Non-respect du RGPD : comment préserver son entreprise ?

Avec les essors technologiques et les possibilités qu’ont les entreprises à très facilement avoir accès aux données personnelles de leurs clients, prendre des dispositions visant à la protection des données à caractère personnel des citoyens devenait important. C’est pour cette raison que l’Europe a pensé à une directive faite de règles et de sanctions qu’elle a imposées aux entreprises et organismes publics. Cette directive a pour nom le RGPD et elle a définitivement modifié la manière dont les entreprises européennes et du monde se chargent du traitement des données à caractères personnels. Qu’est-ce que le RGPD ? Quels sont ses objectifs et dans quel cas s’applique-t-il ? Quelles sont les sanctions et obligations du RGPD ? Comment préserver son entreprise contre le RGPD ?

RGPD : Définition, objectifs et cas d’application

Avant de nous pencher sur son non-respect et de comment préserver son entreprise, il est essentiel de faire un petit briefing sur ce qu’est le RGPD, ses objectifs et sur les cas dans lesquels il s’applique.

Définition

Le RGPD est le règlement européen sur la protection des données, cette directive de l’Europe soumet toutes les administrations et entreprises au respect des règles ayant rapport au traitement des données à caractère personnel. Entré en vigueur depuis le 25 mai 2018, le RGPD a pour particularité de concerner l’ensemble des entreprises chargées de traiter les données à caractère personnel des citoyens européens. Aucun des pays qui effectuent des traitements sur les données personnelles de citoyens de l’Europe n’est épargné. En plus, ce n’est pas une directive qui s’applique uniquement en France et en Europe. De façon synchronisée, elle est automatiquement applicable à l’ensemble des pays du monde.

Les objectifs du RGPD

Le RGPD a pour objectif principal la protection des citoyens européens contre toutes exploitations malveillantes de leurs données à caractère personnel. En raison du nombre important d’entreprises détenant vos données personnelles, sa mission est de protéger votre famille. Nul ne sait réellement ce que chaque entreprise fait des données personnelles qu’elle collecte (surtout celles à grande échelle), alors il vaut mieux être prudent en se mettant à l’abri grâce au RGPD. En le faisant, non seulement vous le faites pour vous-même, mais également pour votre famille et les générations futures. Le RGPD est plus qu’une obligation, c’est une nécessité.

Cas d’application du RGPD

En ce qui concerne le RGPD, c’est uniquement votre répertoire personnel qui n’y est pas soumis. En dehors de votre répertoire personnel, il s’applique à l’ensemble des traitements de données à caractère personnel des citoyens de l’Europe. Autrement dit, toutes les manipulations de données à caractère personnel sont soumises à ce règlement. Pour se faire, vous devez réellement porter un réel intérêt sur l’ensemble des traitements de données que vous faites dans l’exercice de vos fonctions. Désormais, vous savez ce qu’est le RGPD, ses objectifs et les cas dans lesquels il s’applique. Penchons-nous à présent sur les sanctions prévues en cas de non-respect du RGPD.

Les sanctions prévues en cas de non-respect du RGPD

Plusieurs sanctions sont prévues par le règlement européen sur la protection des données pour les entreprises qui ne sont pas dans les normes. Pour des raisons de dissuasion, les montants de ces sanctions sont assez élevés et elles sont de deux types. En effet, elles ont été établies afin de forcer les entreprises à être beaucoup plus transparentes dans leurs agissements en ce qui concerne la collecte des données à caractère personnel. Mais également et surtout à respecter les droits et libertés des personnes concernées par ces données personnelles. Ainsi, depuis qu’il est entré en application le 25 mai 2018, le RGPD sanctionne durement ces entreprises et organismes publics qui bafouent les normes concernant le traitement des données. Pour éviter de se faire sanctionner, les entreprises doivent à présent respecter les obligations ci-après :

• L’optimisation de la sécurité des données personnelles ;
• L’obtention du consentement des citoyens concernés par un acte de bonne foi ;
• L’information des personnes concernées par les objectifs du traitement (droit à l’information, principe de transparence, etc.) ;
• La garantie du respect des droits des personnes à travers une mise en place de mesures adéquates (portabilité, droit d’accès, etc.) ;
• La possession d’un registre de traitement des données ;
• La désignation d’un DPO (Indispensable dans quelques situations) ;
• La réalisation d’analyses d’impacts en ce qui concerne les traitements qui créent de gros risques pour les droits et libertés des citoyens concernés.

Les contrôles et sanctions de la CNIL

La CNIL est une structure française chargée du contrôle et des sanctions liées au RGPD. En fait, il assure des contrôles et prévoit des sanctions graduelles contre les entreprises en infractions.

