RGPD et sanctions : quels risques les entreprises encourent-elles en cas de non-conformité avec ce règlement européen ? Depuis son entrée en vigueur en mai 2018 en effet, le respect des dispositions qu’il contient est obligatoire, au risque de se voir imposer des sanctions d’ordre administratif et pénal. 

L’obligation de conformité au RGPD

Rappel des règles à respecter en entreprise

Tout organisme ou entreprise manipulant des données à caractère personnel se doit de respecter les obligations exigées par le Règlement général sur la protection des données (RGPD). 

Ainsi, tant pour la création d’une compagnie que pour les structures existantes, quel que soit leur statut juridique (SARL, SAS, SASU, auto-entrepreneuriat, etc.), le règlement européen s’applique. 

Plus concrètement, depuis son entrée en vigueur le 25 mai 2018, les entreprises doivent :

  • Faire une demande préalable du consentement des personnes quant au traitement de leurs données.
  • Rester transparentes s’agissant dudit traitement.
  • Assurer la sécurité des informations personnelles collectées et analyser, en amont, les potentiels dangers liés au traitement de ces informations.
  • Ne pas enfreindre le droit des personnes.
  • Tenir un registre des activités de traitement, sauf dérogation pour les compagnies de moins de 250 salariés.
  • Nommer un délégué à la protection des données (DPD ou DPO) pour les organismes publics (facultatif pour les sociétés privées).

RGPD et sanctions : une graduation 

Le non-respect de l’une des obligations précitées peut engager la responsabilité de la personne en charge du traitement des données personnelles et entraîner de lourdes sanctions pour la société en faute. La situation est la même en cas de négligence ou d’imprudence.

Ces sanctions sont graduées, c’est-à-dire que leur niveau d’intensité augmente dans le cas où la compagnie, même rappelée à l’ordre par la CNIL (l’autorité de contrôle en charge), ne se conforme pas au RGPD. Plus concrètement, il existe quatre étapes : 

  1. Une mise en demeure lors de laquelle l’obligation de se plier au règlement européen est rappelée.
  2. L’injonction de cesser immédiatement la violation du RGPD.
  3. Une suspension temporaire (ou une limitation) de la manipulation des données par l’entreprise en faute.
  4. Des sanctions administratives imposées directement par la CNIL. 

Attention cependant, bien que ces sanctions soient destinées à un ultime recours et malgré leur caractère dissuasif, elles restent lourdes de conséquences. De plus, un autre type de sanction, de nature pénale cette fois, peut-être infligé par les États membres de l’UE. 

RGPD et sanctions administratives : quelles sont-elles ?

Dans le texte du RGPD, l’article 83 dresse la liste des différentes situations dans lesquelles la CNIL peut infliger une sanction d’ordre administratif à une entreprise contrevenante. Selon les facteurs retenus par l’autorité de contrôle, le montant de l’amende varie proportionnellement à l’infraction commise. Celui-ci est notamment établi de façon à être dissuasif et effectif. 

Le RGPD prévoit plus précisément deux niveaux de sanctions. 

Le premier échelon, moins sévère, correspond à des constats de dysfonctionnements liés au RGPD. En ce sens, il s’agit essentiellement de manquement aux obligations requises par le règlement, c’est-à-dire celles incombant à :

  • la personne en charge du traitement et le sous-traitant ;
  • l’organisme de certification ;
  • l’organisme chargé de suivre les codes de conduites. 

À ce niveau d’infraction donc, le montant de l’amende est de 2% du chiffre d’affaires (CA) mondial pour les compagnies, ou 10 millions d’euros

La CNIL peut également constater des infractions plus graves. Celles-ci sont liées à la mauvaise application du RGPD ou à son non-respect. Plus précisément, elles concernent :

  • La demande préalable de consentement avant la collecte et le traitement des données à caractère personnel.
  • Les autres droits des personnes qui sont concernées.
  • Les obligations issues du droit des États membres.
  • Le transfert des informations à des pays tiers.
  • Le non-respect d’un précédent rappel à l’ordre de l’autorité de contrôle.

Ici, l’amende correspondra à 4% du CA mondial ou 20 millions d’euros

On peut citer en exemple Bouygues Telecom qui, le 27 décembre 2018, recevait, suite à un contrôle de la CNIL, une amende de 250 000 € pour défaut à la sécurisation des données.

RGPD et autres sanctions : quelles sont-elles ?

Au-delà des sanctions administratives, des sanctions pénales peuvent s’appliquer dans le cadre de violations du RGPD. C’est plus particulièrement l’article 84 du règlement qui le stipule. Il s’agit notamment de punir des infractions qui ne sont pas réprimandées par des sanctions administratives (article 83). 

En France, c’est le Code pénal qui les prévoit et, plus spécifiquement, les articles 226-16 à 226-24, soit la section intitulée « Des atteintes aux droits de la personne résultat des fichiers ou des traitements informatiques ». 

En effet, le non-respect de l’une des dispositions du RGPD pouvant porter atteinte aux droits des personnes peut entraîner jusqu’à 5 ans de prison et 300 000 € d’amende

Par ailleurs, les victimes sont en droit de porter plainte contre l’entreprise contrevenante dès lors qu’elles éprouvent des dommages matériels et moraux. Lésés par un traitement non conforme de leurs données, elles peuvent ainsi recevoir des dommages et intérêts suite à un recours en justice. Ces peines s’ajouteront alors aux sanctions administratives et pénales.

Enfin, il faut savoir que tout organisme ou entreprise non conforme au RGPD peut voir sa réputation ternie par sa faute, et perdre des clients face à des concurrents en règle, par exemple.