RGPD : A quelles sanctions s’exposent les contrevenants ?

Difficile de croire que sur la toile, nos informations personnelles peuvent circuler et être accessibles à un tiers sans notre consentement. Un constat affligeant mais pourtant bel et bien réel. Afin de renforcer la protection de nos données personnelles, la loi décide d’instaurer à compter du 25 mai 2018, le règlement général sur la protection des données personnelles (RGPD) dans l’ensemble des pays membre de l’union européenne. En cela, l’objectif principal est d’éviter que nos données dites privées soient endommagées, déformées ou accessibles par des tiers qui n’y seraient pas autorisés. Beaucoup de mesures ont été prises en compte, selon un cadre bien défini d’accès ou non à certains contenus. Le non-respect de ces règles peut entraîner des sanctions irrémédiables allant de l’avertissement jusqu’à l’amende de 10 millions d’euros. Des sanctions à ne pas prendre à la légère pour les entreprises qui ne respectent pas ce règlement.

Des sanctions en cas de non-conformité

Tout organisme public ou privé, quel que soit sa taille, son pays d’implantation, et son activité, a le devoir d’être conforme à la nouvelle réglementation du traitement de données personnelles (RGPD). Dés lors que «  l’organisme est établi sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens ». Cela concerne également les sous-traitants qui traitent ces données à caractère personnel pour le compte d’autres organisations.
Par conséquent, que ce soit les responsables du traitement ou leurs sous-traitants, tous engagent au même titre leur responsabilité en cas de non-respect de la réglementation RGPD.

Si vous êtes un organisme public ou une entreprise dont l’activité de base est alimentée par le traitement de données sensibles (traitées par le corps médical, les banques, assurances,…) et à grandes échelle, vous devez obligatoirement créer un poste de Délégué à la protection des données (DPO). Son rôle est d’assister le responsable du traitement des données tout en veillant au respect de la législation européenne.

Des sanctions sont envisagées envers les contrevenants aux qui ne se sont pas mis en conformité.avec les dispositions du RGPD.  C’est à dire qu’il ne répondent pas favorablement à l’une ou à plusieurs des obligations suivantes selon les cas :

  • la transparence.
  • réaliser une étude d’impact avant d’envisager un traitement de données
  • répondre dans les meilleurs délais aux demandes de consultation, de rectification, ou de suppression des données.
  • identifier les données sensibles qui peuvent avoir des conséquences
  • instaurer des mesures de sécurités adaptées (« pseudonymisation » et le « chiffrement de données à caractère personnel »).
  • établir un registre des activités de traitement.
  • ne partager et ne laisser circuler les données qu’à des conditions strictes.

Désormais, le contrôle étant renforcé, les entreprises doivent se responsabiliser et rendre des comptes. En cas de violation du règlement, les Sanctions RGPD sont variées et très dissuasives.

Le durcissement des sanctions de la CNIL

Le pouvoir de sanction de la CNIL a été renforcé depuis l’entrée en vigueur du RGPD. Si il y a méconnaissance des dispositions du règlement, les autorités de la protection vont procéder à des sanctions de façon graduelle dans un premier temps. Par conséquent, la CNIL dispose d’un large panel de sanctions  :

  • prononcer des avertissements ou une mise en demeure de l’entreprise défaillante.
  • user d’une sommation de cesser la violation.
  • limiter temporairement ou définitivement un traitement.
  • ordonner des sanctions administratives, en cas de non-respect du règlement après ces multiples injonctions.

Dans un second temps, si les mesures n’ont pas été assez dissuasives, des sanctions administratives vont être mises en place en fonction de la durée, de la nature et de la gravité de la violation.
Par conséquent, une amende d’un montant de 10 millions d’euros peut être appliquée en cas de manquement de l’un des responsables suivants :

Une amende de 20 millions d’euros peut être exécutée lorsqu’il y a mauvaise application et non-respect du règlement. Les infractions commises concernent :

  • le défaut de consentement
  • les transferts de données personnelles
  • le non-respect d’une injonction

Lorsqu’il y a atteinte aux droits de l’individu, le code pénal (articles 226-16 à 226-24) prévoit des sanctions pénales supplémentaires en cas de :

  • Méconnaissance ou oubli de procéder à la notification d’une violation.
  • Collecte des données personnelles en utilisant un moyen frauduleux, déloyal ou illicite.
  • Conservation en mémoire informatisée des données sans consentement.
  • Utilisation de données pour la recherche en santé sans informer.
  • Divulgation d’informations privées.
  • Détournement de la finalité des données personnelles lors d’un traitement de données.

Ces sanctions peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.

Lorsqu’il y a préjudice et notamment fuites des données, les personnes victimes de ce détournement ont la possibilité de porter plainte contre l’organisme en faute. Des dommages et intérêts seront alors versés aux victimes si il y a recours auprès de la justice.

Des sanctions à ne pas prendre à la légère

Les divers contrôles de la CNIL ont permis de mettre en évidence des dysfonctionnements et des violations au respect des traitements de données à caractère personnel de la part de certaines entreprises étant considérées comme les plus puissantes du monde de l’internet, les GAFA, notamment. En effet, les 25 et 28 mai 2018, la CNIL a reçu des plaintes collectives qui ont permis de mettre le doigt sur plusieurs violation au règlement de GOOGLE. En effet, deux associations « None Of Your Business » et « La Quadrature du Net » reprochent à GOOGLE de ne pas « disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services ». En septembre 2018, la CNIL a effectué un contrôle en ligne qui a permis de constater la légitimité des plaintes précédentes.

GOOGLE est alors condamné le 21 janvier 2019, par la formation restreinte de la CNIL, au paiement d’une amende record de 50 millions d’euros pour :

  • Manquement aux obligations de transparence et d’information : les finalités pour lesquelles les données sont traitées, la durée de conservation ou les catégories de données utilisées pour la personnalisation de la publicité sont « excessivement » dispersées dans plusieurs documents ce qui entraîne une difficulté de clarté et de compréhension pour les utilisateurs.
  • Manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité : le consentement des utilisateurs n’est pas suffisamment « spécifique » et « univoque » car il ne peut donner de façon distincte son consentement pour chaque finalité et ne peut cocher les cases qu’il souhaite lors de la création du compte.

Des manquements qui perdurent et qui sont le résultat de violations continues du RGPD.

L’importance des sanctions pour le respect des Droits et des Libertés.

Outre GOOGLE d’autres organismes ont fait l’objet de sanctions. Parmi eux:

  • BOUYGUES TELECOM du fait d’une insuffisante protection des données clients B&You : une sanction 250 000 euros.
  • UBER pour une atteinte à la sécurité des données des utilisateurs  : une sanction de 400 000 euros.
  • une association de développement des foyers (ADEF), pour une atteinte à la sécurité des données de demandeurs de logements  : une sanction de 75 000 euros.

Les fuites de données sont une violation de données à caractère personnel qui peuvent entraîner des risques pour les droits et libertés des personnes. Cela peut causer :

  • Des dommages physiques.
  • Des dommages matériels.
  • Un préjudice moral : discrimination, vol, usurpation d’identité, perte financière, atteinte à la réputation,…

En renforçant le cadre du contrôle et le pouvoir de sanction de la CNIL le RGPD garantit la protection de nos données personnelles..

Articles liés à ce sujet :