Le RGPD est un règlement qui vient chambouler la société à tous les niveaux. Entre les sanctions RGPD record et les divers débats juridiques autour de législations controversées, il est difficile de nier que le RGPD n’a pas, à minima, fait bouger les lignes. 

Mais pourquoi le RGPD à t’il été mis en place et pourquoi semble-t’il rencontrer un tel de succès ? 

Quels sont les enjeux ?

Dans un monde sur-connecté, dans lequel la donnée se multiplie à un rythme effréné, les enjeux de la protection des données prennent tout leur sens. Mais alors pourquoi le rgpd ?
Dépassées par l’évolution des normes technologiques qu’impliquent les données à caractère personnel, les anciennes directives européennes sur la protection de la vie privée ne suffisent plus.

Déclinées de façons différentes dans les droits nationaux et assorties de sanctions particulièrement faibles, elles ne peuvent plus se faire entendre, et assurer le bon traitement des données.

Face à l’ampleur que prend l’utilité économique de l’utilisation de nos données, de leur collecte et de leur transmission pour les entreprises, un cadre européen clair est devenu indispensable.

Marketing, publicité, ressources humaines, management, organisation, sécurité… le big data est partout. Le constat est simple : nous ne savons plus ce qui est fait de nos données, ni pourquoi, ni par qui. Pire, nos décisions même nous échappent, puisque nous sommes profilés de façon toujours plus précise.

Pourquoi le RGPD, pour aller plus loin :

quelle place laisser à la privacy dans un monde de Big Data et d’IA ?

RGPD, ou la plus grande campagne de lobbying de l’Union Européenne

Un cadre unique, européen, assorti de sanctions fortes devenait indispensable. Entré en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données, ou RGPD, texte qui, vu les enjeux économiques (GAFA, etc.) a fait l’objet de la plus grande campagne de lobbying dans l’Union Européenne.

Le RGPD n’entrave pas l’innovation, bien au contraire

Pourquoi le RGPD ?

L’idée derrière le RGPD n’est pas d’interdire ou d’empêcher les entreprises de mettre en œuvre les évolutions technologiques liées à la data. Il s’agit au contraire de les responsabiliser, afin de protéger les droits de protection des personnes physiques et intérêts de tous.

Tout est possible, à condition de mettre en place les mesures nécessaires :

  • transparence vis-à-vis des individus dans le traitements des données personnelles
  • sécurité et confidentialité de leurs données, analyse et documentation des raisons et des limites des traitements mis en œuvre
  • responsabilisation des sous-traitants par les donneurs d’ordre

Cette nouvelle réglementation oblige les entreprises à se conformer au rgpd et à désigner un délégué à la protection des données personnelles au sein de leur équipe.

Sous le regard des autorités de contrôle, la CNIL en France dispose désormais d’un pouvoir d’audit renforcé et de la possibilité d’infliger des amendes pouvant atteindre 2 à 4% du chiffre annuel mondial de l’entreprise. Un objectif du RGPD avec ces amendes est d’inciter l’ensemble des entreprises à se mettre en conformité.

Sanctions RGPD de la CNIL : Pourquoi, Comment - MOOC CNIL 2019

Quelles sont les sanctions RGPD ?

La principale raison expliquant pourquoi le RGPD est aujourd’hui un réel succès – en termes de communication et de prise en compte par les entreprises – est le montant des sanctions qu’il prévoit. Pour exemple, sous l’empire de la législation française antérieure, les sanctions administratives des infractions aux règles sur la protection des données personnelles ne pouvaient s’élever au-delà de 150.000€, doublé en cas de récidive.

Fallait-il encore que l’autorité en cause dispose du pouvoir d’investigation nécessaire pour mener des enquêtes.

Soit une broutille pour certaines entreprises dont l’activité est fondée sur la data, et qui engrangent des profits colossaux.

