RGPD : Quelles sanctions ?
Le RGPD dresse une liste d’obligations pour les entreprises et organismes proposant leurs services à des résidents européens et opérant un traitement des données. En France, c’est la CNIL qui est responsable du contrôle du RGPD et de l’application des sanctions prévues par le texte.
Ainsi, certains manquements aux obligations du règlement peuvent entraîner des sanctions parfois très lourdes pour les entreprises. Quelles violations peuvent entraîner des sanctions ? Quelle est la politique de la CNIL en matière de sanctions, entre accompagnement et contrôle ? Concrètement, quelles sanctions risquez-vous en cas de manquement et comment les éviter ?
Ces points sont essentiels pour comprendre les enjeux et vous aider dans votre mise en conformité avec le RGPD.
Les manquements au RGPD pouvant entraîner des sanctions
Le RGPD établit un certain nombre d’obligations qui visent à protéger les utilisateurs européens sur le traitement fait de leurs données personnelles. À titre d’exemple, la notion de consentement est au cœur du RGPD. Les entreprises sont tenues de recueillir le consentement de leurs utilisateurs pour l’utilisation de leurs données. Par exemple, c’est le cas lorsque vous collectez des adresses emails en vue de les utiliser pour des campagnes email commerciales. Plus largement, le RGPD impose un certain nombre de principes, de la sécurité de la donnée à la transparence des finalités poursuivies par son utilisation.
Il est également important de souligner l’étendue du champ d’application du RGPD. Ainsi, vous êtes soumis au texte dès lors que vous opérez un traitement des données au sens du RGPD, notion très large qui regroupe par exemple la collecte, le classement, la segmentation des données. Dès que vous récupérez des informations sur vos salariés ou vos utilisateurs, par exemple à des fins marketing, vous êtes soumis au RGPD et donc potentiellement exposé à des sanctions.
Pour un rappel des principales obligations du RGPD, consultez notre article : le RGPD pour les nuls.
Une politique de sanctions graduelle orientée vers l’application du RGPD
En cas de manquement au RGPD, si des sanctions existent bien sûr, parfois très lourdes, leur application n’est pas le premier objectif de la CNIL. Rappelons que la CNIL est chargée du RGPD en France. L’organisme est en fait chargé de plusieurs missions relatives à la protection des données en France. Or, le contrôle du RGPD n’est qu’une des facettes de ses rôles. Le premier d’entre eux est celui d’informer et d’accompagner les entreprises dans l’application du RGPD. Ainsi, une politique graduelle a été mise en place, visant plus à pousser les entreprises à appliquer le RGPD qu’à les punir en cas de violation.
En cas de manquement, la réponse de la CNIL suit plusieurs étapes successives :
- Dans un premier temps, la CNIL adresse un rappel à l’entreprise fautive ou une mise en demeure de suivre les obligations du RGPD. Elle peut aussi accompagner le DPO responsable du RGPD dans l’entreprise pour mettre en place les mesures nécessaires.
- La CNIL adresse une injonction de cesser la violation à l’entreprise concernée : cette injonction est plus formelle et plus “pressante” qu’une simple mise en demeure.
- Cette étape n’est pas toujours présente. Elle consiste en une limitation ou suspension temporaire du traitement des données par l’entreprise concernée, le temps de trouver de nouveaux process pour être en conformité avec le RGPD. Là encore, la CNIL a un rôle d’accompagnateur.
- Enfin et en dernier recours, la CNIL prononce des sanctions administratives suite à l’injonction non suivie. Les sanctions sont donc un dernier recours.
Néanmoins, ces sanctions sont très importantes pour les entreprises. D’où l’importance d’être constamment en conformité avec le RGPD !
Les types de sanctions en cas de violation du RGPD
Deux types de sanctions sont prévues par l’article 83 du RGPD en cas de violation du règlement. Leur application est limitativement fixée par le règlement qui fixe des facteurs pris en compte par la CNIL pour imposer une sanction qui soit proportionnelle, dissuasive et effective par rapport à la violation constatée.
D’une part, une première série de violations entraînent une sanction pouvant aller jusqu’à 2 % du chiffre d’affaires global de l’entreprise ou 10 millions d’euros d’amende, le plus grand montant étant retenu. Ces sanctions concernent par exemple l’absence de tenue d’un registre des traitements.
D’autre part, des sanctions plus importantes peuvent être prononcées, allant jusqu’à 4 % du chiffre d’affaires global de l’entreprise ou 20 millions d’euros. Il s’agit par exemple de l’absence de recueil du consentement de l’utilisateur ou d’un manquement à la sécurité des données sensibles au sens du RGPD.
Enfin, l’article 84 du RGPD donne la possibilité aux États membres de l’Union Européenne d’ajouter des sanctions pénales à ces sanctions administratives. En France, le Code pénal punit ainsi certaines pratiques, comme le détournement de la finalité du traitement des données. Ces condamnations peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.
Les sanctions encourues en cas de manquement au RGPD peuvent donc être très lourdes et avoir des conséquences importantes sur les organisations ou entreprises concernées. D’où l’importance de veiller à rester en conformité avec les exigences du RGPD. De nombreux outils peuvent vous y aider, notamment des logiciels de mise en conformité au RGPD comme Seald qui prend en charge la sécurité de vos données et vous permet donc d’éviter les sanctions.
Better Seald than sorry.