Non-respect du RGPD : quelles sanctions ?

Le RGPD est un règlement appliqué au sein de l’Union européenne, notamment en France depuis le 25 mai 2018. La non-conformité aux dispositions de cette loi peut immédiatement impliquer de lourdes sanctions. Tout savoir sur les sanctions relatives au RGPD.

Non-conformité au RGPD : les risques de sanctions

Le RGPD est une norme obligatoire à appliquer lors du traitement des données personnelles. Il s’agit essentiellement d’une mesure dissuasive qui vise à renforcer la transparence lors de la collecte des données à caractère personnel, mais aussi à imposer des règles de sécurité plus strictes lors de leur usage. Le RGPD concerne tous les types d’entreprise et d’organismes privés ou publics qui manipulent des données personnelles. La violation ou le manquement à l’une des dispositions de ce règlement engagerait de lourdes sanctions pour ces derniers. Le contrôle de conformité au RGPD est confié à la CNIL (commission nationale de l’Information et des libertés). Accumulant les devoirs de contrôle, de dissuasion et de pénitence, et organisme a le droit de fixer les sanctions administratives correspondant à la violation commise. Il doit également veiller à ce que la sanction soit effective et proportionnelle au défaut de conformité. La CNIL dispose de plusieurs moyens pour obliger les entreprises à se conformer à la RGPD.

Responsabilité des entreprises

RGPD sanctions

Nombreuses obligations sont imposées aux entreprises et organismes qui manipulent des données à caractère sensible. Selon le RGPD, les entreprises ainsi que les organismes privés et publics sont tenus de :

  • Demander explicitement le consentement de la personne concernée. Fournir les détails sur la nature des données prélevées et les usages des informations obtenues.
  • Garantir la sécurité et la confidentialité maximale des données personnelles.
  • Agir en toute transparence dans le traitement des données : information et conseil des personnes concernées.
  • Respecter les droits du propriétaire des données.
  • Nommer un délégué à la protection des données (DPO) qui aura pour rôle de faciliter la relation de l’entreprise avec la CNIL. Ainsi, l’autorité de contrôle sera avertie au plus vite en cas de violations.
  • Analyser les risques éventuels pour développer les mesures de gestion adéquates pour la sécurité des fichiers mis en ligne.
  • Tenir un registre de traitement des données si le volume dépasse les 250 personnes.

Les fournisseurs d’énergie font partie des premiers concernés par ces dispositions. En effet, depuis le déploiement des compteurs Linky, ces sociétés font l’objet de plusieurs polémiques, surtout au niveau de la collecte, du traitement et de la mise en ligne des données de consommation. Face à cela, ENGIE rassure ses abonnés et renforce ses engagements par rapport au RGPD. Pour en savoir plus, trouvez plus d’informations ici.

Système de sanction graduelle

La loi met à la disposition de l’autorité de contrôle un système de sanctions graduelles pour assurer la mise en conformité des activités des entreprises par rapport au RGPD. Les mesures de dissuasion adoptées par la CNIL varient ainsi en fonction du degré de manquement tout en étant renforcées par les dispositions légales qui l’ont précédé. Le règlement européen sur la protection des données prévoit dans son article 58, paragraphe 2, un système de dissuasion graduelle à 4 étapes. 1. Avertissement et information sur les normes de mise en conformité des traitements des données. 2. Mise en demeure de l’entreprise fautive et injonction de se conformer au RGPD. 3. Limitation, voire suspension temporaire ou définitive, des activités de traitements de données. 4. Si après toutes ces démarches l’entreprise s’obstine à violer les règles de traitement, la CNIL applique des sanctions administratives.

Les catégories de sanctions prévues par le RGPD

Le RGPD prévoit deux catégories de sanctions pour les entreprises et organismes qui violent ses dispositions. Dans un premier temps, l’autorité de contrôle impose des sanctions administratives, notamment des amendes. En cas de violation grave, la juridiction pénale peut aussi être saisie. Le manquement aux règlementations du RGPD peut provoquer des dommages matériels ou moraux. Dans ce cas, la personne intéressée peut également porter plainte contre l’organisme pour obtenir réparation.

