BLOG AIDE
    S'inscrire ou Se connecter

    RGPD 2018 : quelles sont les sanctions prévues ?

    Gestion d'entreprise
    Captain Contrat
    LE
    4min

    La protection des données est l’une des questions les plus importantes de notre époque ultra connectée. Comme vous le savez, les progrès effectués ces dernières années dans le domaine des TIC suppriment quasiment les frontières et permettent aux citoyens, partout dans le monde, de s’informer, de communiquer, de faire des opérations financières, etc.

    Mais parallèlement, ces progrès permettent à beaucoup d’entités ou de sociétés commerciales de collecter les données personnelles de millions de personnes, et d’en faire commerce directement ou indirectement.

    En effet, d’importantes quantités de données personnelles sont chaque jour collectées par les entreprises et les administrations, dans le cadre de diverses opérations effectuées avec ou sans l’accord de leurs clients ou administrés.

    Face aux risques, débordements et inflation généralisée du traitement des données qui dans les faits dépouillent les citoyens et les états de leurs biens les plus naturels (leurs données personnelles), l’Europe a tenté de mettre en place des garde-fous pour s’assurer que le traitement qui est fait de leurs données garantisse la sécurité, l’intégrité et les droits des citoyens.

    C’est donc dans cette optique que le RGPD a été instauré. Il consacre de nombreuses règles qui devront être respectées par les professionnels dans le traitement des données qu’ils collectent.

    Que risque-t-on en cas de non-respect de ces règles ? Nous répondons à la question dans le présent article. Mais avant, rappelons ce qu’est le RGPD.

     

    Facilitez la transition de votre entreprise au RGPD Je découvre  l'accompagnement RGPD

    Captain Contrat décrypte le droit en vidéo : Le RGPD pour les PME, les TPE et les startups

    RGPD : Définition

    Le RGPD (Règlement Général sur la Protection des Données) — GDPR en Anglais — est une directive européenne obligeant toute entreprise ou administration à respecter certaines règles lorsqu’il doit traiter des données personnelles. Initié par la commissaire européenne Viviane Reding en janvier 2012, il a fait l’objet d’un long travail législatif avant d’être adopté le 14 avril 2016.

    Le RGPD est destiné à remplacer la directive de 2015 relative à la protection des données personnelles. Adoptée avant l’arrivée de l’ère de l’internet des objets, des réseaux sociaux, du Big Data et du Cloud computing, cette directive n’est plus à la hauteur des nouveaux défis nés des progrès technologiques.

    À l’heure où les données personnelles massivement collectées sur internet font quasiment l’objet d’un business à part entière, il était urgent de prendre des résolutions adéquates pour la protection de la vie privée des internautes. C’est donc pour cette raison que le législateur a adopté le nouveau règlement qui a été promulgué le 27 avril 2016.

    Le RGPD crée un cadre unique pour la protection des données des ressortissants européens. Étant un règlement, il n’a pas besoin d’être transposé dans le droit national d’un État avant d’être applicable. Il entrera en application directe le 25 mai 2018 sur tout le territoire de l’Union Européenne.

    A cette date, tous les organismes gérant des traitements de données à caractère personnel devront être en conformité avec les dispositions du règlement à cette date ; qu’ils soient publics ou privés.

    Les risques encourus en cas de non-respect du RGPD

    Quand risquez-vous d’être répréhensible ?

    Comme nous venons déjà de le signifier, le RGPD impose certaines obligations que doivent respecter les organismes collectant et traitant des données à caractère personnel. Il s’agit de :

    • Faire preuve de transparence en fournissant une information claire et intelligible à chaque fois que des données personnelles sont collectées ou traitées ;
    • Obtenir le consentement des personnes ciblées ;
    • Prévoir et garantir la sécurité des données récupérées et traitées ;
    • S’assurer de la compliance des partenaires techniques ou autres, ayant accès aux données ;
    • Nommer un délégué à la protection des données (DPD ou DPO) dans certains cas
    • Respecter les droits des personnes (droit d’accès à leurs données, droit d’opposition, de limitation, de rectification…) ;
    • Faire une étude d’impact préalable en cas de données sensibles ;
    • Tenir un registre des traitements (une obligation pour certaines entreprises pour lesquelles les traitements de données sont essentiels) ;
    • Informer rapidement la CNIL et les personnes concernées après une fuite de données.

