Règlement général sur la protection des données – pénalités : à quoi devez-vous vous attendre ?

Le Règlement Général de la Protection des Données (RGPD) est une norme mondiale qui donne aux autorités de protection des données plus de pouvoir pour appliquer la loi qu’elles n’en avaient en vertu de la précédente Directive de Protection des Données (DPD) 95/46/, ainsi que le pouvoir d’imposer des amendes plus importantes. Alors que la DPD ne précisait pas le montant exact des amendes pour les violations de la conformité, l’amende maximale pour les violations du RGPD peut atteindre € 20 millions, ou 4 % du chiffre d’affaires global de l’exercice précédent de l’entreprise. Ces pénalités sont sensiblement plus élevées que celles pour toute autre norme actuelle (p. ex., HIPAA, GLBA ou SOX).

Bien que le RGPD ne soit pas encore entré en vigueur, les entreprises sont déjà confrontées à des problèmes en raison de leur incapacité à démontrer leur conformité avec la norme.

Bien que le RGPD ne soit pas encore entré en vigueur, les entreprises sont déjà confrontées à des problèmes en raison de leur incapacité à démontrer leur conformité à la norme. Parmi les exemples récents il y a Flybe et Honda, qui ont été condamnés par le Bureau du Commissaire à l’Information, pour avoir enfreint les règles concernant les e-mails de marketing. Les deux sociétés ont essayé de respecter le RGPD et d’obtenir le consentement des clients à l’avance, en envoyant des courriels demandant si les gens voulaient recevoir des informations marketing de leur part, mais ce faisant, ils ont violé les Règlementations sur la Vie Privée et la Communication Électronique (PECR) du Royaume-Uni qui interdit de tels emails, sans le consentement correct, parce qu’ils sont considérés être des documents de marketing.
Dans ce blog, Netwrix fournit des réponses aux questions plus fréquentes sur les pénalités du RGPD, pour vous aider à vous familiariser avec la manière dont sont établies les amendes, et quelles exigences imposent les sanctions les plus importantes.

Comment détermine-t-on les amendes ?

Conformément à l’Article 83 du RGPD, les Autorités de Contrôle (SAs), ou toute autorité publique indépendante, chargée de la protection des droits des personnes physiques, sont habilitées à infliger des amendes à toute organisation qui ne peut prouver sa conformité RGPD. Ces amendes doivent être « efficaces, proportionnées et dissuasives ». Il y a plusieurs critères qui aident les SAs à déterminer si un organisme doit payer une amende ou non, et à quel montant elle doit s’élever :

  • Nature de l’infraction Le nombre de personnes affectées et les dommages qu’ils ont subi ; la nature, la gravité et la durée de l’infraction ; et le but du traitement des données.
  • L’intention L’infraction était-elle intentionnelle ou due à la négligence.
  • Atténuation Quelles mesures ont été prises par le responsable du traitement ou l’opérateur pour atténuer les dommages causés aux personnes concernées.
  • Mesures préventives Le degré de responsabilité du contrôleur et de l’opérateur, ainsi que les mesures techniques et organisationnelles, prises par l’entreprise pour éviter la non-conformité.
  • Historique Les infractions antérieures pertinentes du contrôleur ou de l’opérateur
  • Coopération Comment l’entreprise a-t-elle accepté de coopérer avec les SAs pour remédier à l’infraction et en atténuer les effets potentiels ?
  • Type de données Quelles catégories de données à caractère personnel sont affectées par l’infraction ?
  • Avis Le contrôleur ou l’opérateur a-t-il signalé l’infraction proactivement ?
  • Certification L’entreprise avait-elle obtenu les certifications ou adhéré aux codes de conduite approuvés ?
  • Autres — Autres circonstances aggravantes ou atténuantes applicables aux circonstances de l’affaire, par exemple, des avantages financiers acquis ou pertes évitée

Quels sont les niveaux des amendes RGPD ?

L’Article 83 décrit également deux niveaux d’amendes auxquelles les entreprises peuvent être confrontées si elles ne parviennent pas à démontrer leur conformité avec le RGPD. Les niveaux sont basés principalement sur les exigences qui ont été violées.

