Pour ceux qui seraient tentés de prendre quelques libertés avec le RGPD, ou qui envisageraient de ne s’y conformer que partiellement, voire pas du tout, mieux vaut qu’ils soient prévenus : les sanctions encourues en cas de manquement auront de quoi dissuader les plus réfractaires au nouveau règlement européen sur la protection des données.
En effet, les autorités en charge de veiller à la bonne application du RGPD, la CNIL en France, comptent bien faire preuve d’une extrême vigilance, ainsi que d’une très grande fermeté vis-à-vis de ceux (responsables directs des traitements ou sous-traitants (Lire notre article « Qui est concerné par la mise en conformité ? »)) qui pourraient se montrer négligents ou imprudents.
Dans quels cas risque-t-on d’être répréhensible ?
Le RGPD impose un certain nombre d’obligations aux entreprises et organismes qui manipulent des données à caractère personnel :
- Prévoir et garantir la sécurité des données récupérées
- Obtenir le consentement des personnes ciblées
- Faire preuve de transparence en veillant à toujours fournir une information claire et intelligible
- Respecter les droits des personnes (droit d’accès à leurs données, droit d’opposition, de rectification, de limitation, d’effacement…)
- Tenir un registre des traitements (obligatoire pour les entreprises de plus de 250 personnes)
- Nommer un délégué à la protection des données (DPD ou DPO)
- Faire une étude d’impact préalable en cas de données sensibles
- Informer rapidement la CNIL et les personnes concernées après un piratage de données
- Avant d’en arriver à la pénalité maximum, le contrevenant pourra faire l’objet d’un premier avertissement ou encore d’une mise en demeure pour le contraindre à finaliser sa mise en conformité.
- Dans certains cas plus sérieux, les traitements sur les données pourront être limités temporairement, voire suspendus, ce qui aura notamment pour conséquence d’être très pénalisant pour des sociétés dont le cœur de métier est justement de travailler avec des données personnelles.
- Enfin, la CNIL pourra se voir contrainte d’infliger de lourdes amendes administratives à ceux qui choisiraient finalement de ne pas se plier aux règles strictes du RGPD, malgré les mises en garde préalables. A ce titre, deux niveaux de sanctions sont prévus :
-
- 2% du chiffre d’affaires mondial d’une entreprise, ou 10 millions d’euros d’amende, pour notamment défaut de tenue d’un registre des traitements, défaut d’étude d’impact sur la vie privée en cas de données sensibles (orientations sexuelles, politiques, informations médicales…), défaut d’annonce suite à une faille décelée, et problèmes de sécurité.
-
- 4% du chiffre d’affaires mondial d’une entreprise, ou 20 millions d’euros d’amende, pour défaut de consentement, traitements de données illégaux, non-respect des droits des personnes, manque de prudence lors des transferts transfrontaliers de données, ou encore refus d’obtempérer face aux injonctions de la CNIL.
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre8#Article83 https://www.linformaticien.com/dossiers/rgpd160-serez-vous-pr234t160-1.aspxA venir : Comment bien se préparer au RGPD pour respecter l’échéance du 25 mai 2018 ?
0 commentaires