Avec le RGPD, nous changeons d’univers et nous nous rapprochons des amendes records infligées par les autorités en matière de droit de la concurrence. (abus de position dominante et ententes illicites par exemple). La sanction RGPD s’adapte, puisqu’elle est exprimée par un taux maximal :

  • 2% du chiffre d’affaires annuel mondial de l’entreprise pour les infractions les moins graves
  • 4% pour les infractions les plus graves

En réalité, il faut distinguer plusieurs types de sanctions RGPD.

Sanctions RGPD : Mise en demeure

Le RGPD prévoit que chaque État Membre désigne une autorité de contrôle, chargée sur son territoire de son application concrète. A la faveur d’une plainte d’une personne concernée devant cette autorité ou d’un contrôle spontané, l’autorité (en France, la CNIL) pourra déclencher un contrôle au cours duquel elle dispose de plusieurs pouvoirs contraignants :

  • audit sur pièce et sur place
  • production de documents
  • témoignages, etc

Au terme de son enquête, cette autorité aura la possibilité de mettre en demeure et d’ordonner à l’entité contrôlée de mettre en œuvre certaines mesures de mise en conformité :

  • mises en place de mesures de sécurité
  • suspension ou arrêt d’un traitement
  • effacement de données
  • mise a jour de politique de confidentialité

En savoir plus sur la mise en demeure de la CNIL

Sanctions RGPD pécuniaires administratives

Si une mesure corrective ne suffit pas et qu’elle estime nécessaire de sévir, l’autorité de contrôle pourra infliger une sanction pécuniaire sur base du RGPD à l’entité considérée. Afin d’en évaluer le montant, divers critères sont prévus par le RGPD et les lignes directrices des autorités européennes.

Parmi ces critères sont pris en compte notamment :

  • le nombre de personnes concernées
  • la durée de l’infraction
  • le degré de connaissance dont l’entité avait de l’infraction
  • la collaboration de l’entité avec l’autorité de contrôle
  • la sensibilité des données

Cette sanction RGPD pourra s’élever, dans les cas les plus graves, à 20.000.000€ ou 4% du chiffre d’affaires annuel mondial de l’entité, le montant le plus élevé étant retenu. Des voies de recours contre ces sanctions sont bien sûr aménagées, en France devant le Conseil d’État.

Pourquoi le RGPD - quelles sont les sanctions RGPD

Ces sanctions sont donc très variables. La CNIL a pu par exemple sanctionner Google à hauteur de 50.000.000€ ou une société de promotion immobilière à hauteur de 400.000€ pour défaut de sécurisation des données de locataires.

Sanctions RGPD judiciaires

Le RGPD est un texte appliqué et sanctionné par les autorités de contrôle administrative, mais également, comme tout texte juridique, par les tribunaux ordinaires. En effet, si un particulier ou un groupe de particuliers (dans le cadre d’une action de groupe, spécifiquement prévue pour la protection des données personnelles) s’estime lésé en raison d’une infraction au RGPD, il pourra demander réparation devant les tribunaux.

Lorsque plusieurs entreprises ont participé au même traitement de données préjudiciable pour une personne, soit en qualité de responsable du traitement soit en qualité de sous-traitant, le RGPD protège avant tout la personne.

Les entreprises supporteront en effet une responsabilité solidaire à l’égard de la personne concernée : elle peut voir son préjudice réparer entièrement par l’une ou par l’autre entreprise, quels que soient les degrés respectifs de participation au dommage. La répartition finale des responsabilités se fera dans un second temps, entre les entreprises.

Retrouvez toutes les sanctions pour manquement à la protection des données personnelles dans le monde grâce à notre carte interactive by Staub & Associés et DATA LEGAL DRIVE.

Découvrez la carte interactive des sanctions RGPD

Carte des sanctions
Cartes des sanctions pré et post-RGPD dans le monde

Besoin de vous mettre en conformité ?

Découvrez DATA LEGAL DRIVE