Le RGPD est un règlement qui a chamboulé la société à tous les niveaux. Entre son vaste champ d’application, les sanctions RGPD records et les divers débats juridiques autour de législations controversées, il est indéniable que le RGPD a fait bouger les lignes en matière de protection de la vie privée.
Mais pourquoi le RGPD a-t-il été mis en place, et pourquoi semble-t-il rencontrer un tel succès ?
Quels sont les enjeux ?
Dans un monde sur-connecté, dans lequel les données et leur traitement se multiplient à un rythme effréné, les enjeux de la protection des données à caractère personnel prennent tout leur sens. Mais alors pourquoi le RGPD ?
Dépassées par l’évolution des normes technologiques qu’impliquent les données à caractère personnel, les anciennes directives européennes et législations nationales (en France Loi Informatique et Libertés) sur la protection de la vie privée ne suffisaient plus.
Déclinées de façons différentes dans les droits nationaux et assorties de sanctions particulièrement faibles, elles n’étaient plus efficaces et ne permettaient plus d’assurer le bon traitement des données à caractère personnel.
Face à l’utilité économique de nos données, de leur collecte et de leur transfert pour les entreprises, un règlement européen cadrant et clair était devenu indispensable.
Marketing, publicité, ressources humaines, management, organisation, sécurité… les traitements de données sont partout. Le constat fut simple : nous ne savions plus ce qui était fait de nos données, ni pourquoi, ni par qui. Pire, nos décisions même nous échappaient, puisque nous sommes profilés de façon toujours plus précise. Le consentement, qui devrait être la base d’un grand nombre de traitements n’était que trop peu souvent respecté, de la même manière que les droits et libertés des individus.
RGPD, ou la plus grande campagne de lobbying de l’Union Européenne ?
Un cadre unique, européen, assorti de sanctions fortes, devenait indispensable. Entré en application le 25 mai 2018, le Règlement Général sur la Protection des Données, ou RGPD, est le texte qui, au vu des enjeux économiques (GAFA, etc…), a fait l’objet de la plus grande campagne de lobbying dans l’Union Européenne.
Le RGPD n’entrave pas l’innovation, bien au contraire
L’idée derrière le RGPD n’est pas d’interdire ou d’empêcher les entreprises de mettre en œuvre les évolutions technologiques liées à la data. Il s’agit au contraire de les responsabiliser en les invitant à mettre en place la documentation permettant de démontrer leur conformité aux exigences sur la protection des données, afin de protéger les droits et libertés des personnes physiques et intérêts de tous.
Tout est possible, à condition de respecter les obligations en la matière, dont notamment :
- Minimisation des données, en ne collectant que les données nécessaires pour atteindre les objectifs concernés.
- Limitation des finalités, en ne collectant les données que pour des finalités déterminées et légitimes, et en veillant à ne pas les traiter ultérieurement d’une manière incompatible avec ces finalités.
- Transparence vis-à-vis des individus lorsque les données sont traitées (notamment concernant les raisons de la collecte et les droits dont ils bénéficient).
- Limitation de la conservation, en ne traitant les données que pendant la durée nécessaire au regard des finalités définies.
- Sécurité et confidentialité de leurs données, en mettant en place des mesures adaptées aux risques.
Cette nouvelle réglementation oblige les entreprises à se conformer au RGPD et dans certains cas à désigner un Délégué à la Protection des Données au sein de leur équipe.
Quelles sont les sanctions RGPD ?
La principale raison expliquant pourquoi le RGPD est aujourd’hui un réel succès , en termes de communication et de prise en compte par les entreprises , est le montant des sanctions qu’il prévoit. Pour exemple, sous l’empire de la législation française antérieure, les sanctions administratives des infractions aux règles sur la protection des données personnelles ne pouvaient s’élever au-delà de 150 000€, doublé en cas de récidive.
Fallait-il encore que l’autorité en cause dispose du pouvoir d’investigation nécessaire pour mener des enquêtes.
Soit une broutille pour certaines entreprises dont l’activité est fondée sur la data, et qui engrangent des profits colossaux.
Avec le RGPD, nous changeons d’univers et nous nous rapprochons des amendes records infligées par les autorités en matière de droit de la concurrence (abus de position dominante et ententes illicites par exemple). La sanction RGPD s’adapte, puisqu’elle est exprimée par un taux maximal :
- 2% du chiffre d’affaires annuel mondial de l’entreprise pour les infractions les moins graves.
- 4% pour les infractions les plus graves.
