obligations de l'employeur en matière de RPGD, nous vous invitons à consulter le site de CNIL.
En espérant que cette réponse vous a été utile,
L'équipe LegalPlace
Bonjour,
Que peut-on obtenir en dommages et intérêts dans le cas d'une divulgation de mes données personnelles?
Exemple : une entreprise a envoyé un email a plusieurs clients contenant mon email, nom, prénom, lieu de mes vacances.