RGPD : Quels sont les risques en cas de non-conformité ?

0
5730

Depuis le 25 mai 2018, la mise en application du règlement européen sur la protection des données (RGPD) est effective. Son objectif est clair : responsabiliser les entreprises dans la gestion des données personnelles de leurs clients ou de leurs prospects. De nouvelles obligations sont donc imposées pour les structures qui collectent des informations personnelles. Désormais, la confidentialité des résidents de l’Union européenne est peu plus préservée. Mais jusqu’à aujourd’hui, certaines sociétés ne sont toujours pas à jour vis-à-vis de la nouvelle règlementation. Le font-elles par ignorance ? On ne saurait le dire, puisqu’en réalité le règlement était rédigé et applicable depuis le 28 avril 2016. Et une période deux ans a été accordée aux entreprises afin de leur permettre de se conformer. Mais, choisir de ne pas respecter ce nouveau texte est un risque qu’il serait mieux d’éviter. Dans cet article, on vous parlera principalement des différentes sanctions que vous encourez en cas de non-conformité.

Sommaire

Qu’est la CNIL et quel est son rôle ?

La CNIL (Commission nationale de l’informatique et des libertés) est l’organe qui se charge de contrôler si les règles du RGPD sont suivies à la lettre en France. Elle est l’autorité qui veille au respect et à l’application conforme du RGPD. Son rôle de contrôleur l’oblige ainsi à être très vigilant et à faire preuve de dissuasion et de fermeté vis-à-vis des entreprises ou structures qui seront en désynchronisation avec le RGPD. Aussi, il faut noter que la CNIL a le pouvoir d’imposer elle-même des sanctions administratives. Toutefois, elle ne doit pas être une distributrice les sanctions. Le but recherché dans l’adoption de ce règlement n’est pas de punir, mais d’amener les organisations à se conformer aux normes prescrites. Dans toutes les situations, la CNIL doit toujours viser la mise en conformité de l’activité des entreprises et organismes au RGPD.

Le système de sanctions graduelles

Les moyens dissuasifs mis à la disposition de la CNIL se trouvent dans le paragraphe 2 de l’article 58 du RGPD. Ce sont des sanctions qui varient en fonction de la gravité du manquement des obligations du RGPD. Les peines sont donc graduées selon la violation du RGPD. Elles sont répertoriées en plusieurs étapes :

  • 1re étape : la structure est prévenue avec un avertissement ou une mise en demeure fautive avec rappel des règles de mise en conformité liée à la collecte et au traitement de données sensibles au RGPD.
  • 2e étape : l’entreprise reçoit un ordre formel de cesser les violations qu’elle commet.
  • 3e étape (dans certains cas) : l’entreprise peut être limitée ou suspendue provisoirement de ses opérations de collecte et de traitement de données personnelles.
  • 4e étape : en cas d’inefficacité des injonctions ou de récidive, la structure est confrontée aux sanctions administratives.

Tout est donc fait de manière à permettre à l’entreprise de respecter le règlement. La dernière étape n’est que l’ultime recours.

L’étape des sanctions est la pénalité maximum.

Elle survient quand malgré tous les rappels à l’ordre ou intimidations l’organisme refuse de se conformer.

Les différents types de sanctions et d’amendes prévues par le RGPD

Le règlement européen sur la protection des données a prévu deux sanctions pour les organisations qui sont en non-conformité avec les nouvelles normes.

Des amendes administratives

Les sanctions administratives que peut appliquer la CNIL à une entreprise non conforme ne doivent pas être prises au hasard. Ces sanctions sont soumises à diverses conditions qui sont prévues dans l’article 83 du RGPD. Comme mentionné plus haut, ce sont des peines qui ont pour but la dissuasion. On distingue ainsi deux niveaux de sanctions administratives, et cela, toujours en fonction de la durée, la nature et la gravité de la violation.

  • Une amende de 10 millions d’euros ou 2 % du chiffre d’affaires mondial. Cette sanction est appliquée pour les manquements aux obligations relevant de la responsabilité du responsable du traitement et au sous-traitant ou de l’organisme de certification ou encore de l’organisme chargé du suivi des codes de conduite.
  • Une amende de 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour les cas d’infractions plus graves. Il s’agit entre autres de l’obligation de consentement ou du non-respect d’une injonction, ou encore du transfert des informations à caractère personnel à une personne se trouvant dans un pays tiers ou à une organisation internationale.

Pour être à l’abri de ces différentes sanctions, faites-vous accompagner par cette société disponible sur cette page https://www.cookie-secure.com/fr/accompagnement-rgpd-bandeau-cookie-secure.

Les sanctions pénales

D’autres sanctions supplémentaires peuvent être encore appliquées : les sanctions pénales. Il est possible donc qu’une structure ayant manqué à ses obligations soit poursuivie en justice par des victimes ou n’importe quel individu concerné par l’infraction. Il s’agit surtout des cas de violation non prévus par le RGPD.Ces manquements ne font pas l’objet d’amendes administratives au sens de l’article 83 du RGPD.  Ces sanctions sont prévues dans les articles 226-16 à 226-24 du Code pénal : « Des atteintes aux droits de la personne résultats des fichiers ou des traitements informatiques » .

Que faire pour éviter les sanctions ?

Toutes les entreprises qui se servent des données personnelles de quelque manière que cela soit sont concernées par cette nouvelle loi. Mais il faut reconnaitre aussi que certaines sociétés ignorent les obligations que le RGPD a prescrites. Il serait donc bien que nous rappelions certaines obligations très importantes.

  • Il faudra élever la sécurité des données personnelles.
  • Il faudra obtenir le consentement des clients avant l’utilisation de leurs informations personnelles, et pouvoir exhiber cette preuve à tout moment.
  • Il faudra informer les internautes sur les raisons du traitement.
  • Il faudra assurer le respect des droits des clients ou prospect par la mise en place de mesures appropriées (droit à l’oubli, portabilité…)
  • Il faudra tenir un registre des traitements de données au sein même de l’entreprise. ce registre s’avère obligatoire lorsque le volume d’une structure dépasse les 250 personnes.
  • Il faudra effectuer des Analyses d’impact au préalable. Cela permet de mieux gérer les éventuels risques pouvant subvenir au cours d traitement.
  • Il faudra nommer un délégué à la protection des données (DPO). C’est lui qui assure la relation entre l’entreprise et la CNIL.