RGPD : quelles sont les sanctions en cas de non-respect ?

Suite à l’entrée en vigueur du RGPD, le Règlement général sur la protection des données, les entreprises ont été contraintes de se soumettre aux normes européennes concernant les données sensibles. Depuis le 25 mai 2018, ces données qui demeurent un véritable avantage stratégique sont en effet régies par un règlement européen, l’objectif étant de créer un seul et même droit valable dans toute l’Union européenne, et ce afin de mettre un terme au patchwork législatif et offrir un cadre juridique semblable à toutes les entreprises. Il convient tout de même de souligner que si le RGPD met au diapason certaines exigences auparavant nationales, comme la durée de conservation des données, d’autres points demeurent à l’appréciation de chaque État membre, par exemple les procédures de certification et les sanctions appliquées en cas de violation du règlement. Sur ce point, les amendes infligées en cas de non-respect du RGPD sont particulièrement dissuasives.

Les sanctions financières appliquées par la CNIL

Des amendes aux montants considérables

Avant l’entrée en vigueur du RGPD, la CNIL, l’autorité française de protection des données, pouvait infliger aux entreprises qui n’étaient pas en conformité avec les recommandations légales concernant la gestion des données sensibles, des amendes pouvant aller jusqu’à 150.000 euros. Depuis le 25 mai 2018, les montants qui sont susceptibles d’être atteints en cas de violation du Règlement général sur la protection des données sont considérables. En effet, la CNIL, en charge de veiller à ce que ces amendes soient dissuasives, mais également proportionnées, peut infliger des sanctions pouvant atteindre 20 millions d’euros pour les infractions les plus graves ou bien 4% du chiffre d’affaires annuel mondial total portant sur l’exercice précédent. L’article 83.5 du RGPD prévoyant que le montant le plus élevé des deux soit retenu.

Des sanctions déterminées par des critères stricts

Afin de prononcer des sanctions qui se doivent d’être dissuasives pour les entreprises fraudeuses, mais également effectives et proportionnées, la CNIL, autorité de contrôle en charge de l’estimation et de l’application des sanctions en France, tient compte pour chaque société d’un ensemble de critères stricts, tels que :

• Le nombre de personnes affectées par la violation ;
• La nature, la gravité et la durée de l’infraction ;
• Les données concernées par l’infraction ;
• Le fait de savoir si la violation du RGPD a été commise par négligence ou bien de manière délibérée ;
• Les mesures entreprises pour atténuer les conséquences de la violation ;
• La manière dont la CNIL a eu connaissance de ladite violation (notification de l’entreprise elle-même ou bien plainte d’une victime), etc.

À ce faisceau d’indices conduisant à l’estimation de la gravité de la violation et donc du montant de la sanction appliquée, sont susceptibles de s’ajouter d’autres amendes, laissées au libre jugement de chaque État membre comme le prévoit l’article 84 du RGPD.

Des entreprises françaises déjà sanctionnées par la CNIL

Optical Center lourdement sanctionné pour non-respect du RGPD

Malgré l’annonce, et ce bien avant l’entrée en vigueur du RGPD, d’importantes amendes encourues en cas de non-respect du Règlement général sur la protection des données, certaines entreprises qui ne se sont pas mises en conformité avec ce nouveau règlement ont d’ores et déjà été sanctionnées. C’est notamment le cas de Optical Center, déjà condamnée auparavant par l’autorité française de protection des données (la CNIL).

La chaîne d’opticiens a donc fait office d’exemple en étant lourdement sanctionnée par la CNIL, quelques jours seulement après la mise en place du RGPD. La commission française de protection des données a en effet infligé une amende record à l’entreprise, d’un montant de 250.000 euros.

Pour comprendre ce dossier et la sanction retenue, il faut remonter à 2017, lorsque la CNIL est alertée d’une possible fuite de données personnelles. L’instance constate alors qu’un internaute qui surfe sur le site de Optical Center peut tout à fait, en exploitant une faille de sécurité, accéder à des centaines de factures d’autres clients, telles que des numéros de sécurité sociale ou bien des ordonnances de corrections ophtalmologiques. Des données particulièrement sensibles, équivalant à près de trois millions de documents accessibles en téléchargement libre, et ce sans aucune protection effective des données. D’ailleurs, pour appliquer cette amende record, la CNIL s’est basée sur le fait que Optical Center n’avait pas intégré dans son site internet de processus permettant de s’assurer que le client est bien connecté à son espace personnel, avant de lui fournir l’accès à ses factures.

En outre, Optical Center avait déjà fait l’objet d’une sanction de la CNIL, motivée à l’époque par une première faille de sécurité. Sans doute cette condamnation antérieure a-t-elle pesé lourd quant au choix de la sanction dernièrement appliquée.

Faire appel à un DPO expert afin d’éviter les sanctions de la CNIL

Par ailleurs, depuis l’entrée en vigueur du RGPD, les pouvoirs accordés à l’autorité française de protection des données ont augmenté de manière significative ; d’où l’urgence pour les entreprises qui n’auraient pas contrôlé la conformité de leurs sites web avec la nouvelle réglementation, de le faire au plus vite et si besoin de prendre les mesures nécessaires. Pour ce faire, la CNIL a rendu obligatoire la nomination d’un DPO (Data Protection Officer), qui a pour rôle de s’assurer que son employeur, ou client, respecte bien la législation du RGPD dès lors qu’il utilise des données à des fins commerciales, mais également à des fins internes. Faire appel à un DPO expert vous permettra de monter en compétence sur le sujet, tout en permettant à votre entreprise de se mettre en conformité avec le RGPD.