Quelles sanctions pour le non-respect des règles de la RGPD ?

By Thomas GROLLEAU

Depuis 2018, année d’entrée en vigueur du règlement pour la protection générale des données personnelles (RGPD), de nombreux organismes ont dû fixer un certain nombre de mesures pour se conformer à la nouvelle réglementation. Lorsque ces mesures ne sont pas respectées par les organisations, elles s’exposent alors à des sanctions plus ou moins lourdes selon la gravité de la violation.

Mais quelles sont ces sanctions ? On fait le tour de la question dans cet article.

Non-respect du RGPD : comment les organismes sont-ils sanctionnés ?

Au titre du non-respect du RGPD, tout organisme peut être sanctionné lors d’un contrôle effectué par la CNIL ou dans le cadre d’une plainte. C’est pourquoi il est recommandé de solliciter l’assistance d’un cabinet de conseil RGPD pour rester dans les normes et éviter toute poursuite.

Le dépôt d’un signalement ou d’une plainte auprès de la CNIL

Toute personne peut déposer un signalement ou une plainte auprès de la CNIL dans les cas suivants :

  • Elle souhaite dénoncer une atteinte aux règles de protection des données personnelles par un organisme privé ou public ;
  • Elle ne parvient pas à user de ses droits relatifs à la loi « Informatique et Libertés ».
A lire également :  Pourquoi le site impots.gouv ne fonctionne pas

Pour effectuer un signalement, elle peut prendre par le site internet de la CNIL, le téléservice de plainte en ligne. Elle peut aussi écrire à « CNIL – SERVICES DES PLAINTES – 3 PLACE DE FONTENOY – TSA 80715 – 75334 PARIS CEDEX 07 » pour contacter l’autorité de contrôle par courrier postal. Tous les documents pouvant attester des faits décrits devront être joints à la réclamation.

Le contrôle par la CNIL

Un contrôle effectué a posteriori peut également amener la CNIL à sanctionner les responsables de traitement. Celui-ci vise à vérifier la mise en œuvre concrète de la loi. Tout organisme traitant des données à caractère personnel peut subir ce contrôle dès lors que le traitement concerne des résidents français ou que l’organisme visé par le contrôle est établi en France.

La CNIL peut coopérer avec d’autres autorités de protection des données si l’organisme traite les données personnelles de personnes dans l’UE ou dispose de plusieurs établissements dans l’UE. Avec la RGPD, la CNIL peut réaliser aussi des vérifications auprès de prestataires sous-traitants chargés de la mise en œuvre d’un traitement pour le compte d’une organisation. Ces contrôles peuvent avoir ainsi lieu du fait :

  • Des sanctions, des mises en demeure et de la procédure de contrôle clôturée ;
  • D’un contrôle des dispositifs de vidéoprotection ;
  • De l’initiative de la CNIL ;
  • Du programme annuel des contrôles.

Les sanctions pour non-respect du RGPD

Les organisations ayant enfreint aux règles imposées par le RGPD sur le traitement de données personnelles s’exposent à diverses sanctions :

  • Administrative ;
  • Pénales ;
  • Versement de dommages et intérêts ;
  • Déficit d’image.

Voyons en quoi consiste chaque sanction RGPD .

A lire également :  Clé USB la cybermenace : BadUSB

Les sanctions de type administratives

Différents types de sanctions administratives peuvent être prononcés par la CNIL à l’encontre de l’organisme contrevenant. La mise en œuvre de celles-ci peut être graduelle : mesures correctrices, sanctions administratives, sanctions pénales, versement de dommages-intérêts et publicité de la violation.

En quoi consistent les mesures correctrices ?

L’article 58 du RGPD donne le pouvoir d’adopter des mesures correctrices aux autorités de contrôle. Elles peuvent venir parfois en complément des sanctions administratives. Toutefois, leur caractère dissuasif fait qu’elles sont généralement prises avant les amendes liées au RGPD.

Les sanctions évoluent donc graduellement selon la gravité de la violation du RGPD constatée. La CNIL a ainsi le pouvoir de délivrer :

  • Des sanctions administratives après injonction vaine de l’autorité de contrôle en cas de non-respect des règles du RGPD ;
  • Une suspension temporaire ou une limitation des traitements de données ;
  • Une injonction de cesser la violation ;
  • Une mise en demeure de l’entreprise fautive ou un avertissement avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD.

En quoi consistent les sanctions administratives ?

Le non-respect du RGPD peut être puni également par des sanctions administratives. Les mesures de la CNIL ici sont dissuasives et proportionnées. Elles prennent en compte les critères suivants :

  • Les actions entreprises pour atténuer le dommage subi par la victime ;
  • Le degré de coopération ;
  • La durée et la gravité de la violation.

L’autorité de contrôle peut donc fixer également des amendes à régler. Leur montant est tributaire de la violation constatée :

  • 2% du chiffre d’affaires ou 10 millions d’euros : cas où les entreprises ne respectent pas le principe du « privacy by default » ou du « privacy by design », ou si elles violent les conditions imposées concernant le recueil du consentement des enfants ;
  • 4% du chiffre d’affaires ou 20 millions d’euros : cas du non-respect des conditions de licéité du traitement ou lors d’une violation des principes de traitement des données.
A lire également :  Les caméras de surveillance en entreprise : est-ce légal ?

Les sanctions de type pénales

En cas de violation du RGPD, les États membres peuvent également mettre en place des sanctions supplémentaires grâce à l’article 84 du RGPD. En France par exemple, l’article 226-21 du Code pénal prévoit une sanction pour le détournement de la finalité lors du traitement des données personnelles. Celle-ci peut coûter jusqu’à 300 000 euros d’amende et aller à 5 ans d’emprisonnement.

Le déficit d’image et le versement de dommages et d’intérêts

Enfin, la violation du RGPD peut entrainer aussi d’autres conséquences en plus des sanctions précédemment listées. On peut citer la condamnation au versement de dommages et intérêts. En effet, les victimes de la violation du RGPD peuvent subir un dommage moral ou matériel. Pour réparer le préjudice subi dans ce cas, l’organisation en cause peut être condamnée au versement de dommage-intérêts. Il y a aussi la publicité de la violation commise par l’organisme. L’entreprise ou l’organisation contrevenante peut se voir obliger par la CNIL à publier la sanction dont elle a fait l’objet.

Vous savez tout à présent sur les sanctions encourues en cas de non-respect des règles de la RGPD !

Laisser un commentaire