Quelles entreprises sont concernées par le RGPD ? Quelles sanctions en cas de non-conformité ?

Adopté le 14 avril 2016, le Règlement Général sur la Protection des Données (RGPD) est une norme européenne qui vise l’harmonisation des pratiques relatives à l’utilisation des données personnelles collectées sur internet. Le RGPD concerne ainsi tout acteur procédant à la collecte et au traitement des données personnelles des citoyens. Depuis le 25 mai 2018, le respect des dispositions du RGPD est devenu obligatoire dans tous les États membres de l’Union européenne, mais concrètement, quelles entreprises sont concernées et surtout quelles sont les sanctions encourues en cas de non-respect de cette norme ?

Qu’est-ce que le RGPD

Norme européenne réglementant le traitement des données personnelles, le RGPD s’inscrit dans la suite logique de la loi informatique et libertés. De façon concrète, ce règlement régit les conditions techniques de collecte, de stockage et de traitement des données personnelles des citoyens.

Quelles entreprises sont concernées par le RGPD ? Quelles sanctions en cas de non-conformité ?

Ainsi, le RGPD poursuit deux principaux objectifs, à savoir :

  • la responsabilisation des acteurs chargés du traitement des données personnelles
  • le renforcement du droits des personnes, dont en particulier le droit à l’opposition de collecte, à la rectification et à l’oubli

Depuis son entrée en vigueur, toutes les entreprises procédant à la manipulation de données personnelles ont normalement dû actualiser leurs procédures en vue d’une mise en conformité. Si vous êtes concernés par la loi et que votre entreprise n’a pas encore entrepris de modifications afférentes, il est important d’adresser ce point rapidement pour éviter des amendes.

Quelles sont les entreprises visées par le RGPD ?

Le RGPD s’appuie principalement sur deux critères pour déterminer quelles entreprises sont concernées par ses dispositions :

  • l’entreprise doit être établie sur le territoire de l’Union européenne
  • et l’activité de l’entreprise doit cibler directement des résidents européens

Ces critères ne sont pas cumulatifs et toute entreprise établie sur le territoire de l’un des 28 États membres de l’Union européenne qui collecte, stocke ou traite des données personnelles est concernée par ce règlement.

Notez par ailleurs que :

  • vous êtes soumis au RGPD meme si la collecte de données n’est pas l’activité principale de votre société
  • et un simple stockage de données est également considéré comme une forme de traitement

De plus, les dispositions du RGPD s’appliquent sans considération de la taille de votre entreprise. En d’autres termes, tous les organismes publics et entreprises privées de toutes tailles, dans le B2B ou le B2C, sont soumise aux dispositions du RGPD.

Il est important de préciser que le Règlement Général sur la Protection des Données s’applique également aux sous-traitants de toute entreprise établie dans l’un des États membres de l’UE. Cela est valable même si ces sous-traitants ont leur siège en dehors du territoire européen. De la sorte, le RGPD installe un principe de co-responsabilité entre l’entreprise européenne et l’ensemble de ses sous-traitants pour les données remises aux prestataires.

Enfin ce règlement s’applique pour tout traitement de données d’un citoyen européen, quelle que soit sa nationalité. Cela inclut même les cas où le traitement et les stockages desdites données sont effectués en dehors du territoire européen. Du moment où l’opération de collecte, de traitement ou de stockage de données vise un citoyen européen, elle est soumise aux dispositions du RGPD.

Quelles sont les sanctions prévues en cas de non-respect des dispositions du RGPD

En cas de non-conformité au RGPD, les entreprises s’exposent à quatre types de sanctions :

  • des sanctions administratives
  • des sanctions pénales
  • le versement de dommage et intérêt
  • et un déficit d’image

Les sanctions administratives

Des sanctions administratives peuvent etre infligées à la suite d’un contrôle effectué par la Commission nationale de l’informatique et des libertés (CNIL) et consisteront souvent en des mesures correctrices. La CNIL peut par ailleurs mettre en œuvre de façon graduelle des sanctions en fonction de la gravité de la violation ou de sa récidive.

Ces sanctions consistent d’abord en un avertissement ou une mise en demeure, puis une injonction de cesser la violation et peuvent aller jusqu’à une suspension temporaire des traitements.

Les sanctions pénales

Les sanctions pénales quant à elles sont appliquées en cas de détournement de la finalité de collecte lors du traitement des données personnelles. Elles peuvent aller jusqu’à cinq ans d’emprisonnement et une amende pouvant s’élever à 300 000 euros.

Le versement de dommage et intérêt

Si les personnes victimes de violation ou de traitement inapproprié de leurs données personnelles subissent des préjudices, ils peuvent réclamer le versement de dommages et intérêts en réparation des préjudices subis. Le montant des primes de dommages et intéret à verser n’est pas plafonné.

Le déficit d’image

Les entreprises qui n’ont pas respecté la réglementation RGPD ont l’obligation d’en informer leurs clients, et en particulier les personnes impactées par les traitements non conformes. En terme d’image cela a bien souvent des conséquences dramatiques, la perte des clients existants et rend également difficile l’acquisition de nouveaux clients.

De plus en plus d’entreprises font appel à des avocats spécialistes du RGPD

Vous l’avez compris les conséquences d’un mauvais traitement des données peuvent etre catastrophiques, mais elles peuvent aussi facilement etre évitées en se faisant accompagner par un avocat spécialisé sur ces problématiques.

Expert en protection des données personnelles, l’avocat RGPD possède des connaissances approfondies et pointues en ce qui concerne l’application des dispositions du RGPD et plus généralement des meilleures pratiques juridiques en terme de traitement des données personnelles. Ainsi, il est en mesure d’accompagner les entreprises de toutes tailles dans la mise en conformité de leur procédures pour etre parfaitement en conformité avec les normes européennes.

  • Guide Juridique du RGPD (3e édition) – La réglementation sur la protection des données personnelles
  • Manuel de survie du RGPD