Quelles sont les sanctions en cas de non-respect du RGPD ?

par
5
Consulter un avocat spécialisé en RGPD

Sommaire

La protection des données est l’une des questions les plus importantes de notre époque ultra connectée. Comme vous le savez, les progrès effectués ces dernières années dans le domaine des TIC suppriment quasiment les frontières et permettent aux citoyens, partout dans le monde, de s’informer, de communiquer, de faire des opérations financières, etc.

Mais parallèlement, ces progrès permettent à beaucoup d’entités ou de sociétés commerciales de collecter les données personnelles de millions de personnes, et d’en faire commerce directement ou indirectement.

En effet, d’importantes quantités de données personnelles sont chaque jour collectées par les entreprises et les administrations, dans le cadre de diverses opérations effectuées avec ou sans l’accord de leurs clients ou administrés.

Face aux risques, débordements et inflation généralisée du traitement des données qui dans les faits dépouillent les citoyens et les états de leurs biens les plus naturels (leurs données personnelles), l’Europe a tenté de mettre en place des garde-fous pour s’assurer que le traitement qui est fait de leurs données garantisse la sécurité, l’intégrité et les droits des citoyens.

C’est donc dans cette optique que le RGPD a été instauré. Il consacre de nombreuses règles qui devront être respectées par les professionnels dans le traitement des données qu’ils collectent.

Que risque-t-on en cas de non-respect de ces règles ? Nous répondons à la question dans le présent article. Mais avant, rappelons ce qu’est le RGPD.

 

Captain Contrat décrypte le droit en vidéo : Le RGPD pour les PME, les TPE et les startups

 

 

RGPD : Définition

Le RGPD (Règlement Général sur la Protection des Données) — GDPR en Anglais — est une directive européenne obligeant toute entreprise ou administration à respecter certaines règles lorsqu’il doit traiter des données personnelles. Initié par la commissaire européenne Viviane Reding en janvier 2012, il a fait l’objet d’un long travail législatif avant d’être adopté le 14 avril 2016.

Le RGPD est destiné à remplacer la directive de 2015 relative à la protection des données personnelles. Adoptée avant l’arrivée de l’ère de l’internet des objets, des réseaux sociaux, du Big Data et du Cloud computing, cette directive n’est plus à la hauteur des nouveaux défis nés des progrès technologiques.

À l’heure où les données personnelles massivement collectées sur internet font quasiment l’objet d’un business à part entière, il était urgent de prendre des résolutions adéquates pour la protection de la vie privée des internautes. C’est donc pour cette raison que le législateur a adopté le nouveau règlement qui a été promulgué le 27 avril 2016.

Le RGPD crée un cadre unique pour la protection des données des ressortissants européens. Étant un règlement, il n’a pas besoin d’être transposé dans le droit national d’un État avant d’être applicable. Il entrera en application directe le 25 mai 2018 sur tout le territoire de l’Union Européenne.

A cette date, tous les organismes gérant des traitements de données à caractère personnel devront être en conformité avec les dispositions du règlement à cette date ; qu’ils soient publics ou privés.

 

Quand risquez-vous d’être répréhensible ?

 

Comme nous venons déjà de le signifier, le RGPD impose certaines obligations que doivent respecter les organismes collectant et traitant des données à caractère personnel. Il s’agit de :

  • Faire preuve de transparence en fournissant une information claire et intelligible à chaque fois que des données personnelles sont collectées ou traitées ;
  • Obtenir le consentement des personnes ciblées ;
  • Prévoir et garantir la sécurité des données récupérées et traitées ;
  • S’assurer de la compliance des partenaires techniques ou autres, ayant accès aux données ;
  • Nommer un délégué à la protection des données (DPD ou DPO) dans certains cas
  • Respecter les droits des personnes (droit d’accès à leurs données, droit d’opposition, de limitation, de rectification…) ;
  • Faire une étude d’impact préalable en cas de données sensibles ;
  • Tenir un registre des traitements (une obligation pour certaines entreprises pour lesquelles les traitements de données sont essentiels) ;
  • Informer rapidement la CNIL et les personnes concernées après une fuite de données.

Tout organisme qui n’aura pas respecté ces diverses obligations à partir du 25 mai 2018 peut s’exposer à des sanctions administratives et pénales.

C’est la CNIL (qui à l’occasion change de rôle) qui sera chargée de veiller au respect du RGPD et pourra constater des irrégularités.

La CNIL pourra obliger les contrevenants à se mettre en règle dans de brefs délais. Dans le cas où la situation viendrait à perdurer, la CNIL pourra prononcer les sanctions nécessaires.

 

RGPD 2018 : Quelles sanctions sont prévues ?

 

L’autorité de contrôle est donc la CNIL. Son intervention est graduelle, et varie en fonction de la gravité des violations notées. En effet, avant d’arriver à de grosses pénalités, la CNIL peut commencer par un avertissement. Une mise en demeure peut être adressée à l’organisme en question en vue de le contraindre à se mettre en conformité.

Il est du pouvoir de la CNIL de suspendre temporairement les traitements de données. Ceci peut causer de nombreux désagréments aux entreprises notamment celles dont les traitements de données constituent le centre même des activités. Si malgré les diverses mises en garde, la CNIL constate qu’un organisme ne se décide vraiment pas à se mettre à jour, elle peut lui infliger une amende sur le chiffre d’affaires.

Pour des violations comme le défaut de tenue d’un registre des traitements, le défaut d’annonce suite à une faille décelée ou encore le défaut d’étude d’impact sur la vie privée — en cas de données sensibles — le montant de l’amende peut atteindre 2 % du chiffre d’affaires mondial de l’entreprise ou la somme de 10 millions d’euros.

Ce montant peut grimper à 4 % du chiffre d’affaires mondial ou atteindre les 20 millions d’euros en cas de refus d’obtempérer face aux injonctions de la CNIL, en cas de traitements de données illégaux, de défaut de consentement, de manque de prudence lors des transferts transfrontaliers de données ou encore de non-respect des droits des personnes.

Notons pour finir qu’à ces diverses amendes administratives peuvent s’ajouter des demandes de dommages et intérêts si une personne touchée par une des violations — par exemple en cas de fuite de ses données personnelles — décidait de porter plainte. La facture pourrait être encore plus exorbitante.

Pour résumer, il faut noter que le RGPD vise à garantir la protection et le renforcement des droits des utilisateurs. Il est impérieux pour toute structure procédant à des traitements de données personnelles de citoyens européens de se plier strictement à ses règles avant le 25 mai 2018.

En cas de manquement, ces organismes peuvent être contraints de payer des amendes sur les chiffres d’affaires. Mais, en dehors de l’aspect financier, il ne faut pas perdre de vue l’impact qu’une affaire de manquement au respect du RGPD pourrait avoir sur l’image d’une entreprise. Un déficit de confiance peut naître au niveau des clients.

Besoin d'accompagnement pour vous mettre en conformité avec le RGPD ? Consultez nos avocats spécialisés dans le domaine. 

Amélie Gautier

Écrit par

Amélie Gautier

Diplômée d'un Master en droit des affaires et passionnée par le monde de l'entreprise, Amélie s'efforce de rendre accessible les informations juridiques nécessaires aux entrepreneurs tout au long de leurs projets.

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Les limites de la protection des données personnelles du salarié

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour ...

Maxime

Maxime

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Modèle de contrat SaaS : un pari risqué avec le RGPD ?

Vous êtes en train de développer un tout nouveau logiciel, celui-ci sera exploité en mode Saas. ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier