Sanction RGPD / amende RGPD

Sanction RGPD / amende RGPD

Depuis le 25 avril 2018

date d’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), l’ensemble des entités (entreprises ou administrations ont l’obligation de se mettre en conformité avec le nouveau règlement européen. Notre cabinet vous accompagne durant toutes les étapes de mise en conformité de votre organisme pour éviter toute sanction de la CNIL.

I. Mise en conformité RGPD et nos Prestations

Le Règlement général à la protection des données à caractère personnel du 27 avril 2016 entré en vigueur le 25 mai 2018 (dit RGPD) harmonise au niveau européen les législations nationales des États membres de l’Union européenne relatives au droit des données à caractère personnel.

Le RGPD impose un ensemble d’obligations aux organismes mettant en œuvre un traitement de données à caractère personnel qu’il définit comme « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ».

En cas de violation des obligations prévues par cette nouvelle règlementation, l’autorité de contrôle française, peut prononcer des sanctions pécuniaires. Le montant de cette amende RGPD a été particulièrement renforcé avec l’entrée en vigueur du Règlement.

Notre cabinet vous accompagne tout au long du processus de mise en conformité de votre entreprise pour assurer le respect de la règlementation relative au droit des données à caractère personnel de votre organisme et éviter toute sanction de la CNIL.

Nous vous accompagnons également au cours de la procédure de sanction devant la CNIL pour protéger au mieux vos intérêts ou, lorsque la décision de la CNIL a déjà été rendue, lors du recours devant le Conseil d’Etat.

II. Sanction RGPD

En cas de manquement au Règlement général à la protection des données, la Commission Informatique et Libertés (CNIL) a le pouvoir de prononcer des amendes administratives.

Ces amendes RGPD ont pour objectif d’être dissuasives et peuvent être remplacées ou prononcées en complément des mesures suivantes :

  • Un avertissement visant à informer l’organisme que le traitement de données à caractère personnel qu’il effectue viole le RGPD
  • Un rappel à l’ordre
  • Une injonction de mettre en conformité le traitement de données à caractère personnel, éventuellement assorti d’une astreinte, d’un montant maximal de 100 000 euros par jour de retard
  • La limitation, le retrait ou l’interdiction d’un traitement de données
  • Le retrait d’une certification délivrée en matière de protection des données à caractère personnel ou le refus de délivrer une telle certification
  • La suspension des flux transfrontaliers de données à caractère personnel vers un pays situé hors de l’Union européenne

III. RGPD Amende

La CNIL prend en compte différents critères pour déterminer le montant de l’amende RGPD qu’elle décide de prononcer.

En cas de manquement au RGPD, l’autorité de contrôle prendra notamment en compte pour prononcer une sanction RGPD :

  • La gravité de la violation, sa nature et sa durée.
  • Les dommages subis et le nombre de personnes concernées
  • Le caractère délibéré ou non de la violation
  • Les mesures réparatrices ou correctrices prises à la suite du dommage
  • La mise en œuvre préalable de mesures permettant d’anticiper toute violation
  • La coopération de l’organisme avec la CNIL permettant de résoudre et d’atténuer les dommages résultant de la violation
  • La nature des données à caractère personnel concernées
  • La réactivité de l’organisme et sa notification à la CNIL dans les 72 heures suivant la violation

Encourent une amende rgpd d’un montant maximal de 10 000 000 d’euros ou jusqu’à 2% du chiffre d’affaires annuel mondial de l’entreprise :

a.Un organisme responsable de traitement ou sous-traitant qui ne respecterait pas ses obligations, notamment :

  • Lorsqu’un organisme ne respecte pas les dispositions relatives au consentement des enfants. Le RGPD prévoit, en effet, la possibilité pour un organisme de mettre en œuvre un traitement de données à caractère personnel relatif à un enfant si celui-ci est âgé d’au moins 16 ans (quinze ans en France). Si cet enfant a moins de 16 ans, l’organisme doit au préalable recueillir le consentement ou l’autorisation du titulaire de la responsabilité parentale.
  • Lorsqu’un organisme conserve ou traite des données permettant d’identifier une personne alors que le traitement qu’il effectue n’impose pas de l’identifier
  • Lorsqu’un organisme ne respecte pas les dispositions relatives au principe de Privacy by design. Selon ce principe, un organisme est tenu de prendre en compte la règlementation relative au droit des données à caractère personnel, telles que la pseudonymisation, la minimisation des données ou la protection des droits de la personne, dès la conception du traitement. En tout état de cause, seules les données personnelles strictement nécessaires à sa finalité ne peuvent faire l’objet d’un traitement.
  • Les obligations incombant aux responsables conjoints du traitement
  • Les obligations relatives au registre des activités de traitement
  • L’obligation de coopération avec la CNIL
  • Les obligations en matière de sécurité du traitement de données à caractère personnel
  • Les obligations relatives à l’analyse d’impact
  • Les obligations relatives au délégué à la protection des données

