Les sanctions pour non-conformité du RGPD

Le Règlement Général sur la Protection des Données Personnel (RGPD) est devenu une obligation à laquelle doivent se soumettre toutes les entreprises européennes qui traitent des données personnelles de leurs clients. Dans le cadre de cette mise en conformité, elles doivent désigner un Data Protection Officer (DPO) dont le rôle est ici fondamental. En cas de non-respect du RGPD, les entreprises récalcitrantes s’exposent à des sanctions, tel que le prévoit le règlement. Quel est le rôle du DPO dans la mise en conformité RGPD ? À quelles sanctions s’exposent les entreprises non conformes ?

Le DPO, le principal acteur de la mise en conformité RGPD

Au sein des entreprises qui traitent des données à caractère personnel, le DPO est l’acteur stratégique de la mise en conformité. Il occupe donc une place de choix et ne peut à ce titre être choisi au hasard.

Rôle et missions du DPO

Le DPO est la personne en charge de la protection des données à caractère personnel au sein des institutions privées comme publiques. La notion de DPO a été consacrée par le RGPD en mai 2018 qui a rendu obligatoire sa nomination pour certaines entreprises. Ainsi, pour toutes les questions relatives aux données personnelles au sein de l’entreprise, il est l’interlocuteur privilégié. Il a également cette responsabilité vis-à-vis de la CNIL et des personnes dont l’organisme traite les données à caractère personnel.

Qu’il soit interne ou externe, le DPO permet aux entreprises de se prémunir des risques liés au mauvais traitement des données personnelles. C’est essentiellement ce qu’il faut savoir sur la mise en conformité RGPD, il y a également d’autres étapes à suivre. Mais dans la pratique, le DPO évite aux institutions traitant des données personnelles de leurs clients, de s’exposer aux sanctions liées au non-respect du RGPD. Pour ce faire, ses missions consistent dans la grande majorité des cas à :

  • informer et conseiller l’entreprise, au sein de laquelle il opère, et ses collaborateurs de la nécessité de se conformer au RGPD et des changements éventuels dans l’usage de la Data au sein de la structure,
  • contrôler le respect du RGPD et du droit national concernant la protection des données personnelles,
  • proposer et piloter une analyse d’impact sur la protection des données personnelles,
  • être la passerelle entre son entreprise et les autorités locales chargées du respect du RGPD,
  • être disponible pour répondre aux préoccupations des personnes dont les données sont traitées

Par ailleurs, le DPO intervient également dans la cartographie des traitements de l’organisme, dans la hiérarchisation des actions à mener, dans l’organisation des procédures internes et dans la documentation de l’organisme concernant la mise en conformité.

Les sanctions pour non-conformité du RGPD

Critères de choix du DPO

Vous l’aurez sans doute compris, le rôle du DPO dans les entreprises est délicat. Avant d’évoquer les critères de choix de ce collaborateur stratégique, il faut savoir que toutes les entreprises ne sont pas tenues de désigner un DPO. Le RGPD prévoit trois cas dans lesquels cette désignation est obligatoire. De même, le DPO peut être une personne interne ou externe à l’entreprise.

S’agissant des critères de choix du DPO, il est impératif qu’il ait une importante culture juridique, notamment en ce qui concerne la législation applicable en matière de protection des données personnelles. Des connaissances solides en informatique et en droit de la cybersécurité sont également nécessaires pour un bon DPO. Il doit en outre faire preuve d’une connaissance approfondie des systèmes d’informations, de l’organisation et des besoins de l’organisme où il exerce.

Outre ces critères, il est également important que le DPO soit une personne intègre, qui travaille en toute indépendance et ait le sens de la confidentialité. Dans sa position, il a l’obligation de se démarquer de toutes les situations de conflits d’intérêt au sein de l’entreprise.

Les sanctions en cas de non-respect du RGPD

Il faut distinguer différents types de sanctions en cas de non-conformité du RGPD.

Le système de sanctions graduelles de la CNIL

Dans chaque pays européen, il existe une autorité de contrôle de la mise en conformité RGPD. L’autorité de contrôle, la CNIL en France, a donc une obligation de vigilance, de dissuasion et de rigueur vis-à-vis des manquements des responsables de traitements et des sous-traitants des organismes traitant des données personnelles. Ainsi, le CNIL a le droit d’imposer aux entités récalcitrantes, des sanctions administratives et s’assure de leur application effective. Elle applique à cet effet un système de sanctions graduelles qui se décline en quatre étapes :

  • avertissement et mise en demeure de l’organisme non en règle,
  • injonction de mettre fin aux violations,
  • limitation ou suspension momentanée des traitements de données,
  • sanctions administratives lorsque toutes les étapes précédentes sont restées vaines

Les amendes administratives imposées par le RGPD à la CNIL

Pour ce qui est des sanctions prévues par le RGPD même, elles sont envisageables en dernier recours, au regard de leur incidence sur les entreprises récidivistes. Il s’agit d’amendes administratives fixées par l’article 83 du RGPD et dont le montant doit être propositionnel et dissuasif selon le manquement observé.

Il faut distinguer deux types d’amendes administratives. La première peut être de 2% du chiffre d’affaires mondial des entreprises et la seconde de 10 millions d’euros. Ces amendes s’appliquent en fonction du manquement observé, au responsable du traitement et au sous-traitant, à l’organisme de certification ou à celui chargé du suivi des codes de conduite.

Les sanctions pour non-conformité du RGPD #2

Les sanctions pénales

L’article 84 du RGPD prévoit également des sanctions pénales en cas de non-respect du RGPD. Elles s’appliquent aux manquements qui ne sont pris en compte par l’article 83. Elles peuvent par exemple s’appliquer au cas de détournement de la finalité des données personnelles au cours d’un traitement et impliquer jusqu’à 5 ans d’emprisonnement et le versement de 300.000 euros d’amende.

Les dommages et intérêts

Les manquements des entreprises peuvent créer un préjudice matériel et moral aux personnes dont les données ont été frauduleusement traitées. Si une personne victime porte plainte, la justice peut décider que l’organisme en faute lui paye des dommages et intérêts en plus des amendes administratives et des sanctions pénales dont il doit s’acquitter. Il existe également un risque de déficit d’image auquel l’entreprise fautive s’expose.

Vous pouvez lire également : droit du travail : 3 cas pratiques