Pour ceux qui seraient tentés de prendre quelques libertés avec le RGPD, ou qui envisageraient de ne s’y conformer que partiellement, voire pas du tout, mieux vaut qu’ils soient prévenus : les sanctions encourues en cas de manquement auront de quoi dissuader les plus réfractaires au nouveau règlement européen sur la protection des données. En effet, les autorités en charge de veiller à la bonne application du RGPD, la CNIL en France, comptent bien faire preuve d’une extrême vigilance, ainsi que d’une très grande fermeté vis-à-vis de ceux (responsables directs des traitements ou sous-traitants (Lire notre article « Qui est concerné par la mise en conformité ? »)) qui pourraient se montrer négligents ou imprudents. Dans quels cas risque-t-on d’être répréhensible ? Le RGPD impose un certain nombre d’obligations aux entreprises et organismes qui manipulent des données à caractère personnel :

• Prévoir et garantir la sécurité des données récupérées
• Obtenir le consentement des personnes ciblées
• Faire preuve de transparence en veillant à toujours fournir une information claire et intelligible
• Respecter les droits des personnes (droit d’accès à leurs données, droit d’opposition, de rectification, de limitation, d’effacement…)
• Tenir un registre des traitements (obligatoire pour les entreprises de plus de 250 personnes)
• Nommer un délégué à la protection des données (DPD ou DPO)
• Faire une étude d’impact préalable en cas de données sensibles
• Informer rapidement la CNIL et les personnes concernées après un piratage de données

En cas de violation ou de non-respect d’une ou plusieurs de ces obligations, à partir du 25 mai 2018 (Lire notre article « RGPD : l’échéance du 25 mai 2018 »), la CNIL sera susceptible d’intervenir pour alerter les intéressés des irrégularités constatées, et les obliger à rapidement se mettre en conformité. Si la situation venait à persister, faute de régularisation, l’autorité de contrôle pourrait être amenée à durcir le ton, jusqu’à délivrer, en dernier recours, de très fortes amendes. Des sanctions sévères, mais graduelles L’intervention de la CNIL se fera donc de manière progressive, en fonction du type et de la gravité des violations observées…

• Avant d’en arriver à la pénalité maximum, le contrevenant pourra faire l’objet d’un premier avertissement ou encore d’une mise en demeure pour le contraindre à finaliser sa mise en conformité.

• Dans certains cas plus sérieux, les traitements sur les données pourront être limités temporairement, voire suspendus, ce qui aura notamment pour conséquence d’être très pénalisant pour des sociétés dont le cœur de métier est justement de travailler avec des données personnelles.

• Enfin, la CNIL pourra se voir contrainte d’infliger de lourdes amendes administratives à ceux qui choisiraient finalement de ne pas se plier aux règles strictes du RGPD, malgré les mises en garde préalables. A ce titre, deux niveaux de sanctions sont prévus :

• • 2% du chiffre d’affaires mondial d’une entreprise, ou 10 millions d’euros d’amende, pour notamment défaut de tenue d’un registre des traitements, défaut d’étude d’impact sur la vie privée en cas de données sensibles (orientations sexuelles, politiques, informations médicales…), défaut d’annonce suite à une faille décelée, et problèmes de sécurité.

• • 4% du chiffre d’affaires mondial d’une entreprise, ou 20 millions d’euros d’amende, pour défaut de consentement, traitements de données illégaux, non-respect des droits des personnes, manque de prudence lors des transferts transfrontaliers de données, ou encore refus d’obtempérer face aux injonctions de la CNIL.

Les dommages et intérêts et le déficit d’image Contrevenir d’une quelconque manière au RGPD est donc largement déconseillé, d’autant qu’aux amendes administratives plutôt dissuasives, pourront aussi venir s’ajouter les demandes de dommages et intérêts émanant des personnes qui choisiront de porter plainte suite à une fuite de leurs données personnelles. Et comme le nouveau règlement entend bien renforcer considérablement les droits des citoyens européens en la matière, et mieux les tenir informés de la législation, il y a de fortes chances que les demandes de procédures seront beaucoup plus nombreuses, et les contrôles de la CNIL plus fréquents. Outre l’aspect financier non négligeable qu’un manquement au RGPD pourrait entraîner, il est aussi important de comprendre que toute sanction, à plus forte raison si elle s’avère importante, risquerait de nuire énormément à la réputation et à l’image de la structure visée, du fait d’un probable déficit de confiance de la part de ses clients et autres utilisateurs. Tout mettre en œuvre pour se conformer au RGPD reste donc la meilleure des alternatives. Sources :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre8#Article83 https://www.linformaticien.com/dossiers/rgpd160-serez-vous-pr234t160-1.aspx

A venir : Comment bien se préparer au RGPD pour respecter l’échéance du 25 mai 2018 ?