Sous le regard des autorités de contrôle, la CNIL en France dispose ainsi désormais d’un pouvoir d’audit renforcé et de la possibilité d’infliger des amendes pouvant atteindre 2 à 4% du chiffre d’affaires annuel mondial de l’entreprise. Un objectif du RGPD avec ces amendes est d’inciter l’ensemble des entreprises à se mettre en conformité.
En réalité, il faut distinguer plusieurs types de sanctions RGPD.
Sanctions RGPD : Mise en demeure
Le RGPD prévoit que chaque État Membre désigne une autorité de contrôle, chargée sur son territoire de son application concrète. A la faveur d’une plainte d’une personne concernée devant cette autorité ou d’un contrôle spontané, l’autorité (en France, la CNIL) pourra déclencher un contrôle au cours duquel elle dispose de plusieurs pouvoirs contraignants :
- Audit sur pièce et sur place
- Production de documents
- Témoignages, etc…
Au terme de son enquête, cette autorité aura la possibilité de mettre en demeure et d’ordonner à l’entité contrôlée de mettre en œuvre certaines mesures de mise en conformité :
- Mise en place de mesures de sécurité
- Suspension ou arrêt d’un traitement
- Effacement de données
- Mise à jour de Politique de Confidentialité
Sanctions RGPD pécuniaires administratives
Si une mesure corrective ne suffit pas et qu’elle estime nécessaire de sévir, l’autorité de contrôle pourra infliger une sanction pécuniaire sur la base du RGPD à l’entité considérée. Afin d’en évaluer le montant, divers critères sont prévus par le RGPD et les lignes directrices des autorités européennes.
Parmi ces critères sont pris en compte notamment :
- Le nombre de personnes concernées
- La durée de l’infraction
- Le degré de connaissance dont l’entité avait de l’infraction
- La collaboration de l’entité avec l’autorité de contrôle
- La sensibilité des données (données sensibles)
Cette sanction RGPD pourra s’élever, dans les cas les plus graves, à 4% du chiffre d’affaires annuel mondial de l’entité ou à 20 000 000€, le montant le plus élevé étant retenu. Des voies de recours contre ces sanctions sont bien sûr aménagées, en France devant le Conseil d’État.
Ces sanctions sont donc très variables. La CNIL a pu par exemple sanctionner Google à hauteur de 150 000 000€ 1 pour non respect des exigences sur le consentement en matière de cookies ou la RATP à hauteur de 400 000€ pour plusieurs manquements quant au principe de minimisation, à l’exigence de limitation de la conservation et à l’obligation sur la sécurité des données 2. Des sanctions d’un montant beaucoup plus faible, et appliquées à des entreprises de petite taille, voire des libéraux, ont aussi été prononcées, démontrant que personne n’est « à l’abri ». Ainsi, deux médecins ont été respectivement condamnés à hauteur de 3 000€ et 6 000€ en raison de la mauvaise sécurisation des données de leurs patients et de la non notification à la CNIL d’une violation de données 3. L’Etat même, et plus spécifiquement le Ministère de l’Intérieur, a également été condamné pour avoir utilisé de manière illicite des drones équipés de caméras, notamment pour surveiller le respect des mesures de confinement 4.
Sanctions RGPD judiciaires
Le RGPD est un texte appliqué et sanctionné par les autorités de contrôle administratives, mais également, comme tout texte juridique, par les tribunaux ordinaires. En effet, si un particulier ou un groupe de particuliers (dans le cadre d’une action de groupe, spécifiquement prévue pour la protection des données personnelles) s’estime lésé en raison d’une infraction au RGPD, il pourra demander réparation devant les tribunaux.
Lorsque plusieurs entreprises ont participé au même traitement de données préjudiciable pour une personne, soit en qualité de responsable du traitement, soit en qualité de sous-traitant, le RGPD protège avant tout la personne.
Les entreprises supporteront en effet une responsabilité solidaire à l’égard de la personne concernée : elle peut voir son préjudice réparé entièrement par l’une ou par l’autre entreprise, quels que soient les degrés respectifs de participation au dommage. La répartition finale des responsabilités se fera dans un second temps, entre les entreprises.
Retrouvez toutes les sanctions pour manquement à la protection des données personnelles dans le monde grâce à notre Carte des Sanctions RGPD interactive, puis découvrez l’accompagnement proposé par le logiciel de mise en conformité RGPD.
1 Cookies : la CNIL sanctionne Google à hauteur de 150 millions d’euros.
2 Fichiers d’évaluation des agents : sanction de la RATP à hauteur de 400 000€.
3 Violations de données de santé : la CNIL sanctionne deux médecins.