La sanction RGPD : Les amendes liées aux violations du Règlement

La sanction RGPD : Les amendes liées aux violations du Règlement

L’article 83 du RGPD stipule que des sanctions effectives, proportionnées et dissuasives seront délivrées pour toute violation du RGPD.

Une sanction RGPD peut s’élever à 20 000 000 d’euros ou, dans le cas d’une entreprise, à 4% du chiffre d’affaires mondial total de l’exercice précédent (le montant le plus élevé étant retenu). Le montant des amendes sera variable selon la nature, la gravité et la durée de la violation et compte tenu de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes affectées et le niveau de dommage qu’elles ont subi. Le degré de responsabilité du responsable de traitement ou du sous-traitant est également pris en compte ainsi que les différentes mesures techniques et organisationnelles déjà mises en place pour assurer la conformité de la société.

Conditions générales pour imposer une amende administrative

Pour décider s’il y a lieu d’imposer une amende RGPD et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants:

  • la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi;
  • le fait que la violation a été commise délibérément ou par négligence;
  • toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;
  • le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32;
  • toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;
  • le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs;
  • les catégories de données à caractère personnel concernées par la violation;
  • la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;
  • lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;
  • l’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42; et
  • toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

La société Optical Center à justement été visée par une amende RGPD de 250 000€ pour une atteinte à la sécurité des données des clients du site internet www.optical-center.fr

Responsabilité du responsable ou du sous-traitant

Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de la sanction RGPD ne peut pas excéder le montant fixé pour la violation la plus grave.

Les degrés de violations et la sanction RGPD encourue

Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:

  • les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43;
  • les obligations incombant à l’organisme de certification en vertu des articles 42 et 43;
  • les obligations incombant à l’organisme chargé du suivi des codes de conduite en vertu de l’article 41, paragraphe 4.

Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes RGPD pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:

  • les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;
  • les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22
  • les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;
  • toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX;
  • le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, ou le fait de ne pas accorder l’accès prévu, en violation de l’article 58, paragraphe 1.
4 réponses

Trackbacks (rétroliens) & Pingbacks

  1. […] implique de se préparer aux nouvelles obligations du RGPD sous peine d’être pénalisé par des sanctions financières. Pour cela, des outils et solutions existent tels que les services de Données […]

  2. […] à une réglementation plus stricte et un risque de sanction sévère, l’utilisation de telles solutions est un excellent moyen de s’adapter aux nouvelles règles […]

  3. […] de prononcer des sanctions qui se doivent d’être dissuasives pour les entreprises fraudeuses, mais également […]

  4. […] de telles sanctions auraient des conséquences désastreuses sur la réputation de l’entreprise qui risquerait de […]

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *