Le non-respect des obligations du RGPD : un risque élevé de sanctions
Le Règlement général pour la protection des données (RGPD) est entré en vigueur le 25 mai 2018.
Ce règlement a pour but d’harmoniser la protection des données personnelles entre les États membres de l'Union européenne et de renforcer les droits des personnes concernées.
Le RGPD a, cependant, renforcé les sanctions en cas de défaut de conformité au texte.
Ainsi, toutes les entreprises traitant des données doivent connaitre et être attentives aux sanctions applicables en cas de non-conformité avec les dispositions du RGPD.
Deux obligations principales pèsent donc sur les responsables de collecte et traitement des données :
- une obligation d'information à l'article 13 et 14 du RGPD : cette obligation n'est pas nouvelle : elle existait déjà dans la loi informatique et Liberté, notamment avec l'obligation de transparence, mais elle a été largement renforcée.
Le RGPD prévoit dorénavant douze informations qui doivent être données aux personnes concernées ( six informations d'ordre général et 6 informations spéciales qui sont nécessaires et cumulatives ).
- une obligation de sécurité qui implique que le responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles pour garantir un niveau de sécurité adapté pour l'intégrité des données.
La Commission nationale de l'informatique et des libertés (CNIL) créée par la loi du 06 janvier 1978 est l'autorité en charge du respect des obligations prévues par le RGPD en France.
Sa mission principale est d'établir et de publier des lignes directrices, des recommandations ou des référentiels qui permettent de faciliter la mise en conformité des traitements de données personnelles.
La loi du 20 juin 2018 qui a adapté la loi informatique et Libertés au RGPD a étendu les pouvoirs de la CNIL.
En effet, la CNIL a désormais un pouvoir d'investigation : elle peut contrôler soit de manière spontanée une entreprise dans le cadre de son pouvoir d'enquête et d'investigation, soit à la suite d'un dépôt de plainte.
Dans le cadre de ce contrôle, la CNIL peut obtenir du responsable de traitement toutes les informations qui pourraient être utiles à l'accomplissement de sa fonction.
Elle peut aussi demander à son responsable d'organiser un audit. Elle doit pouvoir accéder aux locaux de la société et aux moyens utilisés pour traiter les données personnelles.
Les sociétés qui refusent les demandes de la CNIL commettent un délit d'entrave puni d'un an d'emprisonnement et de 15 000 euros d'amende comme en dispose l'article 226-22-2 du Code pénal.
Depuis l'entrée en vigueur du RGPD, les plaintes se sont multipliées et atteignent 12 000 plaintes par an.
Elles sont le plus souvent déposées par des syndicats, des associations, des actions de groupe (RGPD) ou de lanceurs d'alerte.
La plainte peut être déposée via le téléservice de la CNIL, par voie postale ou par porteur.
Quand la CNIL relève des manquements au RGPD, elle a plusieurs possibilités d'actions :
- Dans le cas d'un simple manquement : un rappel à l’ordre est de mise. Elle attire l'attention du responsable de traitement pour qu’il corrige et rajoute les informations qui font défaut ou pour qu'il retire les mentions problématiques ;
- Elle peut, également, prononcer une injonction de mise en conformité sous astreinte ;
- Elle peut aussi suspendre les flux de données, c'est le cas quand l’entreprise contrôlée travaille avec un organisme situé dans un pays tiers.
Les décisions de la CNIL sont susceptibles de recours.
Au reste, les nouvelles sanctions prévues par le RGPD sont très dissuasives.
L'article 83 du RGPD prévoit en effet :
- Soit une amende qui va jusqu’à 2% du CA jusqu'à 10 millions d’euros : elle est surtout prononcée quand il y a des manquements concernant le consentement des mineurs concernant le traitement de leurs données.
- Soit une amende de 4% du CA qui peut aller jusqu’à 20 millions d’euros quand il n’y a pas de base légale aux traitements des données personnelles (traitement illicite).
En outre, des sanctions civiles sont également prévues, dans une logique de réparation du préjudice subi par les détenteurs des données.
Il existe également des sanctions pénales et notamment :
- En cas de défaut d'information des personnes concernées, la société s'expose alors à une amende de 1500 euros pour chaque infraction, en vertu de l'article R625-10 du Code pénal
- En cas d'absence de réponses aux demandes des personnes concernées par le traitement de données, et plus généralement en cas de refus de procéder aux opérations demandées par les personnes concernées voulant user de leurs droits.
Par exemple une personne qui souhaite user de son droit de retrait de consentement et qui se retrouve sans réponses de la part du responsable de traitement. La société risque alors une amende de 1500 euros conformément aux dispositions de l'article R625-11 et R625-12 du Code pénal.
- Enfin, en cas de collecte des données à caractère personnel par un moyen frauduleux, déloyal ou illicite, par exemple quand la société utilise les données collectées dans un autre but que celui qu'elle a présenté aux personnes concernées. L'article 226-18 du Code pénal dispose que ces faits sont punis de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Ainsi, il est essentiel pour les entreprises de prévoir des audits visant à s'assurer de leur conformité aux obligations du droit des données personnelles et ceci afin d’éviter d'un côté les sanctions de la CNIL et d'un autre de voir leur réputation entachée à cause d'une mauvaise gestion de leur traitement de données à caractère personnel.
N’hésitez pas à contacter le Cabinet de Maître Melissa HAS, avocate dans le Val D'Oise pour vous accompagner tout au long de la procédure de mise en conformité du RGPD.