RGPD : quelles sanctions ont été prononcées ?

Depuis quelques années, les gouvernements recherchent la bonne formule pour protéger les données personnelles et garantir la confidentialité sur internet. Afin de protéger au mieux la vie privée, un Règlement Général sur la Protection des Données a donc été adopté par les 28 pays membres de l’Union Européenne. Afin de connaître avec précision les entreprises qui ont déjà été sanctionnées et le montant des amendes, la start-up Data Legal Drive a élaboré une cartographie interactive recensant l’ensemble des entreprises qui ont été sanctionnées à travers le monde. Si parmi ces sanctions, Google et les 50 millions d’euros d’amende qui lui ont été imposés représentent une part plus qu’importante, on note que les sanctions concernent également d’autres types d’entreprises et que les montants ont tendance à augmenter de plus en plus.

Des sanctions à l’échelle mondiale

Grâce à la cartographie réalisée par cette start-up, il est possible de situer précisément les différentes sanctions répertoriées. Depuis 2017, ce sont 31 organismes qui ont été rattrapés par les autorités de contrôle. Plus précisément, les organismes concernés se situent dans 9 pays différents : Etats-Unis, France, Royaume-Uni, Allemagne, Autriche, Portugal, Espagne, Pays-Bas, Irlande. Voté à l’échelle européenne, le RGPD impose également ses règles au niveau mondial. En effet, à l’instar des entreprises et institutions publiques européennes, les organismes étrangers se doivent de respecter la protection des données collectées sur les citoyens européens. Une protection essentielle pour assurer la confidentialité lors de la navigation sur internet.

Les entreprises sanctionnées

Selon la gravité des faits, les sanctions appliquées sont très variables. Dans le cas où l’autorité de contrôle fait le choix d’une sanction financière, le montant peut être plus ou moins lourd selon le degré de gravité de la violation de la vie privée des personnes concernées. Dans certains cas, des avis de mise en demeure peuvent être émis. Parmi les différentes entreprises et institutions sanctionnées, on peut citer : Google, Facebook, Uber, Bouygues Telecom, Darty, Optical Center, Association 42, Direct Energie, Malakoff Mederic, Office HLM de Rennes, un hôpital espagnol…

Dans cette liste, la sanction la plus lourde revient évidemment à Google et les 50 millions d’euros d’amende que la CNIL lui a imposé le 21 janvier dernier. Dans une moindre mesure, Facebook et Uber cumulent plusieurs sanctions dans différents pays. Sur les 31 organismes recensés dans la cartographie, on note que le RGPD s’applique à l’ensemble des secteurs d’activité. L’objectif est donc plus large que la confidentialité sur internet. En effet, le RGPD a pour but de protéger l’ensemble des données et d’éviter les fuites d’informations personnelles.

Les sanctions en France

Sur les 31 organismes qui ont été sanctionnés, 16 l’ont été en France. Les sanctions émises se partagent entre 8 mises en demeure et 8 sanctions financières dont le total atteint la somme de 1,315 millions d’euros. Ces nombreuses sanctions sont-elles un signe que le contrôle est bien effectué ou bien que les entreprises françaises respectent moins le RGPD ? La question reste posée mais montre en tout cas que la Commission Nationale de l’Informatique et des Libertés (CNIL) réalise un contrôle important et n’hésite pas à émettre de lourdes sanctions envers les organismes ne respectant pas les règles du RGPD. En effet, la sanction record de 50 millions d’euros envers Google est à mettre au compte de la CNIL. Afin d’éviter les sanctions, il est donc nécessaire pour les différents organismes publics et entreprises de mettre en place les mesures de sécurité nécessaires et de réaliser un traitement des données en conformité avec le RGPD.

Les règles à respecter pour éviter les sanctions

En vigueur depuis le 25 mai 2018, le RGPD permet aujourd’hui d’encadrer le traitement des données et de garantir le respect de la confidentialité pour les individus. Les différentes sanctions émises depuis la mise en place de cette législation mettent en exergue les risques de sécurité et les différents traitements abusifs par certains organismes, qu’ils soient privés ou publics. Afin d’assurer le respect de la vie privée, plusieurs règles sont donc à suivre :

• Demande d’accord préalable pour la collecte et le traitement des données personnelles;
• Collecte des données uniquement pour un certain traitement défini en amont;
• Information en cas de fuites ou de piratages des données aux personnes concernées ainsi qu’à l’autorité de contrôle;
• Garantir le droit à la consultation et à la portabilité des données pour les utilisateurs;
• Documentation claire sur les mesures et outils en place pour le traitement et la sécurité des données personnelles.

Des risques importants pour les organismes sanctionnés

Lorsqu’une entreprise ou une institution publique est sanctionnée par l’autorité de contrôle du pays concerné, elle peut se retrouver dans une situation financière particulièrement difficile par la suite. En effet, le montant des sanctions appliquées va varier selon le degré de gravité de la faute. Si l’on s’intéresse aux différentes sanctions émises, on peut noter une tendance à l’augmentation du montant de celles-ci. Les autorités de contrôle sont donc de plus en plus vigilantes et sévères face au non-respect du RGPD.

En plus du risque financier, les effets d’une sanction sur l’image de l’entreprise ou l’institution concernée peuvent être très lourds. En effet, la sanction RGPD va entraîner une perte de confiance du public dans l’organisme pouvant remettre en cause l’activité de celui-ci. Afin d’éviter ces différents risques, il est donc particulièrement important pour les organismes concernés par cette nouvelle réglementation de mettre en place les mesures de sécurité nécessaires et de traiter les données collectées conformément avec les règles en vigueur.