    Tout organisme qui n’aura pas respecté ces diverses obligations à partir du 25 mai 2018 peut s’exposer à des sanctions administratives et pénales.

    C’est la CNIL (qui à l’occasion change de rôle) qui sera chargée de veiller au respect du RGPD et pourra constater des irrégularités.

    La CNIL pourra obliger les contrevenants à se mettre en règle dans de brefs délais. Dans le cas où la situation viendrait à perdurer, la CNIL pourra prononcer les sanctions nécessaires.

     
    powered by Typeform

    RGPD 2018 : Quelles sanctions sont prévues ?

    L’autorité de contrôle est donc la CNIL. Son intervention est graduelle, et varie en fonction de la gravité des violations notées. En effet, avant d’arriver à de grosses pénalités, la CNIL peut commencer par un avertissement. Une mise en demeure peut être adressée à l’organisme en question en vue de le contraindre à se mettre en conformité.

    Il est du pouvoir de la CNIL de suspendre temporairement les traitements de données. Ceci peut causer de nombreux désagréments aux entreprises notamment celles dont les traitements de données constituent le centre même des activités. Si malgré les diverses mises en garde, la CNIL constate qu’un organisme ne se décide vraiment pas à se mettre à jour, elle peut lui infliger une amende sur le chiffre d’affaires.

    Pour des violations comme le défaut de tenue d’un registre des traitements, le défaut d’annonce suite à une faille décelée ou encore le défaut d’étude d’impact sur la vie privée — en cas de données sensibles — le montant de l’amende peut atteindre 2 % du chiffre d’affaires mondial de l’entreprise ou la somme de 10 millions d’euros.

    Ce montant peut grimper à 4 % du chiffre d’affaires mondial ou atteindre les 20 millions d’euros en cas de refus d’obtempérer face aux injonctions de la CNIL, en cas de traitements de données illégaux, de défaut de consentement, de manque de prudence lors des transferts transfrontaliers de données ou encore de non-respect des droits des personnes.

    Notons pour finir qu’à ces diverses amendes administratives peuvent s’ajouter des demandes de dommages et intérêts si une personne touchée par une des violations — par exemple en cas de fuite de ses données personnelles — décidait de porter plainte. La facture pourrait être encore plus exorbitante.

    Pour résumer, il faut noter que le RGPD vise à garantir la protection et le renforcement des droits des utilisateurs. Il est impérieux pour toute structure procédant à des traitements de données personnelles de citoyens européens de se plier strictement à ses règles avant le 25 mai 2018.

    En cas de manquement, ces organismes peuvent être contraints de payer des amendes sur les chiffres d’affaires. Mais, en dehors de l’aspect financier, il ne faut pas perdre de vue l’impact qu’une affaire de manquement au respect du RGPD pourrait avoir sur l’image d’une entreprise. Un déficit de confiance peut naître au niveau des clients.

    Encore des questions sur le RGPD ? Consultez un avocat spécialisé Je consulte  un avocat en ligne

    Le sujet du RGPD vous intéresse ?

    Inscrivez-vous à notre newsletter dédiée au RGPD : vous recevrez en temps réel les contenus pratiques (guides, invitation à des webinars et ateliers, etc.) que nous mettons à disposition des entrepreneurs et des PME/TPE pour les aider à se préparer sereinement.

     
    Donnez votre avis
      ARTICLES SIMILAIRES
      RGPD 4

      protection des données personnelles

      RGPD : qui est concerné ?

      rgpd_questionnaire

      protection des données personnelles

      RGPD : évaluez en 20 questions la conformité de votre entreprise

      Données_Personnelles_DPO

      protection des données personnelles

      Délégué à la protection des données (DPO) : quel est son rôle ?

      equipe_technique_rgpd-min

      protection des données personnelles

      RGPD et équipes techniques : comment s'organiser ?

      Portabilité_données_RGPD

      protection des données personnelles

      Portabilité des données : que va permettre le RGPD ?

      Yann Ricard
      A propos de Yann Ricard

      Diplômé d'un Master 2 en Droit des Affaires et Fiscalité, Yann est en voie de devenir avocat. Eternel amoureux des legaltech, il a décidé de rejoindre l'aventure Captain. Son secret ? Il purge sa bonne conduite en dépassant les limites de vitesse en moto et en troublant le voisinage comme il le peut avec sa guitare.

      COMMENTAIRES