Non-conformité au RGPD : quelles sont les sanctions ?

Depuis son entrée en vigueur le 25 mai 2018, le RGPD impose de nouvelles normes à la gestion des données personnelles en entreprise. Ce sont des règles strictes auxquelles les entreprises et organismes traitant des données sensibles doivent se soumettre. Pour les contrevenants, la sanction est souvent lourde. Les sanctions infligées sont de deux sortes et sont loin d’être inévitables. Dans cet article, nous parlerons des sanctions prévues. Mais parlons d’abord des différentes pistes pour se conformer aux exigences du RGPD.

Comment se conformer aux exigences du RGPD ?

Le Règlement Général sur la Protection des Données comprend de nombreuses exigences. Entre autres, il prévoit que les entreprises et organismes garantissent la sécurité maximale des données et demandent toujours en aval le consentement des intéressés. Ils doivent aussi faire preuve de transparence et respecter les droits des personnes concernées pendant le traitement des données.

Pour vous conformer à toutes ces exigences du RGPD, vous pourriez avoir recours à certains outils proposant une solution de gestion des consentements assez pratiques si vous êtes concerné par la protection des données. Il existe en effet des plateformes web qui permettent de réaliser des notices d’information, de créer des politiques de confidentialité et des cookies. Vous pouvez aussi, avec ces plateformes, créer des bannières de consentement transparentes et conformes. Pour un meilleur processus de mise en conformité, ces outils peuvent aussi proposer des solutions innovantes de legal-tech.

Non-conformité au RGPD : quelles sont les sanctions ?

Les amendes administratives

La menace de la sanction n’est brandie qu’en dernier recours. Elle fait suite à la banalisation des avertissements et injonctions de la CNIL.

Les sanctions d’ordre administratif sont énumérées à l’article 83 du RGPD. Selon cette disposition juridique, les entreprises fautives peuvent écoper d’une amende pouvant aller jusqu’à 2% du chiffre d’affaires. Les autres organismes sont quant à eux passibles d’une amende pouvant atteindre 10 millions d’euros. Ce premier palier de sanction concerne les manquements à certaines obligations comme celles incombant au responsable du traitement et au sous-traitant ou à l’organisme de certification.

Les autres manquements comme ceux touchant au consentement des intéressés avant collecte ou stockage des données sont punis plus sévèrement. Les entreprises peuvent dans ces cas écoper d’une amende pouvant aller jusqu’à 4% de leur chiffre d’affaires mondial, contre 20 millions pour les autres organismes.

Les sanctions pénales

L’article 84 du RGPD donne la capacité aux États membres de l’Union européenne d’appliquer des sanctions pénales, notamment pour les fautes qui ne font pas objet d’amendes administratives au regard de l’article 83. Ainsi, en France, vous serez passible de sanctions pénales en cas de détournement de la finalité des données personnelles lors d’un traitement de données. Vous risquez jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende.

Dommages et intérêts et déficit d’image

En cas de mauvaise gestion des données sensibles, les victimes peuvent porter plainte contre l’entreprise ou l’organisme en cause. L’entreprise ou l’organisme pourrait être sommé de verser à la victime une compensation pour combler les dommages matériels ou moraux que ses victimes auraient éprouvés. Cette sanction n’empêche pas l’application des autres sanctions citées plus haut. Enfin, ne pas se conformer au RGPD peut écorcher votre image auprès de vos clients et partenaires. Cela aura inéluctablement une conséquence sur votre rapport avec la concurrence.

La non-conformité au RGPD vous expose à des sanctions administratives, pénales ainsi qu’à des dommages et intérêts. Il existe cependant des solutions simples pour éviter ces genres de situation.