Quelles sont les sanctions en cas de non-respect du RGPD ?

Le RGPD prévoit diverses sanctions pour pénaliser les entreprises non conformes.

Le Règlement Général sur la Protection des Données est entré en vigueur en mai 2018. Ce dernier s’applique au traitement de données réalisé par des entreprises situées dans l’Union, mais aussi au traitement de données personnelles réalisé par des entreprises situées en dehors de l’UE qui y offrent des biens et/ou des services. Il prévoit non seulement la réglementation qui régit la protection des données, mais aussi les amendes et sanctions auxquelles seront soumises les entreprises non conformes. Les sanctions prévues en cas de non-respect du RGPD sont diverses et peuvent avoir des retombées conséquentes pour les entreprises.

Instances de régulation : les autorités de protection des données

Les autorités de protection des données (APD) sont des institutions publiques indépendantes chargées de veiller au bon respect et à l’application conforme du RGPD.

L’autorité de contrôle du pays d’établissement de votre entreprise est généralement le point de contact principal pour obtenir des informations concernant le RGPD. Si vous n’avez pas d’établissement dans l’Union, le mécanisme du « one-stop-shop » ne s’applique pas : votre entreprise ne relève pas d’une autorité principale mais de toutes les autorités des pays où se trouvent les individus dont vous traitez les données. Certains états ont une autorité nationale ; d’autres, comme l’Allemagne, ont plusieurs autorités selon les différentes régions. La Commission européenne a créé une liste des APD des différents pays de l’UE.

Les autorités de contrôle, comme la Commission nationale de l’informatique et des libertés (CNIL) en France, ont plusieurs fonctions, parmi lesquelles:

• Fournir des conseils d’experts sur les questions liées à la protection des données.
• Traiter les réclamations introduites relatives à des violations du règlement général sur la protection des données et des législations nationales en la matière.

Pour ce faire, elles sont habilitées à contrôler les entités soumises au RGPD et imposer des sanctions aux entités non-conformes.

Quelles sont les amendes et sanctions prévues par le RGPD ?

Les obligations imposées par le RGPD

Les entités et organismes soumis au RGPD doivent remplir un certain nombre d’obligations, notamment :

• Garantir une sécurité optimale des données personnelles.
• Fonder les différents traitements des données à caractère personnel sur l’une des six bases légales prévues par le RGPD.
• Être transparents dans le traitement des données. Il s’agit d’une obligation d’information et de conseil des personnes concernées.
• Respecter les droits des personnes concernées lors du traitement des données.
• Tenir un registre des traitements de données, sauf rares exceptions.
• Nommer un délégué à la protection des données (DPD), si obligatoire.
• Effectuer des analyses d’impact préalable avant de traiter des données personnelles. Cela permet d’anticiper et donc de gérer par avance les risques éventuels lors du traitement (comme par exemple une fuite de données à caractère personnel).
• Désigner un représentant dans l’UE si l’entreprise est située en dehors de l’UE et offre des produits ou services à des personnes situées dans l’Union.

La non-conformité avec un ou plusieurs des éléments mentionnés ci-dessus peut mener à diverses sanctions.

Amendes et sanctions

Les entités non-conformes au RGPD peuvent faire face à différents types de sanctions. Ces sanctions pourront varier en intensité en fonction du type et de la gravité de l’infraction. Si la majorité de ces dernières sont des amendes de montants divers, des infractions plus graves peuvent mener à des sanctions pénales.

Les amendes administratives

L’article 83 du RGPD prévoit les conditions générales pour appliquer des amendes administratives à une entité en situation de non-conformité au RGPD. Tous ces paramètres doivent être appliqués de manière à ce que le montant des amendes soit effectif, proportionné et dissuasif.

Il existe à l’heure actuelle deux niveaux de sanctions administratives en fonction du niveau de l’infraction.

Pour les « petites » infractions, 2% du chiffre d’affaires mondial pour les entreprises ou 10 millions d’euros d’amende. Ce niveau d’amende s’applique le plus souvent pour les manquements aux obligations suivantes :

• Les obligations incombant au responsable du traitement et au sous-traitant,
• Les obligations incombant à l’organisme de certification,
• Les obligations incombant à l’organisme chargé du suivi des codes de conduite.

Pour les infractions sérieuses, s’appliqueront des amendes d’un montant de 4% du chiffre d’affaires mondial s’il s’agit d’une entreprise ou 20 millions d’euros d’amende. Ce niveau d’amende s’applique le plus souvent pour les manquements aux obligations suivantes :

• L’obligation de consentement de la personne concernée avant collecte, traitement ou stockage des données personnelles,
• Les autres droits des personnes concernées,
• Les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale,
• Toutes les obligations découlant du droit des États membres,
• Le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par une autorité de contrôle.

