Quels sont les enjeux ?

Dans un monde sur-connecté, dans lequel la donnée se multiplie à un rythme effréné, les enjeux de la protection des données prennent tout leur sens. Mais alors pourquoi le rgpd ?
Dépassées par l’évolution des normes technologiques qu’impliquent les données à caractère personnel, les anciennes directives européennes sur la protection de la vie privée, déclinées de façon différentes dans les droits nationaux et assorties de sanctions particulièrement faibles, ne suffisent plus.
Face à l’ampleur que prend l’utilité économique de l’utilisation de nos données, de leur collecte et de leur transmission pour les entreprises, un cadre européen clair est devenu indispensable.
Marketing, publicité, ressources humaines, management, organisation, sécurité… le big data est partout. Le constat est simple : nous ne savons plus ce qui est fait de nos données, ni pourquoi, ni par qui. Pire, nos décisions même nous échappent, puisque nous sommes profilés de façon toujours plus précise.

Pourquoi le RGPD, pour aller plus loin :

quelle place laisser à la privacy dans un monde de Big Data et d’IA ?

RGPD, ou la plus grande campagne de lobbying de l’Union Européenne

Un cadre unique, européen, assorti de sanctions fortes devenait indispensable. Entré en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données, ou RGPD, texte qui, vu les enjeux économiques (GAFA, etc.) a fait l’objet de la plus grande campagne de lobbying dans l’Union Européenne.

Le RGPD n’entrave pas l’innovation, bien au contraire

Pourquoi le RGPD ?

L’idée derrière le RGPD n’est pas d’interdire ou d’empêcher les entreprises de mettre en œuvre les évolutions technologiques liées à la data. Il s’agit au contraire de responsabiliser les entreprises, pour protéger les droits de protection des personnes physiques et intérêts de tous.

Tout est possible, à condition de mettre en place les mesures nécessaires : transparence vis-à-vis des individus dans le traitements des données personnelles, sécurité et confidentialité de leurs données, analyse et documentation des raisons et des limites des traitements mis en œuvre, responsabilisation des sous-traitants par les donneurs d’ordre. Cette nouvelle réglementation oblige les entreprises à se conformer au rgpd et à désigner un délégué à la protection des données personnelles au sein de leur équipe.

Sous le regard des autorités de contrôle, la CNIL en France dispose désormais d’un pouvoir d’audit renforcé et de la possibilité d’infliger des amendes pouvant atteindre 2 à 4% du chiffre annuel mondial de l’entreprise. Un objectif du rgpd avec ces amendes est d’inciter l’ensemble des entreprises à se mettre en conformité.

Quelles sont les sanctions ?

La principale raison expliquant pourquoi le RGPD est aujourd’hui un réel succès – en termes de communication et de prise en compte réel ou supposé par les entreprises – est le montant des sanctions qu’il prévoit. Pour exemple, sous l’empire de la législation française antérieure, les sanctions administratives des infractions aux règles sur la protection des données personnelles ne pouvaient s’élever au-delà de 150.000€, doublé en cas de récidive.

Fallait-il encore que l’autorité en cause dispose du pouvoir d’investigation nécessaire pour mener des enquêtes, soit une broutille pour certaines entreprises dont l’activité est fondée sur la data.

Avec le RGPD, nous changeons d’univers et nous nous rapprochons des amendes records infligées par les autorités en matière de droit de la concurrence (abus de position dominante et ententes illicites). La sanction s’adapte, puisqu’elle est exprimée par un taux maximal : 2% du chiffre d’affaires annuel mondial de l’entreprise pour les infractions les moins graves, 4% pour les infractions les plus graves.

En réalité, il faut distinguer plusieurs types de sanctions.

Mise en demeure

Le RGPD prévoit que chaque État Membre désigne une autorité de contrôle, chargée sur son territoire de son application concrète. A la faveur d’une plainte d’une personne concernée devant cette autorité ou d’un contrôle spontané, l’autorité (en France, la CNIL) pourra déclencher un contrôle au cours duquel elle dispose de plusieurs pouvoirs contraignants : audit sur pièce et sur place, production de documents, témoignages, etc.

Au terme de son enquête, cette autorité aura la possibilité de mettre en demeure et d’ordonner à l’entité contrôlée de mettre en œuvre certaines mesures de mise en conformité : mises en place de mesures de sécurité, suspension ou arrêt d’un traitement, effacement de données, mise a jour de politique de confidentialité.

Sanctions pécuniaires administratives

Si une mesure corrective ne suffit pas et qu’elle estime nécessaire de sévir, l’autorité de contrôle pourra infliger une sanction pécuniaire à l’entité considérée. Afin d’en évaluer le montant, divers critères sont prévus par le RGPD et les lignes directrices des autorités européennes.

Parmi ces critères sont pris en compte notamment le nombre de personnes concernées, la durée de l’infraction, le degré de connaissance dont l’entité avait de l’infraction, la collaboration de l’entité avec l’autorité de contrôle, la sensibilité des données.

Cette sanction pourra s’élever, dans les cas les plus graves, à 20.000.000€ ou 4% du chiffre d’affaires annuel mondial de l’entité, le montant le plus élevé étant retenu. Des voies de recours contre ces sanctions sont bien sûr aménagées, en France devant le Conseil d’État.

Ces sanctions sont donc très variables. La CNIL a pu par exemple sanctionner Google à hauteur de 50.000.000€ d’euros ou une société de promotion immobilière à hauteur de 400.000€ pour défaut de sécurisation des données de locataires.

Sanctions judiciaires

Le RGPD est un texte appliqué et sanctionné par les autorités de contrôle administrative, mais également, comme tout texte juridique, par les tribunaux ordinaires. En effet, si un particulier ou un groupe de particuliers (dans le cadre d’une action de groupe, spécifiquement prévue pour la protection des données personnelles) s’estime lésé en raison d’une infraction au RGPD, il pourra demander réparation devant les tribunaux.

Lorsque plusieurs entreprises ont participé au même traitement de données préjudiciable pour une personne, soit en qualité de responsable du traitement soit en qualité de sous-traitant, le RGPD protège avant tout la personne.

Les entreprises supporteront en effet une responsabilité solidaire à l’égard de la personne concernée : elle peut voir son préjudice réparer entièrement par l’une ou par l’autre entreprise, quels que soient les degrés respectifs de participation au dommage. La répartition finale des responsabilités se fera dans un second temps, entre les entreprises.

Retrouvez toutes les sanctions pour manquement à la protection des données personnelles dans le monde grâce à notre carte interactive by Staub & Associés et DATA LEGAL DRIVE.

Cartes des sanctions pré et post-RGPD dans le monde