Quelles sanctions en cas de non-respect du RGPD ?

Le RGPD prévoit diverses sanctions pour les entreprises qui ne sont pas aux normes. Ces sanctions sont de 2 types et leurs montants sont particulièrement importants, plus pour des raisons dissuasives. Elles ont été conçues de manière à obliger les entreprises à agir avec plus de transparence dans la collecte de données à caractère personnel, mais surtout à les utiliser en respectant les droits et libertés des personnes concernées.

RGPD : des sanctions en cas de non-respect des normes

Depuis la mise en application du RGPD le 25 mai 2018, les entreprises et organismes publics qui ne respectent pas les normes en matière de traitement des données peuvent être sanctionnés lourdement.
Parmi les obligations que doivent maintenant respecter les entreprises :

  • Optimiser la sécurité des données personnelles ;
  • Obtenir le consentement des personnes concernées via un acte positif ;
  • Informer les personnes concernées sur les raisons du traitement (principe de transparence, droit à l’information…) ;
  • Garantir le respect des droits des personnes par la mise en place de mesures appropriées (droit à l’oubli, portabilité…) ;
  • Tenir un registre des traitements de données ;
  • Désigner un DPO (obligatoire dans certains cas) ;
  • Réaliser des Analyses d’impact pour les traitements engendrant des risques importants pour les droits et libertés des personnes concernées.

Rappelons qu’en novembre 2017, l’entreprise Uber a reconnu un vol massif de son fichier. Ce vol s’était néanmoins produit un an plus tôt. Il est surprenant qu’une entreprise attende si longtemps pour informer ses usagers, sauf… si Uber tentait de passer ce vol sous silence. Désormais, avec le nouveau règlement, les entreprises disposent de 72 heures maximum pour informer la CNIL d’une fuite ou d’un vol de fichier.

Les pouvoirs de la CNIL : contrôle et sanctions

La CNIL assure des contrôles

La CNIL (Commission nationale de l’informatique et des libertés) est l’autorité qui se charge de contrôler le respect par une organisation des dispositions du RGPD. Son rôle de contrôleur l’oblige à un devoir de vigilance, de dissuasion et de fermeté vis-à-vis des entreprises et des sous-traitants contrevenants. Contrairement à avant, la CNIL a aujourd’hui le droit d’imposer des sanctions administratives. Néanmoins, elle n’est pas une distributrice de peine. Ses actions doivent avoir pour but de pousser une organisation à se conformer aux normes, même si aujourd’hui les sanctions doivent être ‘uniformes’ sur toute l’UE.

Des sanctions graduelles

Les pouvoirs mis à disposition de la CNIL sont prévus par le paragraphe 2 de l’article 58 du RGPD. L’intervention de la CNIL dépend de la gravité du manquement des obligations du RGPD. Ainsi, les sanctions peuvent suivre plusieurs étapes :

  • Avertissement ou mise en demeure et rappel des règles de mises en conformité ;
  • Injonction, ordre de cessation immédiate des violations ;
  • Limitation ou suspension temporaire des traitements ;
  • Sanctions administratives en cas d’inefficacité des injonctions ou de récidive.
  • Les sanctions prévues par le RGPD ne sont pas à prendre à la légère.

La coresponsabilité n’est pas une excuse

Il faut noter que la responsabilité d’une entreprise s’étend aux fichiers partagés avec ses fournisseurs. Ainsi, le groupe Darty a écopé d’une amende de 100.000 euros en juillet 2018 en raison d’un formulaire de service après-vente créé par un prestataire externe et insuffisamment protégé. Toutefois, c’est surtout parce que rien n’avait été corrigé chez Darty 15 jours après l’injonction qui lui avait été communiquée par la CNIL que cette dernière a sévi.

La CNIL a déjà prononcé plusieurs sanctions à l’encontre d’entreprises qui n’ont pas respecté la réglementation. En dehors de Darty déjà cité, on trouve :

  • Hertz, amende de 40.000 euros (juin 2018).
  • Optical Center, amende de 250.000 euros (juin 2018).
  • Daily Motion, amende de 50.000 euros (août 2018).