Les contrôles assurés par la CNIL

La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité responsable du contrôle du respect par une entreprise des dispositions du RGPD. Sa fonction de contrôleur le contraint à être ferme, vigilant et dissuasif face aux entreprises et sous-traitants contrevenants. Elle a le droit de soumettre des sanctions administratives. Cependant, la CNIL est loin d’être une distributrice de peines. Au contraire, elle mène des actions dont les objectifs sont d’amener les entreprises à se conformer aux directives. Les sanctions à infliger doivent par contre être les mêmes dans toute l’Union Européenne.

Les sanctions prévues par la CNIL

Le paragraphe 2 de l’article 58 du RGPD prévoit des pouvoirs et des sanctions graduelles qui sont mis à la disposition de la CNIL. En effet, toute intervention de la CNIL dépend de la gravité des non-respects des règles du RGPD.

De ce fait, les sanctions sont divisées suivant de nombreuses étapes, à savoir :

• L’avertissement ou la mise en demeure et le rappel des règles de mise en conformité ;
• L’injonction et l’ordre de cessation automatique des violations ;
• La limitation ou la suspension momentanée des traitements ;
• Les sanctions administratives en cas d’inefficacité des injonctions ou de récidive.

Ces sanctions que prévoit le PGPD ne doivent pas être prises à la légère par les entreprises ou organisations. Pour y échapper, contactez l’avocate Aurore Bonavia pour vous aider à mettre en conformité votre entreprise ou votre organisation vis-à-vis du RGPD.

Les différents types de sanctions et d’amandes du RGPD

Les entreprises qui ne respectent pas les normes du RGPD sont soumises à deux types de sanctions que sont les sanctions administratives et les sanctions pénales. Les sanctions administratives se scindent en deux niveaux :

• Une amende de 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour le manquement aux obligations du responsable du traitement et au sous-traitant, à l’organisme de suivi des codes de conduite et à l’organisme de certification ;
• une amende de 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour le non-respect de l’obligation de consentement (obtention du consentement par des moyens détournés) et autres droits des citoyens concernés.

Quant aux sanctions pénales, elles sont régies par l’article 84 du RGPD qui prévoit que les États membres sont en mesure d’infliger des sanctions supplémentaires s’il y a violation des obligations du RGPD. Ces sanctions supplémentaires concernent beaucoup plus les cas de violation que le RGPD ne prévoit pas. Compte tenu de la gravité des charges, les sentences requises vont parfois jusqu’à 5 ans de prison et 300 000 euros d’amende. L’enjeu est de taille, il est donc plus qu’important de prendre toutes les mesures qui s’imposent.

Comment préserver son entreprise grâce aux prestations d’un avocat

En contactant un avocat, ce dernier peut vous aider à établir un audit RGPD de votre entreprise et vous fera des propositions d’actions à mettre en place de manière progressive afin d’être en conformité avec la réglementation. Grâce à un cabinet d’avocat, votre entreprise sera accompagnée dans l’établissement du registre des traitements effectués, tout en sécurisant vos contrats pour la conformité à la réglementation et en formant le personnel de l’entreprise. Et lorsque vous êtes entrepreneur, l’avocat pourrait vous proposer la rédaction de divers documents indispensables pour votre site web. Ces documents sont les suivants :

• Les politiques de confidentialités des données personnelles ;
• La politique de gestion des cookies disponibles sur vos sites ;
• Les mentions d’informations des personnes sur les formulaires de collecte (notamment les fiches de contact) ;
• L’accompagnement pour la rédaction du registre des traitements ;
• La rédaction des clauses nommées « données à caractère personnel » ou « sécurité des données » dans tous les contrats.

Un cabinet d’avocat RGPD anime des ateliers de sensibilisation des entrepreneurs sur l’importance d’être conforme aux directives concernant les données personnelles au sein de votre entreprise, mais aussi, il vous accompagne dans la défense de vos intérêts. En contactant par exemple un cabinet d’avocat spécialisé dans le domaine, vous serez assisté et représenté en cas d’éventuels problèmes de juridictions liés à la protection des données à caractère personnel ainsi que lors des contentieux qui peuvent avoir rapport à n’importe quel domaine du droit et rattachés aux questions concernant les données personnelles. Cela pourrait toucher le droit pénal, les atteintes aux systèmes de traitement automatisé de données, l’usurpation d’identité numérique, et le droit de l’informatique (violation des contrats informatiques) entre autres. Vous pouvez également porter votre confiance en un cabinet d’avocat RGPD pour vous accompagner dans le cadre des contrôles de la CNIL.