Quel cadre légal ?
Depuis sa mise en application en mai 2018, la RGPD a mis en place un cadre légal pour les entreprises et/ou organismes publics ne respectant pas les normes en ce qui concerne le traitement et la protection des données personnelles. Ce cadre légal est en particulier composé d’obligations qui doivent maintenant être respectées :
- De manière générale, optimiser la sécurité des données personnelles ;
- Obtenir le consentement des personnes concernées via une demande formelle ;
- Informer les personnes concernées sur le traitement des données (principe de transparence, droit à l’information…) ;
- Garantir le respect des droits des personnes par la mise en place de mesures appropriées (droit à l’oubli, portabilité…) ;
- Tenir un registre des traitements de données ;
- Nommer un délégué à la protection des données (DPO), cela peut être obligatoire dans certains cas ;
Quelles sanctions ?
Autour de ce cadre légal, la Commission nationale de l’informatique et des libertés (CNIL) est l’autorité qui a pour mission de contrôler le respect des normes de la RGPD. En cas de non-respect, la CNIL a le pouvoir d’appliquer plusieurs sanctions administratives. Plutôt qu’une punition radicale, ces sanctions ont pour objectif de pousser l’entreprise ou l’organisation publique à se conformer aux normes.
Amendes administratives :
- Une amende de 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour le non-respect des obligations incombant au responsable du traitement et au sous-traitant, à l’organisme de certification et à l’organisme de suivi des codes de conduite ;
- Une amende de 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour le non-respect de l’obligation de consentement (obtention du consentement par des moyens détournés) et les autres droits des personnes concernées, l’obligation de mettre en place des mesures spécifiques en cas de transferts des données dans un pays non européen, des obligations découlant des droits des États membres, des injonctions et autres mesures de remise à l’ordre prononcées par la CNIL.
Sanctions pénales :
En plus des amendes administratives, les organisations peuvent être poursuivies en justice par des victimes par exemple, et ce selon les articles 226-16 à 226-24 du Code pénal sur « Des atteintes aux droits de la personne résultants des fichiers ou des traitements informatiques ». En fonction de la gravité des infractions, les peines prononcées peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.
Sans oublier le déficit d’image.
En plus de tout ça, la CNIL peut obliger les entreprises et organisations à communiquer publiquement sur leurs différentes erreurs et sur les sanctions administratives et pénales qu’elles subissent. Tout cela peut avoir un très mauvais effet en termes d’image d’entreprise.
Comme on peut l’imaginer, la répercussion médiatique de ce genre d’affaire peut entrainer une perte de confiance des prospects et des clients. Cet impact peut avoir encore un double effet lorsque les investisseurs peuvent se retirer pour les entreprises cotées en Bourse.