Depuis l’entrée en vigueur du rgpd (règlement pour la protection générale des donnees personnelles), les entreprises ont dû adopter un certain nombre de mesures pour se mettre en conformite. Elles doivent notamment garantir la sécurité des donnees caractere personnel récoltées et s’assurer du fondement juridique de leur traitement. Le non-respect de ces mesures peut alors engendrer des sanctions plus ou moins lourdes selon la gravité de la violation. Dans cet article, découvrez tout ce qu’il faut savoir sur la procédure de sanction non respect rgpd.
Procédure de sanction non respect rgpd : l’importance du label de certification
Sommaire
Le rgpd est entré en application le 25 mai 2018. Depuis ce jour, les entreprises et les organismes qui traitent des donnees personnelles doivent être en mesure de maîtriser les risques juridiques liés à leur protection, mais aussi de répondre aux exigences de leurs clients. La réglementation est composée de 99 articles dont 2 sont uniquement consacrés à la question des labels de certification. Ces derniers permettent d’afficher la conformite rgpd, de valoriser l’activité de l’entreprise et de se démarquer. Il faut savoir que les consommateurs sont aujourd’hui très préoccupés par les données collectées sur les sites internet. La plupart ne sont pas prêts à partager leurs informations de peur de rencontrer des problèmes de piratage ou de vol de données. Pour les entreprises, un label conformité rgpd constitue donc un gage de crédibilité et de confiance, aidant à éviter une sanction non respect rgpd.
La CNIL, dotée d’un pouvoir de sanction non respect rgbd
En France, l’autorité en charge des obligations prévues par le rgpd est la Comission nationale de l’informatique et des libertés (cnil). Cette dernière veille au respect des règlements mis en vigueur et n’hésite pas à sanctionner les organismes en cas de manquements. Ainsi, le pouvoir de sanction non respect rgbd détenu par la Cnil peut s’appliquer à l’issue :
D’un dépôt de plainte auprès de la Commission
Une personne peut très bien déposer une plainte ou un signalement auprès de la CNIL lorsqu’elle ne peut pas exercer ses droits relatifs à la loi informatique et libertés. Cela est également possible lorsqu’elle veut signaler un organisme public ou privé qui ne respecte pas les règles de protection et de traitement donnees personnelles. Pour effectuer une telle réclamation, il est possible de se rendre directement sur le site de la cnil ou bien prendre contact par courrier postal. Quoi qu’il en soit, tous les documents pouvant prouver les faits décrits doivent être joints à celle-ci.
D’un controle réalisé par la cnil
La Commission nationale de l’informatique et des libertés a pour mission de veiller à la bonne application des droits encadrés par le RGPD. De ce fait, elle peut réaliser des contrôles et être amenée à sanctionner le responsable traitement lorsque celui-ci ne respecte pas les obligations ayant été établies. Sachez que ces contrôles peuvent s’opérer auprès de tous les organismes qui traitent des donnees à caractere personnel résidant en France. Dans le cas où l’entreprise possède plusieurs établissements en Europe, d’autres autorités de protection des donnees peuvent intervenir.
Toutes les entreprises sont-elles concernées par le pouvoir de sanction non respect rgpd ?
Si une organisation traite des donnees personnelles dans le cadre de son activité, elle est obligatoirement soumise au rgpd. Cela peut s’agir d’une entreprise, d’une association ou bien d’un acteur public. Dans tous les cas, il est important de respecter de nombreuses obligations sous peine de s’exposer à une sanction rgpd importante. L’entreprise doit, par exemple :
- garantir la protection donnees personnelles récoltées ;
- mettre en place une documentation rgpd (registre de traitement donnees) ;
- nommer un DPO (délégué à la protection donnees) ;
- respecter les différents droits des personnes concernées ;
- informer ces dernières sur la manière de traiter leurs donnees, etc.
Quelles sont les sanctions en cas de non-respect du RGPD ?
Dans le cas d’une entreprise, une sanction non respect rgpd peut s’élever jusqu’à 20 millions d’euros, soit l’équivalent de 4 % du chiffre affaires annuel mondial. Tout dépend de l’infraction commise et de la gravité de la violation. D’autres formes de répression peuvent aussi être prononcées comme des avertissements. Il est, en effet, à noter que la formation restreinte de la Cnil peut opter pour des mesures intermédiaires comme un rappel à l’ordre, une limitation temporaire du traitement de données ou une suspension des flux de données. Pour vous aider à y voir plus clair, voici les différentes sanctions encourues en cas de non-respect du RGPD :
Les sanctions administratives
La cnil a la faculté de donner des sanctions administratives aux entreprises qui ne respectent pas les obligations du RGPD. Celles-ci doivent être dissuasives, mais aussi proportionnelles à la nature de la violation. Pour des manquements à la mise en conformité, l’amende peut aller jusqu’à 10 millions euros. Par contre, pour des manquements aux droits des personnes, la barre des 20 millions euros peut être atteinte.
Les sanctions penales
Certains articles du code pénal prévoient des sanctions en cas de non-respect du rgpd. C’est, par exemple, le cas de l’article 226-21 qui concerne le détournement de la finalité des données personnelles. Cela arrive lorsque l’entreprise collecte des donnees pour un but précis, mais les utilisent également pour une autre finalité. Une telle violation peut conduire à une peine d’emprisonnement de 5 ans ainsi qu’une amende de 300 000 euros. D’autre part, des sanctions penales peuvent être prévues en cas :
- d’absence d’information des personnes concernées : l’entreprise doit les informer qu’elle collecte leurs donnees personnelles. Si cette obligation n’est pas respectée, une amende de 1 500 euros pour chaque infraction est inévitable ;
- de non-respect des droits des personnes : l’entreprise doit répondre à des demandes d’effacement ou de rectification de donnees sous peine de recevoir une amende de 1 500 euros.
Le versement des dommages et intérêts
À part les sanctions administratives et pénales, la cnil peut ajouter une condamnation au versement de dommages et intérêts. Cela a pour but de réparer le préjudice subi par les personnes victimes de la violation du rgpd.
Le déficit d’image
La publicité de la violation constitue un déficit d’image pour l’entreprise. Cette dernière aura du mal à rassurer ses collaborateurs et ses clients quant à la sécurité de leurs donnees à la suite d’une sanction rendue public.
Comment la procedure de sanction non respect rgpd est-elle réalisée ?
Lors du controle de la cnil, toutes les informations techniques et juridiques doivent être relevées pour évaluer les conditions de traitement des données personnelles. Si une violation du RGPD a été identifiée, la commission saisit la formation restreinte (composée d’un président et de 5 membres) pour informer l’organisme mis en cause et le sanctionner. Ainsi, deux étapes sont à considérer :
Avant la séance restreinte
La cnil notifie à l’organisme un rapport comportant l’une des mesures prévues par la loi. Celui-ci présente ensuite des observations écrites concernant les conditions de traitement des données actuelles. Le rapporteur dispose alors d’un délai de 15 jours pour y répondre. De son côté, l’organisme mis en cause peut établir de nouvelles observations.
Pendant la séance
L’organisme ainsi que le rapporteur de la Cnil présentent des observations orales qui sont basées sur les écrits produits. La formation restreinte leur pose des questions, évalue la situation et procède à une délibération. La décision est notifiée à l’organisme s’il y a sanction ou non.