Chaque fois, c’est le constat de la non protection d’un fichier contenant des informations sensibles qui est mis en cause.

Typologie des sanctions et amendes du RGPD

Le RGPD prévoit 2 sanctions pour les organisations qui violent les nouvelles normes :

Des amendes administratives

C’est l’article 83 du RGPD qui prévoit les conditions permettant à la CNIL de prononcer des sanctions administratives à un organisme non conforme. Ces conditions doivent être prises en considération pour prononcer une amende juste, dissuasive et surtout effective.

Ainsi, il existe 2 niveaux de sanctions administratives :

  • Une amende de 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour le non-respect des obligations incombant au responsable du traitement et au sous-traitant, à l’organisme de certification et à l’organisme de suivi des codes de conduite ;
  • Une amende de 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour le non-respect de l’obligation de consentement (obtention du consentement par des moyens détournés) et les autres droits des personnes concernées, l’obligation de mettre en place des mesures spécifiques en cas de transferts des données dans un pays non européen, des obligations découlant des droits des États membres, des injonctions et autres mesures de remise à l’ordre prononcées par la CNIL.

Des sanctions pénales

Les sanctions administratives ne se substituent pas aux sanctions pénales. Une entreprise qui manque à ses obligations peut donc aussi être poursuivie en justice par des victimes ou toute personne concernée par ces erreurs.

L’article 84 du RGPD prévoit que les États membres peuvent mettre en place des sanctions supplémentaires en cas de violation des obligations du RGPD. Ces sanctions supplémentaires portent surtout sur les cas de violation non prévus par le RGPD (des cas qui n’ont pas fait l’objet d’amendes).
Ces sanctions pénales sont décrites dans les articles 226-16 à 226-24 du Code pénal sur « Des atteintes aux droits de la personne résultats des fichiers ou des traitements informatiques ». En fonction de la gravité des infractions, les peines prononcées peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.

Le déficit d’image

Au-delà des sanctions, la CNIL peut donc faire pression aux entreprises pour que ces dernières se mettent en conformités. En tant qu’instance de protection des données individuelles, la CNIL peut obliger les entreprises à communiquer sur leurs sanctions administratives et pénales, aux personnes impactées par leur non-conformité. Ce fut notamment le cas en 2016 lorsque la CNIL a infligé 4 sanctions à l’encontre de Google. L’instance avait rendu publique cette sanction : 100 000 euros d’amende pour non respect du droit à l’oubli, prévu dans la Loi Informatique et Libertés.

Pour les entreprises, l’importance de se mettre en conformité avec le RGPD dépasse le besoin d’éviter des sanctions financières. Il s’agit de protéger sa réputation : une sanction de la CNIL rendue publique peut avoir un très mauvais effet en terme d’image.

En effet, dans ce type d’affaires, la CNIL diffuse un communiqué officiel qui reprend les détails du manquement. Comme on peut s’y attendre, ces affaires ont une large répercussion médiatique et elles sont largement commentées sur les réseaux sociaux. La CNIL peut en plus obliger une entreprise sanctionnée à informer ses clients du manquement constaté. À une époque où les individus portent de plus en plus d’attention au respect de leurs droits, une entreprise faisant preuve de négligence peut sérieusement écorner sa notoriété.

Un tel incident entraîne une perte de confiance des prospects. L’impact économique est encore plus grave pour les entreprises cotées en Bourse en raison d’un éventuel repli des investisseurs.

Quid des victimes ?

Les personnes dont les données personnelles ont été violées sont considérées comme victimes des négligences ou des méfaits des responsables du traitement. Le dommage subit est matériel et moral. Ainsi, la personne concernée victime d’une violation de ses données peut intenter une action contre le responsable du traitement pour l’obtention de dommages et intérêts. Les peines prononcées par l’autorité judiciaire sont considérées comme une sanction supplémentaire aux amendes administratives et aux sanctions pénales.

Beaucoup ne sont pas encore conscients de l’ampleur du RGPD. Et pourtant, sachez que le non-respect des dispositions qu’il prévoit peut avoir des impacts directs sur la réputation de l’organisme fautif le rendant moins compétitif.