Non-respect du RGPD : quelles sont les sanctions ?
Les sanctions prévues par la loi en cas de non-respect du RGPD
Définition du RGPD
Le RGPD ou Règlement Général sur la Protection des Données est né suite à l'accord européen proposé le 27 avril 2016 et entré en vigueur le 25 mai 2018 dans les pays membres de l'Union européenne. Il vise à mettre en place un cadre juridique consacré aux enjeux que représente le traitement des données personnelles. Il s'agit d'un texte de référence portant sur la protection de la vie privée des internautes européens qui s'applique aux professionnels (société ou organisme) qui collectent des données à caractère personnel.
Concrètement, le RGPD encadre le traitement et la circulation des données se rapportant à la vie privée des internautes vivant sur le territoire européen. Toutes les entreprises, quels que soient leur taille et leur secteur d'activité, sont concernées par le RGPD. L'employeur doit s'assurer que les règles de conformité décrites par le RGPD soient respectées et mises en vigueur au sein de sa société, au risque de se voir infliger des sanctions financières. Le RGPD a été élaboré dans le but de :
- Renforcer et protéger le droit des citoyens majeurs et mineurs sur tout le territoire européen ;
- Réveiller la conscience des acteurs de la donnée (organismes, entreprises, intermédiaires) ;
- Renforcer le contrôle et l'application des sanctions en cas de divulgation non consentie de la vie privée des citoyens.
Quelles sont les obligations afférentes au RGPD ?
Le Règlement Général sur la Protection des Données ou RGPD a considérablement bouleversé le fonctionnement des entreprises européennes, notamment à travers les diverses obligations.
Obligations concernant les données
Selon l'article 5.1 du DPO RGPD, les entreprises doivent faire en sorte que les données soient :
- Utilisées de manière responsable, transparente et loyale ;
- Collectées à des fins déterminées et légitimes, le propriétaire de ses données doit en être tenu au courant ;
- Exactes, tenues à jour, et limitées (les citoyens ont le droit de ne pas divulguer certaines informations sensibles à leur sujet) ;
- Conservées pendant une durée raisonnable ;
- Bien protégées et accessibles à leur propriétaire.
Obligations dans le fonctionnement de l'entreprise
La CNIL ou Commission Nationale de l'Informatique et de la Liberté est l'entité compétente qui vérifie et contrôle la mise en conformité du RGPD. Cette autorité recommande aux entreprises de désigner un pilote considéré comme délégué à la protection des données. Il est aussi nécessaire de bien classifier et recenser les fichiers afin de repérer les traitements à risques de sanction. Il est conseillé aux professionnels d'effectuer un tri régulier dans leurs données afin de vérifier que les sauvegardes sont encore utiles et pertinentes. Chaque employé a le droit de demander l'accès à ses informations personnelles sauvegardées et d'effectuer des modifications. Il est primordial de sécuriser ces données afin de protéger la vie privée de chacun.
Quelles sanctions en cas de non-respect ?
L'application des mesures de protection des données décrites par le RGPD et contrôlée par la CNIL repose sur l'employeur. En France, la CNIL détient la capacité de sanctionner les entreprises en cas de non-respect du RGPD ou de défaillance dans la protection des données personnelles des clients ou des employés. La CNIL peut donc infliger des sanctions lourdes comme des sanctions financières (amendes administratives allant de 10 à 20 millions d'euros et jusqu'à 2% du chiffre d'affaire pour les multinationaux), selon la gravité des charges. Les sanctions sont généralement sous forme :
- D'avertissement ;
- De mise en demeure ;
- D'injonction de cesser le traitement ;
- De suspension des flux de données ;
- D'ordre limiter ou effacer des données ;
- Etc.