Le 25 mai 2018 est entré en vigueur le règlement européen sur la protection des données (RGPD). Savez-vous à quoi s’exposent, à cette date, les entreprises qui n’ont pas réformé leurs pratiques ?
Depuis le 25 mai 2018, le RGPD est directement applicable en France, et son non-respect immédiatement sanctionnable, notamment par les agents de la CNIL. À ce sujet, on met généralement en avant les amendes les plus lourdes. Mais ce que l’on sait moins, c’est que le défaut de conformité aux dispositions du RGPD entraîne des sanctions graduelles, qui varient en fonction de la gravité des violations constatées.
Avant les amendes, les avertissements
La CNIL dispose de différents moyens pour contraindre les entreprises à se conformer au RGPD. Elle peut ainsi :
– prononcer un avertissement ;
– mettre en demeure l’entreprise ;
– limiter temporairement ou définitivement un traitement de données ;
– suspendre les flux de données ;
– ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
– ordonner la rectification, la limitation ou l’effacement des données.
L’entreprise persiste ? Elle risque jusqu’à 20 millions d’euros
Les amendes administratives que les agents de la CNIL pourront infliger aux entreprises contrevenantes sont particulièrement lourdes et dissuasives. En fonction de la durée, la nature et la gravité de la violation, elles pourront ainsi s’élever jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros (contre 3 millions d’euros actuellement). Des montants très importants de nature à affaiblir, voire à porter un coup fatal à l’activité d’une entreprise.
Sans compter la désaffection éventuelle des clients à l’encontre d’une entreprise sanctionnée pour ses pratiques irrespectueuses des droits des personnes et de leurs données.
À cette facture déjà salée peuvent également s’ajouter des amendes pénales qui ont vocation à compléter les sanctions administratives. Elles peuvent conduire, au maximum, à 5 ans d’emprisonnement et à 300 000 euros d’amende.
Enfin, la violation d’une des dispositions du RGPD peut directement porter atteinte aux droits des personnes. Une victime peut ainsi se retourner contre l’entreprise fautive et lui réclamer en justice des dommages et intérêts.
Pour toutes ces raisons, la mise en conformité avec le RGPD ne doit pas être négligée ! Mais la peur des sanctions ne devrait pas, pour autant, en être le moteur. L’entreprise a, en effet, tout à gagner à rationaliser l’usage qu’elle fait de la masse des données traitées en interne.
Si vous ne l’avez pas déjà lu, découvrez pourquoi et comment dans l’épisode 2 :
RGPD # 2 : quelles sont les forces que je dois mobiliser pour relever le défi ?
Crédits Photo : © santiago silver