Quelles sont les sanctions en cas de non-respect du RGPD ?

30 mars 2018 par Pierre-Charles Juhel | Expert invité

Dès le 25 mai 2018, le règlement général sur la protection des données, plus connu sous son acronyme, RGPD (en anglais : General Data Protection Regulation, GDPR), texte de référence européen en matière de protection des données personnelles, entrera en application à La Réunion comme dans l'ensemble des 28 États membres de l'Union européenne. Dans cet article, nous listons les sanctions des entreprises en matière de RGPD en cas de non-respect de la législation.

1 - Des sanctions pécuniaires

sanctions-rgpd-sanction-pecuniere

 

Au-delà d’une sanction pouvant désormais aller jusqu’à 4 % du CA annuel mondial ou 20 millions d’Euros, le risque est également lié à la perte d’image et la mauvaise publicité.

Une étude de KPMG a dévoilé que plus de la moitié des consommateurs dans le monde ne concrétisent pas leur acte d’achat par crainte pour leurs données personnelles. Le baromètre de l’intrusion de Publicis ET0 a montré en 2016 que 60% des Français souhaitent gérer eux-mêmes l’accès des marques à leurs données personnelles et que 78% sont « dérangés » par le fait que leurs données soient collectées et stockées. 

En cela, le RGPD constitue une opportunité unique et répond aux attentes des consommateurs et personnes concernées, renforçant les droits des individus sur leurs propres données et plaçant les décideurs dans une position de gouvernance des données de bout en bout.

 

2 - Autres types de sanctions

sanction-rgpd-sanction

 

Les sanctions ne sont pas uniquement financières, et peuvent sérieusement mettre en péril l’activité d’une entreprise. 

La Cour de Justice de l’Union Européenne peut également intervenir selon le contexte :

  • Mettre en demeure l’entreprise
  • Réduire la capacité de traitement des données ou carrément Interrompre les flux de données
  • Obliger aux manquements des obligations pour le droit des personnes
  • Corriger, limiter ou supprimer des données.

Il est encore trop tôt, à l’heure actuelle de véritablement connaître les dispositifs qui seront mis en place pour réaliser les contrôles et appliquer les sanctions, surtout à La Réunion, à 11 000 km de Bruxelles. La gravité des peines et des sanctions peut tout de même servir de baromètre quand à l’ampleur des dispositions prises pour faire appliquer le règlement.

 

3 - Exemple de sanctions prononcées par la CNIL 

 

sanction-RGPD-exemples

Le cas "WEB EDITION" 

Web Edition est un éditeur de sites internet permettant d’effectuer des démarches administratives (www.passeport-express.org », « www.porter-plainte.fr », « www.formalite-acte-de-naissance.org » et « www.demande-non-gage.org »). Une fois qu’un formulaire de démarches en ligne était renseigné, une page récapitulative de la demande s’affichait.

La CNIL a constaté qu’en modifiant un numéro dans l’adresse URL de cette page, il était possible accéder aux pages d’autres utilisateurs des différents sites et notamment aux informations qu’elles contenaient, notamment les coordonnées de personnes et surtout les descriptifs des faits dans le cadre des dépôts de plainte.

Comme l’a souligné la CNIL, cette faille aurait pu être évitée par la mise en œuvre de mesures élémentaires de sécurité lors de la conception des sites internet concernés, chose qui aurait pu être évitée si WEB ÉDITION avait respecté les principes de “Privacy by design” issus du RGPD.

 

Le cas LINKY : 

Le 27 mars 2018, la CNIL a mis en demeure la société Direct Energie « en raison d’une absence de consentement à la collecte des données de consommation issues du compteur communicant Linky ». Consulter l'article sur le site web "Le Monde.fr"

 


A compter du 25 mai 2018, tout non-respect de la législation entraînera des sanctions, le but étant de toujours mieux protéger les consommateurs et leurs données sur Internet, et de réglementer ces flux de données. 

Si vous souhaitez recevoir davantage d'articles sur le sujet, n'hésitez pas à vous inscrire à notre blog.

Je m'abonne au blog pour recevoir les futurs articles

Pierre-Charles Juhel | Expert invité

Diplômé de l’Université de Saint-Quentin-en-Yvelines (Master 2 Professionnel Droit des NTIC, Mémoire sur l’administration électronique et les données à caractère personnel) et et de l’Université de Paris I Panthéon-Sorbonne (Master 2 Professionnel Droit de l’Administration Electronique, Mémoire sur le CIL), je suis juriste spécialisé en droit des nouvelles technologies et Juriste Vie Privée. J'interviens notamment dans le secteur public (collectivités) sur des problématiques relatives à la propriété intellectuelle, aux contrats informatiques et à la vie privée. Aujourd'hui président de My Data Solution à La Réunion, j'ai assumé pendant 8 ans les missions de responsable juridique, responsable de la conformité CNIL et Correspondant "Informatique et Libertés" d'ACTECIL, société spécialisé dans le conseil et l'audit en protection des données à caractère personnel. Je suis également membre de l'association Club DPO qui réunit les CIL actuels, futurs DPO, et responsable de la conformité CNIL de l'île de la Réunion.