22 Fév Amende RGPD, quelles sont les sanctions ?
Le RGPD est le règlement qui encadre l’utilisation par les sociétés des données personnelles des citoyens européens. Il vise principalement à protéger ces derniers contre l’usage de leurs informations sensibles à des fins malveillantes. Ainsi, lorsqu’une entreprise ne respecte pas les dispositions de ce règlement, elle s’expose à des sanctions de la CNIL. Quelles peut être l’étendue de ces sanctions ? Qu’est-ce que cela implique pour la structure sanctionnée ? Y a-t-il des exemples notables d’entreprises punies pour avoir violé le RGPD ? Découvrez les réponses dans ce guide pratique.
Les sanctions administratives et les amendes du RGPD
L’article 83 du RGPD indique les conditions dans lesquelles des pénalités administratives peuvent être infligées aux entreprises reconnues coupables d’une violation du règlement. En substance, les facteurs que l’autorité de contrôle doit prendre en compte pour fixer le montant de l’amende sont :
- La gravité, la durée et la nature de l’infraction ;
- Le nombre de personnes concernées ;
- L’intention de l’entreprise (violation volontaire ou involontaire) ;
- Les mesures prises dans l’immédiat par la structure concernée pour pallier les dommages causés ;
- Le degré de coopération de la structure avec l’autorité de contrôle durant la procédure ;
- Le type de données personnelles concerné…
Après analyse de ces différents facteurs, l’autorité de régulation peut infliger à l’entreprise fautive l’un des deux niveaux de sanctions administratives prévues par la loi en cas de violation du RGPD. Dans les deux cas, c’est le montant le plus élevé qui est retenu.
Les sanctions administratives de premier niveau
Le premier niveau de sanction concerne les violations des dispositions relatives aux obligations qui incombent au responsable de traitement et au sous-traitant. Les obligations de l’organisme de certification et celles de l’organisme chargé du suivi des codes de conduite sont également concernées. Ces types de violations sont passibles d’amendes dont le montant peut s’élever à 10 millions d’euros. Si l’entité fautive est une entreprise, la sanction peut s’élever à 2 % de son chiffre d’affaires annuel mondial au titre de l’exercice comptable précédent.
Un exemple d’acte passible d’une sanction administrative de premier niveau est le traitement des données d’un enfant de moins de 16 ans par le responsable du traitement sans l’obtention au préalable d’une autorisation parentale (article 9 RGPD). Un autre geste répréhensible est l’absence d’analyse d’impact avant le démarrage du traitement des données personnelles des utilisateurs d’un service. Il est possible d’éviter ce genre d’erreur en réalisant de façon périodique un audit RGPD pour détecter très tôt les éventuelles défaillances de votre système de traitement des données.
Les sanctions administratives de second niveau
Le second niveau de sanctions administratives s’applique en cas de non-respect des règles relatives aux éléments suivants :
- Les droits des individus concernés ;
- Les principes de traitement des données sensibles ;
- Les transferts des données personnelles des citoyens européens vers un pays tiers ;
- Les obligations qui découlent du droit des États membres de l’Union européenne…
Ces types d’infractions sont passibles d’une amende pouvant s’élever à 20 millions d’euros. Dans le cas où c’est une entreprise qui a commis la faute, le montant de l’amende administrative peut atteindre 4 % de son chiffre d’affaires mondial de l’année précédente. Cette pénalité est également applicable en cas de violation d’une injonction émise par la CNIL, conformément à l’article 58 du RGPD.
Un exemple d’acte qui peut valoir à une entreprise une sanction administrative de second niveau est la perte des données à caractère personnel qu’elle a en sa possession à cause d’un manque de sécurité ou de prudence.
Les sanctions pénales
L’article 84 du RGPD stipule que chaque État membre est libre de fixer des sanctions pénales applicables en cas de violation d’une disposition du règlement. Ces punitions doivent concerner spécialement les violations qui ne font pas l’objet de sanctions administratives. En France, les sanctions pénales applicables en cas de non-respect des règles relatives à la protection des données personnelles sont prévues par les articles 226-16 à 226-24 du Code pénal.
Elles sont récapitulées dans le tableau ci-après.
Manquements | Sanctions | Article du Code pénal qui régit l’infraction |
Non-respect ou négligence des formalités préalables au traitement des données personnelles | Peine de prison (5 ans)
Amende (300 000 euros) |
Article 226-16 |
Manquement à l’obligation de sécurisation des données durant leur traitement | Peine de prison (5 ans)
Amende (300 000 euros) |
Articles 226-17 et 226-17-1 |
Détournement des données personnelles de leur finalité telle que prévue par les textes réglementaires ou législatifs | Peine de prison (5 ans)
Amende (300 000 euros) |
Article 226-21 |
Transfert illicite de données vers un pays tiers | Peine de prison (5 ans)
Amende (300 000 euros) |
Article 226-22-1 |
Violation des règles relatives au droit à l’information des personnes concernées | Amende (1500 euros par infraction) | Article R625-10 |
Refus de fournir à une personne physique des informations relatives à l’utilisation ses données personnelles (sur sa demande) | Amende (1500 euros par infraction) | Article R625-11 |
Sanctions RGPD : une question d’image et de réputation
Dans le cadre d’une procédure de sanction, la CNIL peut ordonner à la structure fautive d’informer les personnes dont les données sensibles ont été traitées ou conservées de manière illicite. L’autorité de contrôle peut également publier un communiqué officiel dans lequel seront fournis tous les détails relatifs au manquement observé et aux sanctions prises à l’encontre de l’entreprise. Ce communiqué sera ensuite relayé par la presse à toute la population.
Tout cela peut porter atteinte à la crédibilité de l’entreprise et à son image auprès de ses partenaires. C’est pour cette raison qu’il faut éviter à tout prix de violer le RGPD. Gardez votre registre RGPD à jour et assurez-vous que vos actions de traitement des données personnelles de vos clients sont en conformité avec les réglementations en vigueur. Pour cela, vous pouvez confier la protection de vos données à Privacy Praxis. Nos professionnels seront ravis de vous accompagner dans votre processus de mise en conformité.
Quelques exemples d’entreprises sanctionnées en France
L’un des exemples les plus notables en France est sans doute celui de Google, sanctionné par la CNIL le 21 janvier 2019 pour avoir violé le RGPD par sa politique de ciblage publicitaire sur Android. Le montant de l’amende a été estimé à 50 millions d’euros.
Le 26 novembre 2020, deux sociétés du groupe Carrefour (Carrefour France et Carrefour Banque) ont également été sanctionnées pour des manquements au RGPD (violation des articles 5, 12, 13, 15, 17 et 21). Le montant de leurs amendes était respectivement de 2 250 000 et 800 000 euros.
Que retenir du RGPD et des sanctions en cas d’infraction ?
En cas de non-respect des dispositions du RGPD, une entreprise peut écoper de sanctions administratives et pénales. Selon la gravité de l’infraction, le montant de l’amende qui lui sera infligée par la CNIL peut atteindre 20 millions d’euros, voire plus. Une peine d’emprisonnement peut également être prononcée. Pour éviter ces sanctions qui peuvent dégrader votre réputation, pensez à maintenir votre registre RGPD et n’hésitez pas à faire appel à notre expertise.