b. Un organisme de certification ne respectant pas ses obligations prévues aux articles 42 et 43 du RGPD

c. Un organisme chargé du suivi des codes de conduites ne respectant pas ses obligations prévues à l’article 41 du RGPD

Encourt une amende rgpd d’un montant maximal de 20 000 000 d’euros ou jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise l’organisme qui :

Ne respecte pas les principes relatifs au traitement des données à caractère personnel (article 5 du RGPD), au principe de licéité du traitement (article 6 du RGPD), aux dispositions relatives au consentement (article 7 du RGPD) ainsi qu’aux données dites sensibles (article 9 du RGPD).

Ne respecte pas les droits de la personne concernée tels que le principe de transparence, le droit d’information, le droit d’accès, le droit de rectification, le droit à l’effacement, le droit à la limitation du traitement, le droit à la portabilité ou le droit d’opposition

Ne respecte pas les obligations encadrant les transferts de données à caractère personnel en dehors de l’Union européenne.

Ne respecte pas les dispositions relatives à certaines catégories de traitement de données à caractère personnel : liberté d’expression et d’information, accès du public à des documents officiels, numéro d’identification national, relations de travail etc.

Ne respecte pas l’injonction, la limitation d’un traitement ou la suspension de flux transfrontaliers prononcés par la CNIL

IV. Les sanctions prononcées par la CNIL en 2019

La CNIL dispose de la possibilité de rendre publique la sanction prononcée. A titre d’exemple, au cours de l’année 2019, cinq sociétés ont été condamnées par la CNIL pour des manquements au RGPD :

21 janvier 2019

Par une délibération du 21 janvier 2019, la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de la société GOOGLE LCC pour des manquements aux obligations de transparence, d’information et de recueil du consentement (Pour lire la délibération de la CNIL)

28 mai 2019

Par une délibération du 28 mai 2019, la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la société SERGIC pour des manquements aux obligations d’assurer la sécurité des données à caractère personnel et de conserver les données pour une durée proportionnée (Pour lire la délibération de la CNIL)

13 juin 2019

Par une délibération du 13 juin 2019, la CNIL a prononcé une sanction de 20 000 euros à l’encontre de la société UNIONTRAD COMPANY pour des manquements aux obligations de veiller à l’adéquation, à la pertinence et au caractère non excessif des données, aux obligations d’information des personnes, de sécurité et de confidentialité des données (Pour lire la délibération de la CNIL)

18 juillet 2019

Par une délibération du 18 juillet 2019, la CNIL a prononcé une sanction de 180 000 euros à l’encontre de la société ACTIVE ASSURANCES pour des manquements aux obligations de sécurité et de confidentialité des données (Pour lire la délibération de la CNIL)

21 novembre 2019

Par une délibération du 21 novembre 2019, la CNIL a prononcé une sanction de 500 000 euros à l’encontre de la société FUTURA INTERNATIONALE pour des manquements aux obligations de d’adéquation, pertinence et limitation du traitement des données aux finalités pour lesquelles elles ont été collectées, aux obligations d’information des personnes, de respect du droit d’opposition, de coopération avec l’autorité de contrôle et d’encadrement des transferts de données en hors de l’Union européenne (Pour lire la délibération de la CNIL)

Contactez-nous

Notre cabinet vous accompagne sur toutes les problématiques liées aux données personnelles et propriété intellectuelle

01 84 14 52 02

Avec votre consentement nous utilisons des cookies pour faciliter votre expérience avec nos services et analyser notre trafic. Vous pouvez gérer ou retirer votre consentement à tout moment. Vous pouvez paramétrer les cookies en cliquant sur le bouton ci-dessous. Pour plus d’informations sur l’utilisation des cookies, vous pouvez consulter notre Politique des cookies.