Les sanctions administratives

La mise en vigueur du RGPD est marquée par une hausse significative du montant des amendes administratives. Cette augmentation s’explique essentiellement par le caractère dissuasif du RGPD et la nécessité de renforcement de la protection des données personnelles qui circulent sur Internet. Dans son article 83, le RGPD établit une liste exhaustive des fautes prises en compte par les amendes administratives. Cette liste permettra par la suite à l’autorité de contrôle d’appliquer les sanctions administratives adaptées à la faute commise. En tenant compte de ces facteurs, la CNIL devra fixer un montant proportionnel, dissuasif et effectif par rapport au niveau de non-conformité. En outre, les pénalités administratives sont classées en deux catégories en fonction de la durée, de la nature et la gravité de la violation.
La première catégorie concerne essentiellement :

  • Les manquements aux obligations des responsables du traitement ou du sou traitant.
  • La non-conformité par rapport aux obligations impliquant l’organisme de certification.
  • Le non-respect des codes de conduite imposés par le RGPD pour le traitement des données en ligne. (absence d’un registre de traitement ou négligence de l’analyse d’impact préalable).

L’amende administrative pour cette catégorie de délits peut monter jusqu’à 2 % du chiffre d’affaires mondial de l’entreprise. Le montant peut facilement atteindre les 10 millions d’euros. La deuxième catégorie d’infractions concerne les fautes plus graves liées à la négligence des entreprises. Elles regroupent :

  • Le non-respect des droits de la personne propriétaire des données (information avant collecte, obtention de consentement pour la collecte, le traitement et stockage des données).
  • Le transfert des données sensibles dans d’autres pays ou à un organisme international.
  • Le non-respect d’une injonction ou d’une limitation de traitement ordonné par l’autorité de contrôle.

Dans ce cas, l’amende correspond à 4 % du chiffre d’affaires mondial de l’entreprise et peut monter jusqu’à 20 millions d’euros d’amende.

Les sanctions pénales

Selon son article 84, le RGPD peut être renforcé par des mesures supplémentaires en cas de violation grave des dispositions légales concernant la manipulation des données sensibles. Ainsi, les États membres de l’Union européenne peuvent appliquer des sanctions pénales pour réprimander les violations qui ne sont pas concernées par les amendes administratives. En France, le RGPD est ainsi renforcé par le Code pénal qui stipule dans son article 226 alinéas 16 à 24 que la violation des droits de l’individu par le biais de fichiers et de traitements informatiques abusifs peut conduire en justice pénale et être sévèrement punie. À titre d’exemple, on peut citer le détournement de la finalité des renseignements personnels lors d’un traitement des données (alinéas 21 de l’article 226). Ainsi, le manquement au RGPD entraine de lourdes sanctions pénales pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amendes.

Les dommages et intérêts

L’infraction aux normes imposées par le RGPD peut entrainer des fuites de données personnelles et causer des préjudices matériels ou moraux aux personnes concernées. Les victimes peuvent ainsi décider de porter plainte contre l’organisme en faute pour obtenir réparation. À savoir que le RGPD est une norme légale destinée à renforcer les droits des citoyens européens. L’entreprise qui a commis les violations doit verser des dommages et intérêts aux personnes ayant subi les préjudices en plus des amendes et des sanctions pénales prévues par la législation. Outre les mesures correctionnelles inhérentes au RGPD, la négligence et le non-respect de ces règlementations conduisent automatiquement à un déficit d’image de l’organisme non conforme. En effet, le manquement à ses engagements par rapport au traitement des données sensibles nuit à sa réputation face à ses concurrents et entraine la perte de la confiance de ses clients. Cela peut générer des pertes financières importantes et même la fermeture de l’entreprise. Pour finir, il est important de souligner que des formations sur la mise en conformité au RGPD sont mises à la disposition des responsables des traitements des données. Elles sont d’une grande aide pour se démarquer de la concurrence, mais aussi pour éviter les sanctions.