L’entrée en vigueur du RGPD (Règlement pour la protection générale des données personnelles) le 25 mai 2018 a profondément modifié les contours de la protection des informations personnelles des consommateurs. Les professionnels ont mis en place de nombreuses mesures destinées à se conformer à la nouvelle réglementation en vigueur. Si une structure ne respecte pas les mesures édictées par le RGPD, elle s’expose à des sanctions plus ou moins importantes. La CNIL (Commission nationale de l’informatique et des libertés) est l’organisme chargé de sanctionner les responsables de traitements ne respectant pas la protection des données personnelles. Quelles sanctions peut décider la CNIL face à l’irrespect des données privées ? Réponse dans cet article
Point de départ des sanctions par la CNIL : signalement ou contrôle
Depuis son entrée en vigueur, le RGPD a secoué le quotidien de nombreuses entreprises. Il faut dire que le non-respect d’une seule disposition du règlement peut donner lieu à des sanctions lourdes pour les entreprises. Or, le règlement comporte de nombreux articles avec des critères bien précis qui sont parfois difficiles à appréhender, surtout pour les petites structures.
Chaque procédure de contrôle et de sanction par les organismes de contrôle a pour point de départ une situation en particulier. Il peut s’agir d’un signalement fait auprès de la CNIL, d’un dépôt de plainte ou bien d’un simple contrôle.
Le signalement auprès de la CNIL
Chacun est en droit de signaler une situation auprès de la CNIL lorsqu’il est témoin d’une de ces situations :
- le consommateur ne parvient pas à exercer son droit à la protection de ses données personnelles, conformément à la loi « Informatique et Libertés »,
- la personne qui signale la situation auprès de la CNIL a eu connaissance d’une atteinte aux exigences de protection des données personnelles. Le signalement peut concerner autant un organisme privé que public.
Le signalement se fait assez facilement, depuis le site web de la CNIL via un service mis en ligne et permettant de déposer une plainte plus rapidement. Il est également possible de réaliser un signalement par voie postale. Le courrier doit être accompagné de tous les justificatifs permettant d’étayer les faits et la situation concernée. Chacun est donc en capacité de signaler une violation des données à caractère personnel et la méconnaissance du RGPD de 2018 dans une entreprise en particulier.
Une sanction suite à un contrôle de la CNIL
La CNIL est une autorité qui possède de nombreux pouvoirs et dont les outils de contrôle sont nombreux. En pratique, elle a la capacité d’agir a posteriori en réalisant des contrôles dans les entreprises. Sont responsables les personnes chargées de traiter les données personnelles des utilisateurs. Le contrôleur peut s’adresser à tous les organismes installés en France et qui traitent des données privées.
Dans les faits, le contrôle de la CNIL peut être réalisé en lien direct avec d’autres autorités chargées de la protection des données à caractère personnel. Ce sera le cas lorsque l’organisme possède différents établissements au sein de l’Union européenne. L’objectif est donc de permettre une collaboration entre les organismes de contrôle concernés en Europe afin de parvenir à la fixation d’une sanction proportionnée au degré de faute commise par l’entreprise.
En pratique, le contrôle de la CNIL est consécutif à plusieurs situations. Notamment à la suite d’un contrôle du dispositif de vidéoprotection dans une entreprise ou dans le cadre du programme annuel des contrôles. S’il apparaît que le responsable du traitement des données ou son sous-traitant a méconnu les dispositions du RGPD, le CNIL peut parfaitement bien ordonner des sanctions de différentes natures.
Non-respect des données personnelles et nature des sanctions prononcées
Lorsqu’une entreprise ne respecte pas les dispositions du RGPD elle s’expose à des sanctions qui peuvent être de différentes natures : pénale, administrative, en termes de réputation et le versement de dommages et intérêts.
Sanctions administratives prononcées par la CNIL
Le premier type de sanctions que peut émettre la CNIL est de nature administrative. La mise en place de cette sanction est graduelle en fonction du degré de gravité de la situation. Il peut s’agir de simples mesures correctrices destinées à régler la situation au plus vite ou bien de réelles sanctions administratives. L’entreprise peut également être sommée de verser des dommages et intérêts et de rendre publique la violation des dispositions du RGPD, ce qui peut être de nature à ternir son image.
