RGPD – Mise en application et sanctions

Le Règlement Général Européen sur la Protection des Données (RGPD) a beaucoup attiré les médias ainsi que l’intérêt des entreprises du fait importantes amendes en cas de non-conformité. Toutes les violations du RGPD n’engendrent pas nécessairement d’amendes très élevées.

En dehors de son pouvoir d’imposer des amendes, la Commission Nationale de l’Informatique et des Libertés (CNIL) peut prendre des mesures correctives et mettre en place des sanctions afin de faire appliquer le RGPD. Cela comprend la publication d’avertissements et de réprimandes ; la mise en place d’interdictions de traitement des données temporaires ou permanentes ; les demandes de rectifications, de restrictions ou de suppression des données ; et la limitation des transferts de données vers des pays tiers.

Contacter un expert

Les amendes administratives

Il existe deux niveaux d’amendes administratives pouvant être imposées en cas de non-conformité :

Jusqu’à 10 millions d’euros, ou 2% du chiffre d’affaires annuel mondial – selon le montant le plus élevé.
Jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial – selon le montant le plus élevé

Les amendes sont basées sur les articles du RGPD ayant été violés par l’entreprise.
Les violations des obligations de l’organisation, y compris les violations de sécurité des données, seront sujettes au niveau le plus bas, alors que les violations des droits à la vie privée des individus seront sujettes au plus haut palier de sanctions.

Les contrôleurs et les processeurs de données sont passibles d'amendes administratives :

jusqu'à 10 millions d’euros ou 2% du chiffre d’affaires global annuel pour les infractions relatives aux articles :
- 8 (conditions pour le consentement des enfants),
- 11 (traitement ne nécessitant pas d’identification),
- 25-39 (obligations générales des processeurs et des contrôleurs),
- 42 (certification), et
- 43 (organismes de certification)
Jusqu'à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel pour les infractions relatives aux articles :
- 5 (principes de protection des données),
- 6 (bases légales pour le traitement),
- 7 (conditions de consentement),
- 9 (traitement de catégories spéciales de données),
- 12-22 (droits des personnes concernées), et
- 44-49 (transfert de données vers des pays tiers).

Lorsqu’elle décide d’infliger ou non une amende, la CNIL doit prendre en compte :

La nature, la gravité et la durée de la violation ;
Le caractère négligent ou intentionnel de la violation ;
Les mesures prises par les organisations dans le but de limiter les dommages causés aux personnes concernées ;
Les mesures techniques et organisationnelles mise en place par les organisations ;
Les précédentes infractions commises par l’entreprise ou le sous-traitant ;
Le degré de coopération avec l’autorité de contrôle afin de remédier à l’infraction ;
Le type de données personnelles concernées ;
La façon dont l’autorité de contrôle a entendu parler de l’infraction – l’infraction a-t-elle été signalée et dans quelles mesures ;
Si le responsable du traitement ou le sous-traitant a (ou non) signalé l’infraction ; et
L’adhésion aux codes de conduites et programmes de certifications.

En savoir plus sur les étapes à suivre pour vous conformer au RGPD >>

Responsabilité en cas de dommages

Le RGPD donne également aux personnes concernées un droit de dédommagement en cas de dommage matériel et/ou morale causés par une violation du RGPD. Dans certains cas, les organismes à but non lucratif peuvent intenter une action au nom des personnes concernées. Cela ouvre la porte aux recours collectifs en cas d’infraction à grande échelle.

Découvrez comment lancer votre projet de mise en conformité avec le RGPD dès aujourd'hui >>