Quelles sanctions en cas de non-respect du RGPD ?

Le RGPD prévoit diverses sanctions pour les entreprises qui ne sont pas aux normes. Ces sanctions sont de 2 types et leurs montants sont particulièrement importants, plus pour des raisons dissuasives. Elles ont été conçues de manière à obliger les entreprises à agir avec plus de transparence dans la collecte de données à caractère personnel, mais surtout à les utiliser en respectant les droits et libertés des personnes concernées.

RGPD : des sanctions en cas de non-respect des normes

Depuis la mise en application du RGPD le 25 mai 2018, les entreprises et organismes publics qui ne respectent pas les normes en matière de traitement des données peuvent être sanctionnés lourdement.
Parmi les obligations que doivent maintenant respecter les entreprises :

  • Optimiser la sécurité des données personnelles ;
  • Obtenir le consentement des personnes concernées via un acte positif ;
  • Informer les personnes concernées sur les raisons du traitement (principe de transparence, droit à l’information…) ;
  • Garantir le respect des droits des personnes par la mise en place de mesures appropriées (droit à l’oubli, portabilité…) ;
  • Tenir un registre des traitements de données ;
  • Désigner un DPO (obligatoire dans certains cas) ;
  • Réaliser des Analyses d’impact pour les traitements engendrant des risques importants pour les droits et libertés des personnes concernées.

Les pouvoirs de la CNIL : contrôle et sanctions

La CNIL assure des contrôles

La CNIL (Commission nationale de l’informatique et des libertés) est l’autorité qui se charge de contrôler le respect par une organisation des dispositions du RGPD. Son rôle de contrôleur l’oblige à un devoir de vigilance, de dissuasion et de fermeté vis-à-vis des entreprises et des sous-traitants contrevenants. Contrairement à avant, la CNIL a aujourd’hui le droit d’imposer des sanctions administratives. Néanmoins, elle n’est pas une distributrice de peine. Ses actions doivent avoir pour but de pousser une organisation à se conformer aux normes, même si aujourd’hui les sanctions doivent être ‘uniformes’ sur toute l’UE.

Des sanctions graduelles

Les pouvoirs mis à disposition de la CNIL sont prévus par le paragraphe 2 de l’article 58 du RGPD. L’intervention de la CNIL dépend de la gravité du manquement des obligations du RGPD. Ainsi, les sanctions peuvent suivre plusieurs étapes :

  • Avertissement ou mise en demeure et rappel des règles de mises en conformité ;
  • Injonction, ordre de cessation immédiate des violations ;
  • Limitation ou suspension temporaire des traitements ;
  • Sanctions administratives en cas d’inefficacité des injonctions ou de récidive.
  • Les sanctions prévues par le RGPD ne sont pas à prendre à la légère.

Typologie des sanctions et amendes du RGPD

Le RGPD prévoit 2 sanctions pour les organisations qui violent les nouvelles normes :

Des amendes administratives

C’est l’article 83 du RGPD qui prévoit les conditions permettant à la CNIL de prononcer des sanctions administratives à un organisme non conforme. Ces conditions doivent être prises en considération pour prononcer une amende juste, dissuasive et surtout effective.

Ainsi, il existe 2 niveaux de sanctions administratives :

  • Une amende de 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour le non-respect des obligations incombant au responsable du traitement et au sous-traitant, à l’organisme de certification et à l’organisme de suivi des codes de conduite ;
  • Une amende de 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour le non-respect de l’obligation de consentement (obtention du consentement par des moyens détournés) et les autres droits des personnes concernées, l’obligation de mettre en place des mesures spécifiques en cas de transferts des données dans un pays non européen, des obligations découlant des droits des États membres, des injonctions et autres mesures de remise à l’ordre prononcées par la CNIL.

Des sanctions pénales

L’article 84 du RGPD prévoit que les États membres peuvent mettre en place des sanctions supplémentaires en cas de violation des obligations du RGPD. Ces sanctions supplémentaires portent surtout sur les cas de violation non prévus par le RGPD (des cas qui n’ont pas fait l’objet d’amendes).
Ces sanctions pénales sont décrites dans les articles 226-16 à 226-24 du Code pénal sur « Des atteintes aux droits de la personne résultats des fichiers ou des traitements informatiques ». En fonction de la gravité des infractions, les peines prononcées peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.

Quid des victimes ?

Les personnes dont les données personnelles ont été violées sont considérées comme victimes des négligences ou des méfaits des responsables du traitement. Le dommage subit est matériel et moral. Ainsi, la personne concernée victime d’une violation de ses données peut intenter une action contre le responsable du traitement pour l’obtention de dommages et intérêts. Les peines prononcées par l’autorité judiciaire sont considérées comme une sanction supplémentaire aux amendes administratives et aux sanctions pénales.

Beaucoup ne sont pas encore conscients de l’ampleur du RGPD. Et pourtant, sachez que le non-respect des dispositions qu’il prévoit peut avoir des impacts directs sur la réputation de l’organisme fautif le rendant moins compétitif.