Le Règlement Général sur la Protection des Données (RGPD) a renforcé considérablement le niveau de sanctions applicables en cas de manquement à ses dispositions. Amendes administratives record, mesures correctrices contraignantes, risques de poursuites pénales… Cet article fait le point sur ce régime de sanctions dissuasif visant à responsabiliser les entreprises.

Des amendes administratives sans précédent

Pour s’assurer du respect effectif du RGPD par les organismes traitant des données personnelles, le règlement européen a mis en place un régime de sanctions administratives particulièrement sévère. Selon l’article 83, les autorités de contrôle comme la CNIL en France sont désormais habilitées à prononcer des amendes administratives d’un montant potentiellement record :

Jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial pour les violations des obligations de conformité (analyses d’impact, désignation de délégué à la protection des données, etc.)
Jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial pour les violations des principes fondamentaux de traitement des données ou des atteintes aux libertés et droits des personnes.

Dans les deux cas, c’est le montant le plus élevé entre le montant forfaitaire et le pourcentage du chiffre d’affaires qui est retenu. Un niveau de sanction inédit qui doit permettre d’avoir un réel effet dissuasif, y compris pour les grandes entreprises.
À titre d’exemple, la société Optical Center s’est vue infliger une amende de 250 000€ par la CNIL pour une faille de sécurité sur son site web ayant permis l’accès illégal aux données des clients.

Critères d’appréciation de la gravité

Pour déterminer le niveau de l’amende administrative, les autorités de contrôle prennent en compte plusieurs critères comme :

La nature, la gravité et la durée de la violation
Son caractère intentionnel ou négligent
Les mesures prises pour atténuer les dommages subis
Le degré de responsabilité et les antécédents de l’organisme concerné
Les catégories de données personnelles concernées
La manière dont la violation a été portée à la connaissance de l’autorité
Le niveau de coopération pour remédier à la violation et atténuer ses effets négatifs
etc.

L’objectif est d’appliquer une sanction proportionnée, effective et réellement dissuasive en fonction des circonstances précises de chaque cas.

Autres mesures correctrices et sanctions

Au-delà des lourdes amendes, le RGPD permet également aux autorités de contrôle d’imposer d’autres mesures correctrices comme :

Des avertissements et rappels à l’ordre
L’injonction de se conformer aux demandes d’exercice des droits des personnes
La limitation ou l’interdiction temporaire ou définitive de traitement
L’ordre de satisfaire aux demandes d’accès aux données de la part des personnes concernées
etc.

De plus, les États membres peuvent prévoir des sanctions pénales en cas de violations graves, comme c’est le cas en France avec l’article 226-21 du Code pénal qui prévoit jusqu’à 5 ans d’emprisonnement et 300 000€ d’amende en cas de détournement de finalité dans le traitement des données.

Une responsabilisation accrue des entreprises

Ce régime de sanctions particulièrement musclé vise avant tout à responsabiliser les entreprises et les inciter à se mettre en conformité de manière proactive avec le RGPD. Il participe à l’instauration d’une véritable culture du respect de la vie privée.

Les organismes qui prendraient le risque de ne pas s’y conformer s’exposent non seulement à de lourdes sanctions financières, mais également à des mesures pouvant impacter durablement leur activité ainsi qu’à un important risque d’atteinte à leur réputation et à la confiance de leurs clients et partenaires.

Dans un autre article, nous abordons les bonnes pratiques et conseils pour se mettre en conformité avec le RGPD.