La sanction RGPD : Les amendes liées aux violations du Règlement

L’article 83 du RGPD stipule que des sanctions effectives, proportionnées et dissuasives seront délivrées pour toute violation du RGPD.

Une sanction RGPD peut s’élever à 20 000 000 d’euros ou, dans le cas d’une entreprise, à 4% du chiffre d’affaires mondial total de l’exercice précédent (le montant le plus élevé étant retenu). Le montant des amendes sera variable selon la nature, la gravité et la durée de la violation et compte tenu de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes affectées et le niveau de dommage qu’elles ont subi. Le degré de responsabilité du responsable de traitement ou du sous-traitant est également pris en compte ainsi que les différentes mesures techniques et organisationnelles déjà mises en place pour assurer la conformité de la société.

Conditions générales pour imposer une amende administrative

Pour décider s’il y a lieu d’imposer une amende RGPD et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants:

  • la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi;
  • le fait que la violation a été commise délibérément ou par négligence;
  • toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;
  • le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32;
  • toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;
  • le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs;
  • les catégories de données à caractère personnel concernées par la violation;
  • la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;
  • lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;
  • l’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42; et
  • toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

La société Optical Center à justement été visée par une amende RGPD de 250 000€ pour une atteinte à la sécurité des données des clients du site internet www.optical-center.fr

Responsabilité du responsable ou du sous-traitant

Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de la sanction RGPD ne peut pas excéder le montant fixé pour la violation la plus grave.

Les degrés de violations et la sanction RGPD encourue

Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:

  • les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43;
  • les obligations incombant à l’organisme de certification en vertu des articles 42 et 43;
  • les obligations incombant à l’organisme chargé du suivi des codes de conduite en vertu de l’article 41, paragraphe 4.

Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes RGPD pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:

  • les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;
  • les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22
  • les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;
  • toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX;
  • le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, ou le fait de ne pas accorder l’accès prévu, en violation de l’article 58, paragraphe 1.

RGPD : quelles sanctions ont été prononcées ?

Depuis quelques années, les gouvernements recherchent la bonne formule pour protéger les données personnelles et garantir la confidentialité sur internet. Afin de protéger au mieux la vie privée, un Règlement Général sur la Protection des Données a donc été adopté par les 28 pays membres de l’Union Européenne. Afin de connaître avec précision les entreprises qui ont déjà été sanctionnées et le montant des amendes, la start-up Data Legal Drive a élaboré une cartographie interactive recensant l’ensemble des entreprises qui ont été sanctionnées à travers le monde. Lire la suite

RGPD et associations : comment éviter les sanctions ?

Entré en vigueur depuis maintenant près de neuf mois, le Règlement Général pour la Protection des Données (RGPD), qui s’applique à toutes les structures européennes ou bien traitant les données de citoyens européens, implique de répondre à certaines exigences concernant le traitement de données de ces derniers. Les associations n’y échappent pas et doivent également se mettre en conformité, si ce n’est pas déjà fait, avec ce cadre législatif européen. Lire la suite

RGPD : pourquoi la CNIL n’a-t-elle pas encore sanctionné en France ?

La Commission nationale de l’informatique et des libertés (CNIL) n’a encore sanctionné aucune entreprise pour non-respect du Règlement Général sur la Protection des Données (RGPD). Comment l’expliquer alors que le nombre de plaintes a augmenté depuis l’entrée en vigueur du RGPD ? Est-ce la confirmation que ce nouveau règlement risque de faire chou blanc ? Lire la suite

Sept mois après l’entrée en vigueur du RGPD, les plaintes à la hausse

Le 23 novembre dernier, la Commission nationale de l’informatique et des libertés (CNIL) en charge de l’application du RGPD en France, a dévoilé un grand bilan suite à l’entrée en vigueur du Règlement Général sur la Protection des Données. Officiellement appliqué depuis sept mois maintenant, le fameux RGPD a bel et bien, selon la CNIL, engendré une prise de conscience des Français quant à leurs données personnelles, l’utilisation qui en est faite et le besoin impératif de les protéger, au regard de leur vie privée. Lire la suite

RGPD : la CNIL inflige une amende record de 50 millions d’euros à Google

La CNIL, autorité en charge de faire respecter les principes du RGPD en France, vient d’infliger une amende record à Google, estimant que le géant américain du web ne fournit pas suffisamment d’informations aux internautes quant au traitement de leurs données personnelles. C’est la première fois que l’autorité impose une amende aussi importante à une entreprise, le record étant jusqu’ici détenu par une sanction prononcée à l’encontre de l’application VTC Uber, soit 400 000 euros.
Lire la suite

RGPD : les géants du Web visés par les premières plaintes en France et en Europe

Depuis l’entrée en vigueur du RGPD, en mai 2018, Facebook, WhatsApp, Instagram et Google sont les premières entreprises à faire l’objet de plaintes en Europe concernant le traitement des données personnelles qu’elles recueillent. D’autres suivront probablement, dans le sillage de l’avocat autrichien Max Schrems, fervent militant pour les libertés en ligne, qui avec son organisation dont il est le fondateur, Noyb.eu, a lancé les premières plaintes contre les géants du Web. L’avocat et son association attaquent directement Google, Instagram, WhatsApp et Facebook, accusés d’avoir « forcé leurs utilisateurs à accepter leurs nouvelles politiques de confidentialité ».

Lire la suite

RGPD : Comment éviter les sanctions de la CNIL ?

Pour éviter les sanctions appliquées par la Commission nationale de l’informatique et des libertés (CNIL), il convient d’être en accord avec les nouvelles normes introduites par le RGPD en matière de protection des données personnelles. L’enjeu est d’autant plus grand que le Règlement Général sur la Protection des Données prévoit de lourdes sanctions en cas de non-respect de ses dispositions.

Lire la suite

RGPD : quelles sont les sanctions en cas de non-respect ?

Suite à l’entrée en vigueur du RGPD, le Règlement général sur la protection des données, les entreprises ont été contraintes de se soumettre aux normes européennes concernant les données sensibles. Depuis le 25 mai 2018, ces données qui demeurent un véritable avantage stratégique sont en effet régies par un règlement européen, l’objectif étant de créer un seul et même droit valable dans toute l’Union européenne, et ce afin de mettre un terme au patchwork législatif et offrir un cadre juridique semblable à toutes les entreprises. Il convient tout de même de souligner que si le RGPD met au diapason certaines exigences auparavant nationales, comme la durée de conservation des données, d’autres points demeurent à l’appréciation de chaque État membre, par exemple les procédures de certification et les sanctions appliquées en cas de violation du règlement. Sur ce point, les amendes infligées en cas de non-respect du RGPD sont particulièrement dissuasives. Lire la suite

Nouveau Règlement européen : objectifs principaux et sanctions

Le RGPD entrera en application le 25 mai 2018. Paru au journal officiel de l’Union européenne, il est important dès maintenant de comprendre le règlement européen concernant la protection des données personnelles. Lire la suite