RGPD : quels risques de sanctions s’il n’est pas respecté ?

L’imprudence ou la négligence des entreprises et organismes publics ou privés lors du traitement de données sensibles sont directement et lourdement sanctionnées par le RGPD (Règlement Général Pour la Protection des Données) depuis son entrée en vigueur le 25 mai 2018.

Selon le RGPD, les entreprises et organismes ont plusieurs obligations :

  • Garantir la sécurité maximale des données personnelles
  • Demander en aval le consentement des personnes concernées
  • Etre transparent dans le traitement des données, avec une obligation d’information et de conseil des personnes concernées
  • Respecter les droits de la personne concernée lors du traitement des données
  • Tenir un registre des traitements de données – ce registre est obligatoire quand le volume d’une entreprise dépasse les 250 personnes
  • Nommer un délégué à la protection des données (DPO)
  • Effectuer des analyses d’impact préalables aux traitements des données personnelles permettant de gérer les risques éventuels lors du traitement (fuite des données par exemple).

Le rôle central de la CNIL

En France, la Commission nationale de l’informatique et des libertés (CNIL) est chargée de veiller au respect et à l’application conforme du RGPD. Elle a un devoir de vigilance, de dissuasion et de fermeté vis-à-vis des manquements des responsables de traitements et sous-traitants.

Elle propose une méthode, des études de cas et un catalogue de bonnes pratiques pour mener une analyse d’impact sur la protection des données, ainsi que le logiciel open source PIA pour faciliter la mise en oeuvre de cette analyse.

Des sanctions graduelles

L’intervention de l’autorité de contrôle est progressive en fonction de la gravité du manquement de l’entreprise à une des obligations découlant du RGPD.

  • Etape 1 : Avertissement ou mise en demeure de l’entreprise fautive avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD
  • Etape 2 : Injonction de cesser la violation
  • Etape 3 (dans certains cas) : Limitation ou suspension temporaire des traitements de données
  • Etape 4 : Sanctions administratives en cas de non-respect aux règles du RGPD après injonction vaine de l’autorité de contrôle

Les sanctions peuvent être administratives, voire pénales.

Les amendes administratives

Deux niveaux de sanctions administratives sont prévus par le RGPD selon la gravité du dysfonctionnement constaté :

  • une amende d’un montant de 2% du chiffre d’affaires mondial pour les entreprises ou de 10 millions d’euros peut être appliquée, par exemple en l’absence de tenue d’un registre des traitements ou d’analyse d’impact préalable aux traitements des données personnelles.
  • dans le cas d’infractions plus graves liées à la mauvaise application ou au non-respect du RGPD, une amende d’un montant de 4 % du chiffre d’affaires mondial pour les entreprises ou 20 millions d’euros d’amende peut être appliquée.

Les infractions en question concernent les dispositions suivantes :

  • L’obligation de consentement de la personne concernée avant collecte, traitement ou stockage des données personnelles
  • Les autres droits des personnes concernées
  • Les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale
  • Toutes les obligations découlant du droit des Etats membres
  • Le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle.

Les sanctions pénales

Ces sanctions sont appliquées en cas de détournement de la finalité des données personnelles lors d’un traitement de données (Article 226-21 du Code pénal). Elles peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (Article 226-16 du Code pénal).

Dommages et intérêts et déficit d’image

Les personnes concernées par la violation d’une des dispositions du RGPD et lésées par le traitement de données non conforme au RPGD peuvent porter plainte contre l’organisme en faute et réclamer des dommages et intérêts.

Un manquement ou une absence de mise en conformité d’une entreprise au RGPD risque également de nuire à son image et sa réputation. La confiance des clients et partenaires peut s’en trouver durablement écornée.

Malgré un accueil mitigé, le RGPD a conduit les organisations en Europe et dans le monde à aligner leurs pratiques commerciales afin d’assurer une meilleure protection des données personnelles.  Selon une étude menée par Deloitte en 2018, 92% des entreprises estiment qu’elles sont en mesure de se conformer au RGPD dans leurs pratiques commerciales à long terme.