Le RGPD, pleinement applicable à partir du 25 mai 2018, va modifier profondément le monde de la protection des données. Et, il modifiera certainement ce monde avec les sanctions sévères à la clef en cas de manquement aux obligations prévu par le nouveau règlement. Quelles sont ses sanctions ? Mais avant, quelques mots sur les pouvoirs de l’autorité de contrôle.
Les pouvoirs de l’autorité de contrôle
L’autorité de contrôle est chargée de contrôler et de veiller à l’application des dispositions du RGPD par ceux qui y sont soumis. Dans le cadre de ses missions, elle peut mener des enquêtes sur la base d’information donnée par une autre autorité de contrôle ou une autorité publique. Mais elle peut aussi prendre l’initiative de faire une enquête après avoir enregistré la réclamation d’une personne concernée.
Dans ces enquêtes, l’autorité de contrôle peut : demander la communication des informations nécessaires à la réalisation de ses missions, effectuer les audits de protection des données, réaliser un examen des certifications délivrées, accéder à toutes les données à caractère personnel de l’entité à contrôler, accéder à tous les locaux de l’entité, notifier une violation du règlement.
Après son enquête ou suite à une réclamation faite par une personne concernée, l’autorité de contrôle peut prononcer diverses mesures correctrices : des avertissements (rappeler que les opérations de traitements envisagées sont contraires au règlement sur la protection des données), un rappel à l’ordre, une mise en conformité (demander la mise en conformité des traitements réalisés dans un délai déterminé, imposer des limitations, retirer ou refuser une certification, ordonner la suspension du flux de données transmis à une organisation hors de l’UE.
Les amendes administratives
En cas de non-conformité avec le RGPD, on risque de payer des amendes administratives relativement importantes. Ces amendes sont prononcées par l’autorité de contrôle. L’amende qui sera prononcée diffèrera en fonction du type de violation :
- Pour le non-respect des principes de privacy by design et du principe de privacy by default. Pour le défaut de tenue de registre de traitement, le défaut de notification de l’autorité de contrôle quand cela s’impose, ou encore pour le défaut de désignation d’un DPO quand cela est obligatoire, le contrevenant risque une amende administrative de 10 millions d’euros, ou dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial (exercice précédent);
- Pour le non-respect des principes liés aux traitements de données à caractère personnel, le non-respect des conditions de licéité du traitement, le non-respect des droits des personnes… la sanction pourra s’élever à 20 millions d’euros, ou pour une entreprise, jusqu’à 4% du chiffre d’affaires mondial (exercice précédent).
Le recours juridictionnel
Une personne qui estime que ses droits conférés par le RGPD ont été violés peut introduire une requête devant la juridiction compétente pour demander réparation du préjudice moral ou matériel qu’elle a subie. Ce recours est intenté au responsable du traitement et au sous-traitant.
Il faut préciser qu’outre les sanctions précitées, les états membres sont libres de concevoir d’autres sanctions en cas de violation du RGPD, notamment des sanctions pénales. Dans tous les cas, il faut rappeler qu’avec l’approche de la date d’application du RGPD, il est plus qu’important de se mettre en conformité avec la nouvelle règlementation. Et ce, pour éviter les sanctions.
Leave a Reply