Le RGPD est entré pleinement en vigueur le 25 mai 2018. Après cette première année de mise en application, le constat est que beaucoup d’entreprises ne respectent pas encore les dispositions du nouveau règlement sur la protection des données. Cette première année a également été marquée par la tolérance des organes de contrôles.

Mais depuis le mois de mai, les sanctions commencent à tomber et elles sont de plus en plus importantes. La situation est la même dans tous les pays d’Europe, quoique certains, dont la France, sont plus sévères que d’autres.

Sanctions pour manquement au RGPD : une tendance généralisée

Un an après la mise en vigueur du RGPD, on constate qu’un peu partout en Europe, les sanctions pour manquement aux dispositions de la nouvelle réglementation commencent à tomber. Malgré tout, il y a des différences flagrantes quant à la sévérité des sanctions prononcées. Dans certains pays comme l’Autriche, le Portugal, la Pologne et les Pays-Bas, les amendes imposées au titre du RGPD ont été limitées.

Mais, à l’instar de l’Allemagne, la France a été plus sévère. Et pour cause, sur la dernière année, la CNIL a infligé d’importantes amendes notamment à l’encontre de grandes sociétés. Parmi ces dernières Bouygues Telecom qui a écopé d’une amende de 250 000 euros pour « manque de mesures techniques sécurisant les données des clients ». D’autres entreprises comme Uber, Optical Center ou encore Dailymotion ont été également sanctionnées. Mais, l’amende la plus conséquente a été prononcée à l’encontre de Google. Le géant du web a écopé d’une amende de 50 millions d’euros pour non-respects des obligations imposées par le RGPD liées à la confidentialité des données. Notons que les sanctions touchent également les petites et moyennes entreprises.  En outre une amende de 20K€ a été dernièrement infligée à une TPE de 9 salariés.

Quelles sanctions pour manquement au RGPD ?

Au niveau européen, malgré l’abondance des sanctions, leur montant reste souvent modeste. Mais cette situation est amenée à changer dans un avenir proche puisque le nombre d’incidents liés au non-respect du RGPD a grandement augmenté. Si l’on en croit une étude de Decideo, plus de 95 000 plaintes ont été déposées depuis mai 2018 auprès des autorités de contrôle.

Ces éléments nous permettent de dire que c’est le moment de se pencher sérieusement sur la mise conformité de son organisation. Cela vous évitera les sanctions. Pour rappel, le RGPD a instauré 2 niveaux de sanctions administratives :

  • Une amende correspondant à 2 % du chiffre d’affaires, ou 10 millions d’euros d’amende peuvent être appliqués dans les cas suivants :
    • manquement aux obligations incombant au responsable du traitement et au sous-traitant
    • manquement aux obligations incombant à l’organisme de certification
    • manquement aux obligations incombant à l’organisme chargé du suivi des codes de conduite
  • Une amende correspondant à 4 % du chiffre d’affaires pour les entreprises ou 20 millions d’euros d’amende en cas de :
    • manquements liés au principe du consentement de la personne concernée;
    • manquement aux droits des personnes concernées;
    • manquement concernant le transfert des données
    • non-respect d’une injonction… ;
  • Outre les amendes, on oublie souvent que le non-respect des dispositions du RGPD est souvent nuisible pour la réputation d’une entreprise. Une situation qui peut facilement entraîner une perte de confiance des clients et un manque de compétitivité face à la concurrence.