Entré en vigueur le 25 mai 2018, le RGPD ou règlement général sur la protection des données impose aux sociétés et entreprises des obligations, relatives au traitement de données personnelles ou sensibles comme optimiser la sécurité des données personnelles, demander en aval le consentement des personnes concernées, être transparentes dans toute manipulation des données, désigner un délégué à la protection des données (DPO), etc. Ainsi, le non-respect d’une de ces obligations peut engendrer des sanctions lourdes de conséquence.
L’amende en sanction des violations du RGPD
Les entreprises sont contraintes de se soumettre aux obligations imposées par le RGPD et donc si elles commettent des infractions que cela soit fait volontairement ou par simple négligence, elles seront sanctionnées d’une amende qui peut être très conséquente. En fait, le montant de la sanction RGPD est évalué selon certains critères comme la nature de la violation, le niveau de gravité et la durée de la violation constatée et compte tenu de la cause ou finalité de traitement concernée… etc. La détermination du coût de l’amende dépend également du nombre de personnes victimes et la gravité du préjudice qu’elles ont subi outre le degré de responsabilité du responsable de traitement ou du sous-traitant et les différentes mesures techniques et organisationnelles mises en place relatives à l’assurance de la conformité de l’entreprise.
Le montant maximal prévu pour l’amende
Selon l’article 83 du RGPD mis en application par la CNIL, les sanctions administratives sont classées en deux groupes. La première est basée sur les violations dont le degré est considéré comme tolérable notamment le la négligence des obligations incombant au responsable du traitement et au sous traitant, mais aussi celles incombant à l’organisme de certification et de suivi des codes de conduite. Ainsi, une amende d’un montant qui s’élève à 2% du chiffre d’affaire annuel mondial pour les entreprises ou 10 millions d’euros d’amende peut être apposée. Le deuxième groupe de sanction RGPD concerne le cas des infractions plus graves relatives à la mauvaise application ou non-respect du nouveau cadre (non-respect de l’obligation de consentement et les droits des personnes concernées, violation des obligations résultant du droit des Etats membres, etc.). Pour cela, une amende allant jusqu’à 4% du chiffre d’affaire annuel mondial pour les entreprises ou 20 millions d’euros d’amende sera attribuée.
Des sanctions pénales
Les victimes ou tout individu ayant fait l’objet d’une violation de données personnelles par une entreprise peut poursuivre celle-ci en justice. Ainsi, l’article 84 des sanctions RGPD prévoit également que les États membres peuvent adopter des sanctions complémentaires en cas de contravention non prévues par le RGPD, celles qui n’ont pas fait l’objet d’amendes. Pour la France, elles sont régies par la section des «atteintes aux droits de l'individu résultant des fichiers ou traitements informatiques » du code pénal, dans les articles 226-16 à 226-24. Ces sanctions pénales peuvent aller jusqu’à 5 ans d’emprisonnement suivi de 300 000 euros d’amende. Des dommages-intérêts et du déficit d’image sont d’autres sanctions supplémentaires pouvant frapper l’organisme fautif.