La France était le troisième pays avec le plus de sanctions pour non-conformité au RGPD en 2022. La valeur totale de ces sanctions RGPD était de 25 millions d’euros. Ce nombre ne cessera de croître dans les années à venir. En fait, les réformes de 2018 ont créé et renforcé les sanctions du RGPD. Cependant, il existe encore trop d’organismes en France qui ne respectent pas totalement cette réglementation. Quelles sont donc les sanctions ? Comment se préparer au contrôle de la CNIL, Et comment éviter les risques inutiles ?
Comment une entreprise peut se retrouver sous le viseur de la CNIL pour non-respect du RGPD ?
- Signalement auprès de la CNIL : Si un utilisateur constate un non-respect des droits, il peut faire un signalement auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés) qui peut décider de mener une enquête.
- Dépôt d’une plainte : Si les utilisateurs n’arrivent pas à exercer facilement leurs droits et ce malgré plusieurs tentatives auprès des Responsables de traitement. Ils peuvent également déposer une plainte auprès de la CNIL, qui peut décider de mener une enquête.
- Contrôle effectué par la CNIL : La CNIL peut également mener des contrôles (Ex : sur place, en ligne, sur pièce…) pour vérifier que les entreprises respectent les règles de protection des données personnelles.
Comment sont appliquées les sanctions RGPD ?
Chaque État membre dispose de sa propre autorité de régulation responsable du suivi et de l’application du RGPD. Ces autorités ont le pouvoir de mener des enquêtes, d’imposer des amendes et même d’engager des poursuites contre les entreprises non conformes.
Sanctions pour manquement aux obligations légales
Les sanctions en cas de non-conformité au RGPD peuvent être sévères. Le montant exact de l’amende dépend de la gravité de l’infraction, de la taille de l’entreprise et des antécédents de l’entreprise. L’amende maximale peut atteindre 4 % du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros, selon le montant le plus élevé.
A cela ajoutons la possibilité d’une sanction pénale, en effet l’article 84 du RGPD prévoit que les Etats membres peuvent également mettre en place des sanctions supplémentaires en cas de violation du RGPD, en particulier pour compléter le RGPD. Il s’agit surtout de sanctionner les violations qui ne font pas l’objet d’amendes administratives au sens de l’article 83 du RGPD.
D’autres sanctions non pécuniaires peuvent se traduire par des suspensions d’activité, des ordres de cesser le traitement de données, d’injonction sous astreinte, de rectification, limitation/ effacement de données ou une encore une sanction que les entreprises négligent trop souvent qui est la dégradation de l’image de marque et la confiance que les utilisateurs peuvent avoir en une marque une fois cette dernière mise sous les projecteurs par la CNIL et les médiats.
Comment éviter les sanctions liées à la mise en application du RGPD ?
Par manque de moyens et malgré une méconnaissance des différentes réglementations existantes en matière de protection des données, certaines entreprises préfèrent engager leur mise en conformité en interne pour réduire les coûts. Cependant, enfreindre les règles peut vous coûter cher. Ainsi, lorsqu’il s’agit d’économiser de l’argent, vous courez le risque de ne pas être totalement en conformité avec obligations légales en matière de sécurité et protection des données et d’être signalé à la CNIL.
Voici quelques conseils pour assurer la conformité :
- Désignez un référent à la protection des données ou un DPO : nous recommandons vivement, même si le cadre légal ne l’impose, de désigner un référent à la protection des données ou un DPO qui veillera à la conformité au RGPD.
- Effectuez régulièrement des audits pour identifier les manquements potentiels ainsi que les risques.
- Assurez-vous que tous les tiers auxquels vous faites appel sont également conformes au RGPD.
- Sensibiliser vos employés à la protection des données et aux risques Cyber.
- Mettez en place des mesures techniques et organisationnelles appropriées pour protéger les données de votre organisation contre tout risque cyberattaque et fuite de données.
- Elaborer des politiques de confidentialité claires et précises pour informer les utilisateurs de la manière dont leurs données personnelles sont traitées.
- Limitez l’accès aux données aux seules personnes habilitées à en connaitre
Notifiez la CNIL et le cas échant les personnes concernées, dès lors que cela est nécessaire, de toute violation de données dont votre organisme a été victime.
Les sanctions RGPD peuvent avoir un impact sévère sur les organisations qui enfreignent sciemment les différentes réglementations en matière de protection des données et protection de la vie privée et en particulier le RGPD. Pour éviter la sanction, les entreprises doivent s’emparer du sujet de la conformité et le voir sous un angle positif. La conformité de vos traitements et la mise en place de mesures techniques et organisationnelles permettra, avant tout, à votre organisation de répondre à ses obligations légales mais aussi de conquérir de nouveaux clients et utilisateurs qui sont eux de plus en plus soucieux de la protection de leurs données.