Les sanctions de la CNIL

20/11/2018

 

 

 

Quand on aborde le sujet du RGPD, on parle dans la majorité des cas des règles et autres obligations que celui-ci impose aux entreprises autrement dit de la marche à suivre depuis sa mise en application en mai 2018. Mais on parle en revanche beaucoup moins des sanctions qui attendent les organisations qui voudraient se soustraire à ses règles et, faites nous confiance, vous ne voulez pas que votre entreprise s’attire les foudres de la CNIL. Pour vous en convaincre, Captain DPO passe en revue les différentes sanctions applicables par la CNIL en cas de non-respect du RGPD et vous explique dans quel cadre et sous quelles conditions ces sanctions peuvent être mises en application.

 

La CNIL, gardienne du RGPD 

 

La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’organisme chargé de veiller quotidiennement à la protection des données personnelles des citoyens français et à la mise en conformité du RGPD par les organisations. Le but de la CNIL est d’empêcher que l’utilisation des données par des organisations publiques ou privées porte atteinte aux droits de l’homme, à la vie privée des utilisateurs ou à toute liberté individuelle et publique. La CNIL a un rôle d’informateur et de conseiller avant tout puisqu’elle renseigne directement sur son site les entreprises sur la marche à suivre pour se conformer au RGPD. En plus de son rôle d’accompagnatrice sur la question du RGPD, elle dispose également d’un pouvoir de contrôle et de sanction en cas de non-respect du nouveau règlement Européen. Elle a donc également un devoir de vigilance et de fermeté vis-à-vis des manquements des organisations au niveau de leur utilisation des données personnelles. Ces sanctions ont été établies afin de dissuader les entreprises ne pas respecter les conditions du RGPD et inciter les autres à être conformes à celui-ci. Bien que lourdes financièrement, il est important de noter que ces sanctions ne sont pas fixes mais proportionnelles : le montant de l’amende infligée à une organisation sera variable selon la gravité, la nature et la durée de l’infraction commise mais sachez d’ores et déjà que les montants de ces amendes sont particulièrement importants et peuvent être lourdes de conséquences pour l’activité de votre organisation. Elles ne doivent donc en aucun cas être prises à la légère.

 

 

Des mises en garde avant la punition  

 

Toutefois, avant d’en arriver au point de non-retour où une organisation doit payer une amende, elle a encore le temps de réagir puisque avant de la sanctionner, la CNIL prendra soin de la prévenir de ce qui l’attend si elle persiste dans cette voie. Les avertissements de la CNIL se font, comme nous l’avons dit, graduellement  :

 

  1. Avertissement ou mise en demeure de l’organisation  

  2. Injonction, ordre de cesser la violation du RGPD

  3. Limitation ou suspension temporaire du traitement des données

  4. Sanctions administratives si les injonctions précédentes ont été vaines  

 

Il est intéressant de constater que les sanctions liées à une amende constituent finalement « l’ultime recours » de la CNIL contre les organisations. Celles-ci ont la possibilité de rectifier le tir en cours de route avant d’être contraintes de payer de leur poche. Si après ces différents avertissements une entreprise n’a toujours pas pris en compte les mises en garde de la CNIL, celle-ci peut alors infliger des sanctions administratives et donc financières.

 

 

Deux types de sanctions

 

 

 

Les sanctions applicables par la CNIL sont de 2 types bien distincts : nous avons d’un côté les sanctions administratives et les sanctions pénales de l’autre. Les sanctions administratives sont réparties en deux groupes selon la gravité, la nature et la durée de l’infraction :

 

  • Une amende d’un montant de 10 millions d’euros ou de 2 % du chiffre d’affaires mondial en cas de non-respect des obligations incombant au responsable de traitement et au sous-traitant, à l’organisme de certification ou à l’organisme chargé du suivi des codes de conduite.

  • Une amende d’un montant de 20 millions d’euros ou de 4 % du chiffre d’affaires en cas de non-respect des obligations suivantes : l’obligation du consentement (l’entreprise doit avoir le consentement d’une personne avant de collecter, traiter et utiliser ses données), l’obligation de mettre en place des mesures spécifiques lors du transfert de données à caractère personnel vers un pays tier ou une organisation internationale, toutes les obligations découlant des droits des Etats membres ainsi que le non-respect de toutes injonctions et autres avertissements venant de la CNIL.

 

En plus de ces amendes aux montants particulièrement élevés, l’organisation qui ne respecte pas le RGPD s’expose à des sanctions d’ordre pénales mises en place par les Etats membres. En effet, en dehors de ses responsabilités vis-à-vis de la CNIL, une entreprise qui ne respecte pas les règles doit aussi en répondre aux personnes qui achètent ses biens ou utilisent ses services. Ainsi, une personne estimant que ses droits n’ont pas été respectés peut décider de porter plainte contre l’organisation concernée. Celle-ci devra alors verser d’éventuels dommages et intérêts si la personne en fait le recours en justice. Il est important de souligner que les sanctions administratives ne se substituent pas aux sanctions pénales. Ces sanctions concernent surtout des cas de violations qui ne sont pas prévus par le RGPD et donc non sanctionnés par des amendes. Dans le pire des cas donc, l’entreprise devra payer des amendes à la CNIL mais également des dommages et intérêts aux personnes concernées par ses infractions et qui sont donc considérées comme « victimes » par le Code pénal (Article 226-16 à 226-24 : « Des atteintes aux droits de la personne résultats des fichiers ou des traitements informatiques. ») Selon la gravité des infractions commises, les sanctions pénales peuvent aller jusqu'à un montant de 300.000 euros d’amende et 5 ans d’emprisonnement.

 

 

Un problème d’argent mais aussi d’image

 

 

La CNIL ne vise pas seulement le portefeuille des entreprises pour les inciter à être conforme au RGPD. Elle s’attaque également à leur réputation : en effet, la CNIL peut ordonner à une entreprise ayant commis une infraction de communiquer publiquement sur les amendes qui lui ont été infligées pour en informer ses clients. De plus, la CNIL diffuse elle-même un communiqué officiel listant tous les manquements d’une organisation liés au RGPD. Une communication qui peut fortement nuire à l’image et la réputation de l’entreprise qui risque de perdre la confiance de ses clients, ceux-ci étant directement impliqués et concernés par les erreurs de l’entreprise. Ainsi, la mise en conformité au RGPD constitue un double enjeu pour les entreprises : un enjeu financier important en raison des amendes très élevées infligées en ultime recours et un enjeu médiatique en cas de communication publique des erreurs commises qui peuvent porter atteinte à la réputation de l’entreprise et donc à sa compétitivité. Vous l’aurez compris, il ne fait pas bon de ne pas prêter attention aux obligations du RGPD et encore moins aux avertissements de la CNIL. Pour vous assurer de faire partie des entreprises qui respectent la norme européenne et vous éviter des ennuis à la fois financiers et médiatiques, testez dès maintenant notre solution Captain DPO ! Vous disposez d’un test gratuit pour vous faire votre propre opinion (on vous rassure, cela ne vous engage en rien : pas de sanctions administratives si vous décidez de ne pas l’utiliser après votre test.)  

Please reload

Posts à l'affiche

Les évolutions de Captain DPO en 2019

1/10
Please reload

Posts Récents
Please reload

Logiciel collaboratif pour DPO - Pilotez la conformité de votre organisation simplement et en toute confiance

​Captain DPO - Chez Jamespot
​66 rue Marceau Bâtiment C'  
​93100 Montreuil

Tél : 01.48.58.18.01

Mail : info@captaindpo.com