Le règlement général sur la protection des données personnelles (RGPD) est entré en application le 25 mai 2018. A travers ses chroniques régulières autour du RGPD, Xavier Leclerc fait le point sur les sanctions prévues par la CNIL si l'entreprise n'est pas en conformité avec le règlement.
RGPD : des sanctions en cas de non-respect des normes
Le RGPD prévoit diverses sanctions pour les entreprises qui ne sont pas aux normes. Ces sanctions sont de 2 types et leurs montants sont particulièrement importants, plus pour des raisons dissuasives. Elles ont été conçues de manière à obliger les entreprises à agir avec plus de transparence dans la collecte de données à caractère personnel, mais surtout à les utiliser en respectant les droits et libertés des personnes concernées.
Depuis la mise en application du RGPD le 25 mai 2018, les entreprises et organismes publics qui ne respectent pas les normes en matière de traitement des données peuvent être sanctionnés lourdement.
Parmi les obligations que doivent maintenant respecter les entreprises :
- Optimiser la sécurité des données personnelles ;
- Obtenir le consentement des personnes concernées via un acte positif ;
- Informer les personnes concernées sur les finalités du traitement (principe de transparence, droit à l'information…) ;
- Garantir le respect des droits des personnes par la mise en place de mesures appropriées (droit d'accès, portabilité…) ;
- Tenir un registre des traitements de données ;
- Désigner un DPO (obligatoire dans certains cas) ;
- Réaliser des Analyses d'impact pour les traitements engendrant des risques importants pour les droits et libertés des personnes concernées.
Les pouvoirs de la CNIL : contrôle et sanctions
La CNIL assure des contrôles
La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité qui se charge de contrôler le respect par une organisation des dispositions du RGPD. Son rôle de contrôleur l'oblige à un devoir de vigilance, de dissuasion et de fermeté vis-à-vis des entreprises et des sous-traitants contrevenants. La CNIL a le droit d'imposer des sanctions administratives. Néanmoins, elle n'est pas une distributrice de peine. Ses actions doivent avoir pour but de pousser une organisation à se conformer aux normes, même si aujourd'hui les sanctions doivent être uniformes sur toute l'UE.
Des sanctions graduelles
Les pouvoirs mis à disposition de la CNIL sont prévus par le paragraphe 2 de l'article 58 du RGPD. L'intervention de la CNIL dépend de la gravité du manquement des obligations du RGPD. Ainsi, les sanctions peuvent suivre plusieurs étapes :
- Avertissement ou mise en demeure et rappel des règles de mises en conformité ;
- Injonction, ordre de cessation immédiate des violations ;
- Limitation ou suspension temporaire des traitements ;
- Sanctions administratives en cas d'inefficacité des injonctions ou de récidive.
Les sanctions prévues par le RGPD ne sont pas à prendre à la légère.
Typologie des sanctions et amendes du RGPD
Le RGPD prévoit 2 sanctions pour les organisations qui violent les nouvelles normes :
Des amendes administratives
C'est l'article 83 du RGPD qui prévoit les conditions permettant à la CNIL de prononcer des sanctions administratives à un organisme non conforme. Ces conditions doivent être prises en considération pour prononcer une amende juste, dissuasive et surtout effective.
Ainsi, il existe 2 niveaux de sanctions administratives :
- Une amende de 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour le non-respect des obligations incombant au responsable du traitement et au sous-traitant, à l'organisme de certification et à l'organisme de suivi des codes de conduite;
- Une amende de 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour le non-respect de l'obligation de consentement (obtention du consentement par des moyens détournés) et les autres droits des personnes concernées,
l'obligation de mettre en place des mesures spécifiques en cas de transferts des données dans un pays non européen, des obligations découlant des droits des États membres, des injonctions et autres mesures de remise à l'ordre prononcées par la CNIL.
Des sanctions pénales
L'article 84 du RGPD prévoit que les États membres peuvent mettre en place des sanctions supplémentaires en cas de violation des obligations du RGPD. Ces sanctions supplémentaires portent surtout sur les cas de violation non prévus par le RGPD (des cas qui n'ont pas fait l'objet d'amendes).
Ces sanctions pénales sont décrites dans les articles 226-16 à 226-24 du Code pénal sur « Des atteintes aux droits de la personne résultats des fichiers ou des traitements informatiques ». En fonction de la gravité des infractions, les peines prononcées peuvent aller jusqu'à 5 ans d'emprisonnement et 300 000 euros d'amende.
Quid des victimes ?
Les personnes dont les données personnelles ont été violées sont considérées comme victimes des négligences ou des méfaits des responsables du traitement. Le dommage subit est matériel et moral. Ainsi, la personne concernée victime d'une violation de ses données peut intenter une action contre le responsable du traitement pour l'obtention de dommages et intérêts. Les peines prononcées par l'autorité judiciaire sont considérées comme une sanction supplémentaire aux amendes administratives et aux sanctions pénales.
Beaucoup ne sont pas encore conscients de l'ampleur du RGPD. Et pourtant, sachez que le non-respect des dispositions qu'il prévoit peut avoir des impacts directs sur la réputation de l'organisme fautif le rendant moins compétitif.
Et le risque social dans tout cela ?
Le risque social provient de deux points :
1/ L'entreprise n'informe pas ses collaborateurs sur leurs droits. Elle est donc non conforme (clauses d'informations très rarement présentes dans le contrat de travail ou autre document interne). L'entreprise n'informe pas non plus officiellement les Instances Représentatives du Personnel sur l'existence de traitements portant sur les collaborateurs pouvant être à l'origine de conflits sociaux (exemple : vidéosurveillance sur le lieu de travail ou caméras mal positionnées filmant une personne sur son poste de travail).
2/ Non inscription des traitements dans le registre des activités des traitements (venu remplacer les formalités déclaratives). Un traitement non inscrit au registre n'a pas d'existence légale. Par conséquent, la preuve issue de ce traitement ne peut être retenue en cas de conflit / sanction avec le collaborateur (exemple : une personne refuse de badger alors même que le Règlement Intérieur de son entreprise l'impose. Le collaborateur est sanctionné et saisit la juridiction prud'hommale. Si le traitement de contrôle horaire n'est pas déclaré (aujourd'hui inscrit au registre), il n'a pas d'existence légale, et par conséquent les preuves apportées de non pointage ne pourront être retenues et la sanction sera considérée comme abusive. Le cas échéant le licenciement sera considéré comme sans cause réelle et sérieuse.