Le Règlement général pour la protection des données (RGPD) prévoit plusieurs obligations (respecter les droits des personnes, sécuriser les données traitées, ne pas récolter les données inutiles…). Le RGPD prévoit des sanctions allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial d’une entreprise. Explications des sanctions auxquelles les entreprises s’exposent en cas de non-respect du RGPD.
Toutes les entreprises traitant des données sont concernées par les sanctions RGPD
Dès lors qu’une entreprise traite des données, elle doit respecter de nombreuses obligations prévues par le RGPD.
Par exemple, l’entreprise doit :
- Respecter les droits de la personne concernée (comme le droit à l’effacement des données …)
- Tenir une documentation RGPD (créer et mettre à jour le registre de traitement des données…)
- Nommer un délégué à la protection des données pour certains cas
- Garantir la sécurité des données personnelles collectées (grâce à des techniques comme le chiffrement des données collectées)
- Informer les personnes sur les traitements de données effectués (avec une politique de confidentialité par exemple)
En cas de non-respect de ces obligations, l’entreprise traitant des données personnelles risque une sanction importante.
Non-respect du RGPD : Les sanctions pénales et administratives
La Commission nationale de l’informatique et des libertés (Cnil) est l’autorité en charge du respect des obligations prévues par le RGPD en France. C’est elle qui veille au respect des obligations RGPD par les entreprises. À ce titre, elle fait preuve d’une grande vigilance et ne manque pas de sanctionner les responsables de traitements et sous-traitants lorsqu’ils ne respectent pas les obligations du RGPD.
Pour mener sa mission, la Cnil a la faculté de sanctionner administrativement. Ces sanctions sont prévues par le RGPD et le montant le plus élevé est toujours retenu :
- Jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial pour des manquements relatifs à la mise en conformité.
- Jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial pour des manquements relatifs aux droits des personnes.
Mais il existe également des sanctions pénales prévues par le Code pénal en France. En voici quelques exemples :
- Absence d’information des personnes concernées : Il s’agit du cas où, au moment de la collecte des données, vous n’informez pas la personne concernée de cette collecte. Par exemple, lors de la prospection commerciale, il faut informer la personne concernée que vous collectez ses données personnelles. En cas de non-respect de cette obligation, l’entreprise s’expose à une amende de 1 500€ pour chaque infraction.
- Non-respect des droits des personnes : C’est le cas lorsque l’entreprise qui collecte des données ne répond pas à une personne qui demande la rectification de ses données personnelles ou l’effacement de celles-ci. De même, l’entreprise risque une amende de 1 500€ pour chaque infraction.
- Détournement de la finalité des données personnelles : un tel détournement a lieu lorsque l’entreprise collectant les données des personnes pour un objectif précis (par exemple la fidéliser des clients) et emploie également ces données pour une autre finalité (études statistiques). Les sanctions pénales auxquelles s’expose l’entreprise sont de 5 ans d’emprisonnement et 300 000 € d’amende.
Les sanctions déjà prononcées et ses conséquences
Une sanction pour non-respect du RGPD a plusieurs conséquences. En effet, au-delà d’une amende, il y a également un risque d’atteinte à la réputation de l’entreprise. La Cnil peut, dans le cadre des procédures de sanction, diffuser un document officiel détaillant le manquement et le montant de l’amende. Cette information circule généralement très vite sur Internet et discrédite l’image de l’entreprise sanctionnée.
La Cnil ne manque pas de sanctionner les entreprises en infraction avec le RGPD. Par exemple, une entreprise a été sanctionnée à hauteur de 500 000€ pour avoir effectué du démarchage téléphonique illégal. En effet, l’entreprise n’a pas respecté les droits des personnes sollicitées. La Cnil a aussi sanctionné une entreprise d’une amende de 400 000€ pour ne pas avoir suffisamment sécurisé les données collectées et ne pas avoir respecté des durées de conservation.
Il est donc primordial pour les entreprises de prévoir un certain coût pour leur mise en conformité. Cet investissement permet de réduire les risques de sanctions de la Cnil et le discrédit public.
RÉFÉRENCES :
- La liste des sanctions prononcées par la Cnil
- Les sanctions pénales en France : les articles 226-16 et suivants du Code pénal
- Les sanctions prévues par le RGPD : article 83 et 84 du RGPD