Les sanctions pénales

Comme prévu par l’article 84 du RGPD, les États membres de l’Union européenne peuvent mettre en place leur propre système de sanction pour non-respect du Règlement. Celui vient en complément des sanctions déjà implémentées par le RGPD. En particulier, cela permet de sanctionner les infractions non soumises aux conditions prévues par l’article 83 du RGPD.

Par exemple, en France, le Code pénal (articles 226-16 à 226-24) prévoit des sanctions en cas « d’atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques ». Les peines encourues peuvent alors aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.

Exemples de sanctions

Il existe de nombreux exemples de sanctions dispensées par les autorités de protections des données :

1. En juillet 2020, l’Autorité de Protection des Données en Belgique a imposé à Google Belgium une amende de 600 000 euros pour non-respect du droit à l’oubli.
2. En octobre 2020, l’autorité de protection des données britannique (ICO) a condamné la compagnie aérienne British Airways à payer une amende 20 millions de livres sterling car les données d’environ 430 000 personnes, dont les noms, prénoms, adresses et, pour plus de 200 000 d’entre elles, leurs données bancaires (numéros de CB et codes CVV) avaient été rendues accessibles.
3. En décembre 2020, la CNIL (autorité de protection des données française) a condamné Amazon Europe Core à payer une amende de 35 millions d’euros pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs à partir du site d’Amazon France sans consentement préalable et sans information satisfaisante.
4. Le 12 mai 2021, l’autorité néerlandaise a annoncé qu’elle avait infligé une amende de 525 000 euros à une entreprise canadienne pour non-respect de l’obligation de désigner un représentant dans l’UE pour les entreprises n’y ayant pas d’établissement.

Il est cependant à noter que si les amendes plus importantes se remarquent, il ne faudrait pas croire que seules les grandes entreprises sont touchées. Les autorités de protection des données sévissent quotidiennement et la plus grande partie des sociétés touchées sont des petites et moyennes entreprises. Les amendes (lien en anglais) d’un montant moins important sont en réalité bien plus nombreuses.

Pouvoirs étendus des Autorités de Protection des Données

Au-delà des sanctions et amendes, les autorités de protection des données disposent de divers moyens d’intervention auprès des entreprises non-conformes à la réglementation.

Notamment, elles sont habilitées à mener des enquêtes, qu’elles portent sur des entreprises suspectées d’être non conformes, ou sur des sociétés signalées par des parties tierces.

De plus, il existe une procédure de coopération entre les APD européennes dans le cas de traitements transnationaux. Cela implique que les APD détiennent une certaine marge de manœuvre, même lorsqu’une partie des traitements concernés s’opèrent hors de leur pays.

Les APD peuvent aussi imposer des sanctions concrètes pouvant affecter les entreprises drastiquement, telles que :

• bloquer les sites non-conformes,
• retirer un agrément ou une certification,
• prononcer des astreintes,
• rendre publiques des condamnations.

Réparation des parties lésées et perte de réputation

Versement de dommages et intérêts aux victimes de la non-conformité

En vertu de l’article 84 du RGPD, les États-membres de l’UE sont libres de décider de sanctions complémentaires qui visent, en particulier, les violations non-soumises à des amendes administratives. Chaque État membre aura donc prévu ses propres sanctions en la matière. Très souvent, les parties lésées sont considérées comme victimes des actions des entreprises non-conformes par les juridictions européennes. Elles sont donc en droit de porter plainte contre les entités fautives et de réclamer un dédommagement, sous forme de dommages et intérêts. Le montant des dédommagements sera alors décidé par les États membres. En particulier, l’article 79 du RGPD implémente le droit des personnes concernées à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant. Autrement dit, les victimes d’un traitement non conformes de leurs données personnelles peuvent attaquer en justice le responsable du mauvais traitement des données personnelles.

Perte de réputation des entités non-conformes

Au-delà des sanctions pécuniaires et pénales, les condamnations pour manquement au RGPD peuvent aussi avoir un impact négatif important sur la réputation des entreprises. En effet, le non-respect des normes RGPD peut faire perdre aux entreprises la confiance des clients. Cela peut mener, dans certains cas, à des terminaisons de contrats et pousser des clients potentiels à se tourner vers la concurrence.

De plus, les autorités de protection des données peuvent rendre publiques les condamnations. Par exemple, la CNIL en France peut publier des communiqués officiels contenant le nom des entreprises sanctionnées, le détail des manquements et les sanctions imposées. Bien entendu, cela peut avoir des répercussions médiatiques et sur les réseaux sociaux, ce qui porte effectivement préjudice aux entreprises touchées.

En conclusion, il est intéressant de souligner que le RGPD a un champ d’application très large. Il est donc essentiel que toutes les entreprises concernées – dans ou en dehors de l’UE – se mettent en conformité. Les autorités prennent les sanctions très au sérieux et agissent toujours plus. Les décisions se multiplient afin de sanctionner les manquements. 

ASD Group peut vous mettre en relation avec ses partenaires privilégiés pour aider à votre mise en conformité aux obligations imposées par le Règlement. Vous avez des questions ? Contactez-nous.