Dans un premier temps, les autorités de contrôle ont la possibilité de décider de mesures correctrices, soit prises seules soit en complément de sanctions administratives. En pratique, les mesures correctrices sont très dissuasives pour l’entreprise et peuvent suffire pour une mise en conformité rapide. La CNIL peut par exemple délivrer une suspension temporaire du traitement des données ou un avertissement à l’entreprise fautive. Cette dernière doit alors tout faire pour se mettre en conformité avec le RGPD en matière de traitement des données sensibles.
Si l’injonction n’est pas suivie d’effet, la CNIL peut ordonner une sanction administrative qui doit être proportionnée. Sont notamment pris en compte le degré de gravité de la violation du RGPD et sa durée ainsi que la coopération de l’entreprise dans la résolution de la situation.
Amendes à régler par l’entreprise fautive
Les autorités chargées du contrôle peuvent fixer des amendes d’un montant plus ou moins important en fonction du degré de la violation relevée. L’amende est égale à 2 % du chiffre d’affaires (ou 10 millions d’euros) si l’entreprise ne respecte pas les règles concernant le recueil du consentement des enfants. L’amende peut grimper jusqu’à 4 % du chiffre d’affaires au total (ou 20 millions d’euros) en cas d’irrespect des règles de traitement des données.
Non-respect du RGPD et sanctions pénales
Un autre type de sanction pouvant être ordonnée concerne les sanctions pénales, conformément à l’article 84 du RGPD. En outre, en cas de détournement des données personnelles pour une fin différente, l’entreprise s’expose à une amende pouvant aller jusqu’à 300 000 € euros et une peine d’emprisonnement de 5 ans.
En plus des sanctions pénales énoncées, la CNIL peut condamner l’organisme défaillant à verser des dommages et intérêts aux personnes ayant subi une violation de leurs
données personnelles. Ces dernières peuvent donc en principe percevoir une indemnité en compensation de leur dommage matériel et/ou moral en réparation du préjudice subi.
Bon à savoir : les dommages et intérêts ne remplacent pas les sanctions pénales ou administratives mais s’y ajoutent.
Dossier peu complexe : une procédure de sanction simplifiée
Pour les dossiers présentant peu de complexité ou dont la violation est de faible gravité, il est possible de mettre en action une procédure simplifiée de sanction. Comme son nom l’indique, la procédure est simple et rapide. Son instruction se fait par un rapporteur choisi parmi les agents de la CNIL.
La détermination des sanctions est limitée en pratique et les sanctions ne sont jamais rendues publiques. Il s’agit principalement d’un rappel à l’ordre, d’une injonction de se mettre en ordre avec une astreinte de 100 € au maximum par jour de retard. Ou encore du versement d’une amende pour non-respect des règles édictées par le RGPD, d’un montant de 20 000 € au maximum. Le dossier donne lieu à une analyse approfondie et le président de la formation restreinte statue seul, sans qu’une séance publique ne soit organisée. Toutefois, l’entreprise visée par cette mesure peut parfaitement bien demander à être entendue et à s’exprimer face aux sanctions prononcées contre elle.
Un accompagnement dans votre mise en conformité RGPD pour éviter les sanctions
Comme vous l’aurez remarqué, les sanctions prononcées par la CNIL pour non-respect du RGPD sont nombreuses et parfois très lourdes. Pour les entreprises qui en sont sujettes, cela peut représenter une charge financière conséquente, en plus de ternir parfois leur image et leur réputation.
Pour éviter au maximum d’être confronté à une sanction de la part des organismes de contrôle, il est important de s’assurer de sa conformité avec le RGPD. En effet, le moindre écart peut donner lieu à une sanction sévère et au versement de dommages et intérêts pour les utilisateurs dont les données personnelles ont été collectées à tort.
Afin d’éviter au maximum les sanctions de la CNIL, rien de mieux qu’un professionnel aguerri aux règles de protection des données personnelles et qui vous accompagne dans la gestion de vos systèmes d’information et la mise en conformité RGPD.