Le règlement général sur la protection des données est entré en vigueur le 25 Mai 2018. C’est en quelque sorte « l’héritier » de l’obsolète « loi informatique et liberté ». Ce règlement a pour but d’homogénéiser et de renforcer les règles en matière de protection des données à caractère personnel des pays membres de l’Union européenne. Ce « nouveau » règlement est en fait rédigé et applicable depuis le 28 Avril 2016. Les entreprises françaises avaient donc deux ans pour se mettre en conformité… En cas de non respect ou violation des directives du RGPD, la CNIL[1] (autorité de contrôle pour la France) a établi différentes sanctions que nous allons explorer dans cet article.
Quelles sont les sanctions en cas de non-conformité au RGPD ?
La CNIL peut depuis le 25 mai 2018 procéder à des contrôles de conformité et infliger des sanctions aux entreprises contrevenantes en matière de données personnelles. L’autorité de contrôle française, que représente la CNIL pourra alors :
- Prononcer un rappel à l’ordre ;
- Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
- Prononcer une amende administrative.
1 – Amende administrative
A partir du 25 mai dernier, les entreprises non conformes sont donc passibles d’amendes, graduées de deux manières :
- Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default, en matière de PIA, etc. ;
- Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).
CNIL 07 juin 2018[3] : sanction de 250.000€ à Optical Center pour une atteinte à la sécurité des données personnelles des clients du site internet www.optical-center.fr
2 – Restriction ou interdiction de traitement
Outre ces sanctions financières applicables en cas de contrôle révélant de lourdes infractions au RGPD, les entreprises peuvent également se voir interdire l’usage d’un traitement temporairement ou définitivement.
Données personnelles : Google déjà épinglé par la CNIL !
Ce lundi 21 Janvier 2019, la CNIL a officialisé la condamnation infligée à Google : 50 Millions d’Euros ! En effet, à la suite de deux plaintes déposées par deux associations de défense des internautes : la Quadrature du Net (France) et None Of Your Business, la CNIL a estimé que les informations les concernant « ne sont pas aisément accessibles pour les utilisateurs », que les utilisateurs n’ont pas assez d’information pour connaître et « comprendre l’ampleur des traitements » des données personnelles dont l’utilisation est d’ailleurs aussi jugée « massive et intrusive ».
Enfin la CNIL révèle également l’absence de consentement (notion centrale de ce nouveau règlement sur la protection des données) pour la publicité : « Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires », déplore-t-elle.
Cette sanction est à ce jour la plus grosse amende infligée par la CNIL qui devient dans le même temps la première autorité de contrôle européenne à sanctionner un géant de l’internet dans le cadre de la mise en application du règlement intérieur sur la protection des données.
RGPD : attention aux arnaques !
Plusieurs mois se sont écoulés depuis l’entrée en vigueur de ce nouveau règlement sur la protection des données personnelles et au vu du caractère d’urgence de la conformité des entreprises retardataires, un autre risque se manifeste : l’arnaque ! En effet, la CNIL interpelle les dirigeants sur son site internet.
Certaines structures peu scrupuleuses ont vite compris la manne financière que pouvait générer de telles obligations. Mais ne vous faîtes pas avoir, la plupart de ces offres frauduleuses vous confèrent un « diplôme de conformité au RGPD » en échange de sommes astronomiques… Il n’en est rien !
Comment prévenir ces risques ?
La conformité de votre entreprise au RGPD se construit, s’articule autour de points de vigilances et de documents bien précis (mise en conformité de vos processus, mise en conformité de votre politique d’emailing).
Certaines étapes sont indispensables à votre conformité RGPD et demandent un investissement notable d’un ou plusieurs pilotes au sein de votre organisation. La mise en conformité de votre entreprise nécessite la mise en application d’un véritable plan d’actions (les sites internet du BPI et de la CNIL proposent notamment une « check-list » des 6 étapes clés). La nomination d’un DPO est également obligatoire dans certains cas.
Il convient de repenser toute votre organisation : du processus de collecte de données, aux modalités et durées de sauvegarde des données jusqu’à la désignation d’un responsable des traitements.
Transformer ces risques en opportunité !
La mise en application du RGPD ne doit pas être uniquement perçu comme une charge : cela va vous permettre de faire le tri dans vos données, de vous assurer des systèmes de sécurité mis en place dans votre entreprise… Vos bases de données seront surement grandement épurées à cause des nouvelles obligations de consentement.
Vous remarquerez néanmoins qu’elles n’en seront que de meilleure qualité donc beaucoup plus qualifiée. Les personnes / individus à qui vous pourrez maintenant envoyer une newsletter ou une information promotionnelle auront délibérément fait le choix de la recevoir. Par voie de conséquence, on peut espérer que les taux de conversion s’améliorent grandement.