Niveau Un. À ce niveau, les entreprises sont face à des sanctions pouvant aller jusqu’à 10 millions d’euros, ou 2 % de leur chiffre d’affaires annuel global pour l’exercice précédent. Le niveau un s’applique aux violations des exigences suivantes :

  • Obligations du contrôleur et de l’opérateur — Une des sections plus importantes du RGPD est consacrée aux responsabilités des contrôleurs et des opérateurs de données pour le bon traitement et la protection des informations. Ceci inclut la protection des données par conception et par défaut (Article 25), les règles relatives à la sécurité des traitements (Article 32) et la notification rapide à la SAs d’une violation de données (Article 33) ainsi qu’aux personnes concernées (Article 34). De plus, les contrôleurs ainsi que les opérateurs, sont tenus de réaliser des évaluations de l’impact de la protection des données (Article 35) pour identifier et atténuer les risques associés au traitement des données.
  • Notification de violation de données (Articles 33 et 34) — l’Article 33 du RGPD exige que les contrôleurs de données notifient les autorités de contrôle dans le cas d’une violation de données à caractère personnel, sans retard indu et dans les 72 heures après avoir pris connaissance de la violation de données personnelles, à moins que la violation ne soit pas susceptible de mettre en danger les droits et les libertés des personnes physiques. L’Article 34 porte sur la notification des violations de données à caractère personnel aux personnes concernées, et précise les détails que les entreprises doivent transmettre (y compris la nature de la violation, un point de contact et les conséquences probables).
  • Obligations de l’organe de surveillance (Article 41) — L’Article 41 concerne le suivi des codes de bonne conduite approuvés ; ce suivi doit être effectué par un organisme ayant les compétences requises, et qui est agréé à cet effet par une autorité de surveillance compétente.
  • Obligations de l’organe de certification (Articles 42 et 43) — selon l’Article 42, les autorités de surveillance et les États membres encouragent la mise en place de mécanismes de certification de la protection des données, pour aider les contrôleurs et opérateurs de données à démontrer leur conformité avec le RGPD. Les certifications peuvent être émises par un organisme de certification accrédité ou par le Conseil Européen de Protection des données. L’Article 43 stipule que l’agrément n’est attribué à un organisme de certification que sous certaines conditions, par exemple, si l’organisme démontre son indépendance et ses compétences certaines, ou instaure des procédures pour traiter les plaintes concernant les infractions.

Niveau deux. À ce niveau plus élevé, les amendes sont évaluées pour les infractions plus graves par les contrôleurs et les opérateurs, tels que de la violation de droits, ou les conditions du consentement de la personne concernée. À ce niveau les amendes sont soit 20 millions d’euros soit 4 % du chiffre d’affaires annuel global de la société pour l’exercice financier précédent. Le niveau deux comprend les violations des dispositions suivantes du RGPD :

  • Principes de base du traitement des données — Cela comporte les règles générales du traitement de l’information (Article 5), la légalité du traitement (Article 6), les conditions de consentement (art. 7 et 8) et le traitement de catégories particulières de données sensibles (Articles 9 – 11).
  • Droits des personnes concernées (Articles 12-22) Ces articles définissent les droits multiples des personnes concernées par les données, qui affectent notablement la manière dont les entreprises peuvent stocker et traiter les données à caractère personnel. Par exemple, le droit de confirmation que les données personnelles sont traitées (Article 15), le droit de rectification des données personnelles inexactes (Article 16), le droit d’être oubliés (Article 17), le droit à la restriction de traitement (Article 18), le droit de transmettre facilement les données à d’autres contrôleurs (Article 20), et le droit de s’opposer aux activités de traitement des données (Article 21). 
  • Transferts de données à caractère personnel (art. 44 à 50) Le chapitre 5 régit les transferts de données vers des pays tiers, ou vers des organisations internationales. Cela inclut les principes généraux de transferts de données (Article 44), les transferts ou les divulgations non autorisées par la législation de l’UE (Article 48), et les règles sur la coopération internationale pour la protection des données à caractère personnel (Article 50).
  • Ordonnances des autorités de surveillance — Au final, les entreprises peuvent se trouver face à des amendes de niveau deux si elles ne parviennent pas à se conformer à une ordonnance, rendue par une autorité de surveillance, de limiter ou de suspendre le traitement des données (Article 58).

Y a-t-il une indemnité supplémentaire de compensation pour les personnes concernées ?

Comme prévu par la DPD, le RGPD permet aux personnes concernées de demander en justice des dommages et intérêts aux contrôleurs et aux opérateurs qui ont violé leurs droits. Cela comprend les cas où les entreprises sont responsables d’une violation de données, enfreignent les dispositions RGPD spécifiques à l’opérateur, ou agissent en dehors d’une instruction légale d’un contrôleur (art. 79 et 82).

Résumé

Outre les amendes, les autorités de surveillance disposent d’autres pouvoirs correctionnels en cas de non-respect ; elles peuvent notamment émettre des avertissements et des réprimandes, et — dans les cas extrêmes — interdire à l’entreprise le traitement de données personnelles (Article 58). Donc, les entreprises doivent s’assurer qu’elles ont des politiques et procédures en place, pour assurer le consentement explicite, pour identifier et signaler les violations, et se conformer aux autres dispositions RGPD. Il est prudent de commencer en portant attention aux éléments générant les sanctions les plus élevées, en suivant les règles de base pour le bon traitement de l’information, et en s’assurant qu’elles ne violent pas les droits des personnes concernées.