Que vous soyez responsable de traitement ou sous-traitant, vous risquez des sanctions RGPD auprès de la CNIL, pour votre manque de connaissances de dispositions RGPD. En effet, en cas de contrôle ou de plaintes, la CNIL pourrait vous mettre une amende RGPD allant jusqu’à des millions d’euros.
Ça pourrait également être en fonction de la taille de votre entreprise, de telle sorte que vous paierez une amende de 4% de votre chiffre d’affaires annuel. Pire que ça, les sanctions peuvent être rendues publiques ! L’impact sur l’image peut-être alors très important. Plusieurs Startup ont été très impactées, comme Nestor.
Depuis son entrée en vigueur en 2018, le RGPD a prévu des sanctions ainsi que des mesures que les organismes, publics et privés, doivent mettre en place afin d’être en conformité à cette nouvelle réglementation, qui concerne le traitement des données personnelles.
Dans le cas contraire, beaucoup d’entreprises françaises et multinationales ont dues payer des amendes auprès de la CNIL, allant jusqu’à des centaines de millions d’euros.
Avant de parler des sanctions RGPD, il faut souligner que l’un des points clés d’un organisme, peu importe sa taille, est sa mise en conformité RGPD. Au-delà des sanctions RGPD qu’il risque, un organisme qui n’est pas conforme, est avant tout exposé à des risques qui touchent principalement à son Business. Aujourd’hui, les entreprises sont de plus en plus averties quand il s’agit du RGPD.
Par ailleurs, la CNIL exige aux entreprises de ne travailler qu’avec des organismes conformes. Des organismes qui sont capables de protéger les données personnelles qu’elles traitent. Il s’agit d’un sujet tellement sensible, que si vous travaillez avec un prestataire qui n’est pas conforme, vous ne pourrez rien faire en cas de perte de données à caractère personnel. Cela va, tout simplement, être dû à votre manque de vigilance lors de la signature du contrat.
A retenir : Certes, le risque d’être contrôlée par la CNIL ou d’avoir des plaintes de la part de ses clients et employés est assez dépendant de votre activité. Mais vous êtes avant tout exposé à des risques de business, dans la mesure où la transformation des leads en clients, ne sera pas une tâche facile.
Pour éviter de payer des sanctions RGPD auprès de la CNIL, les point à mettre en conformité RGPD ne sont pas aussi nombreux qu’il y parait. Pour être conforme, le RGPD exige de mettre en place et de tenir certains documents, ainsi que de respecter certaines conditions.
A ce sujet, le RGPD comprend différents éléments clés comme les pratiques RH, la prospection commerciale, la sensibilisation des employés…
D’abord, en ce qui concerne la sensibilisation des employés aux bonnes pratiques RGPD, il faut savoir que vous ne pouvez pas contrôler tous vos employés. En revanche, vous pouvez choisir de les sensibiliser. Pour ce faire, partagez notre article sur les bonnes pratiques RGPD avec eux. Vous leur faciliterez la vie !
Ensuite, un deuxième point pour être conforme concerne les règles RGPD en relation avec les ressources humaines. Le sujet est tellement sensible que les entreprises reçoivent de plus en plus de plaintes de la part de leurs employés. Raison de plus que le RGPD exige de mettre en place une politique de confidentialité, qui consiste à informer les employés des traitements réalisés, ainsi que de leurs droits. Vous l’avez compris, le volet information des employés est clé.
Le respect des consentements est également un point qu’il ne faut pas oublier. Selon la CNIL, en B to B, la seule condition exigée est de mettre un bouton de désabonnement permettant à la personne contactée de s’y opposer. En revanche, en B to C, le consentement doit impérativement être demandé avant même de passer à l’acte de prospection proprement dit. Le consentement doit être clair, libre et compréhensible.
Pour plus de détails concernant ce point, vous pouvez également consulter notre article qui parle des 11 astuces pour mieux prospecter commercialement en respectant le RGPD.
Dernièrement, il ne faut pas oublier que le respect des durées de conservation doit, impérativement, être pris en considération. Autrement dit, pour être conforme, la CNIL a défini des durées que tout organisme qui traite des données personnelles ne doit pas dépasser, quant à la conservation de celles-ci. Là encore, si vous voulez aller plus loin, notre article sur les Durées de conservation vous permettra de comprendre mieux le sujet.
Pour plus de détails concernant l’un de ces sujets (ou tous), vous pouvez prendre un RDV avec l’un de nos experts. C’est gratuit ! 😊
En fonction de ce qu’il n’a pas respecté en termes de RGPD, tout organisme contrevenant à ces règles va être exposé à des sanctions de diverses natures, à savoir : administratives, pénales, correctrices et versement de dommages.
Le RGPD a prévu des mesures correctives, quand il s’agit de sanctions administratives. C’est l’article 58 du RGPD qui prévoit ce type de sanctions, et offre le pouvoir aux autorités de contrôle de prononcer des mesures correctives. Ces mesures peuvent être prises avant même les amandes ne soient prononcées et ce, en complément des sanctions administratives. Ça peut donc être un avertissement ou une mise en demeure de l’organisme contrevenant aux règles imposés par le RGPD, comme ça peut être une suspension temporaire des traitements de données à caractère personnel.
L’article 84 du RGPD prévoit des sanctions supplémentaires s’il y avait eu violation du RGPD. En France, en cas de détournement de la finalité lors du traitement des données personnelles, l’article 226-21 du code pénal prévoit une sanction rgpd qui peut aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.
En plus de ces sanctions, la violation du RGPD peut impliquer d’autres conséquences telles que :
Face aux plaintes qui ne cessent d’augmenter au jour le jour, la CNIL a choisi d’adopter une nouvelle procédure plus simple, quand il s’agit de dossiers peu complexes. Alors même que le nombre de mesures correctives que la CNIL a prononcées dépasse la centaine en 2021 (18 sanctions et 135 mises en demeure), le nombre de plaintes continu d’augmenter (14 000 plaintes en 2021).
Il va sans dire que les dossiers étudiés par la CNIL sont aussi nombreux que variés. Quand on parle de variété, on parle de gravité, des technologies, des différentes questions juridiques, ainsi que de l’impact sur les personnes, que ce soit moral ou matériel.
Dorénavant, la présidente de la CNIL, Marie-Laure Denis, pourrait suivre une procédure de sanction rgpd considérée comme étant simplifiée. La seule différence entre les deux procédures ordinaire et simplifiée, c’est que les modalités de cette dernière sont plus allégées que la première.
En effet, pour prononcer une sanction rgpd simplifiée, il faut suivre les mêmes étapes que quand il s’agit de la procédure ordinaire. Par contre, aucune séance publique ne sera prévue, sauf si l’entreprise contrevenant aux règles imposés par le RGPD demande à être entendue.
Comme son nom l’indique, la Commission Nationale de l’Informatique et des Libertés est le régulateur des données personnelles. C’est une autorité administrative chargée de contrôler tout organisme susceptible de traiter des données à caractère personnel. Que vous soyez responsable de traitement ou sous-traitant, notez que, dés lors que vous commencez à collecter et à traiter des données personnelles, vous êtes concernés par un contrôle de la part de la CNIL, et donc susceptibles d’avoir une amande RGPD.
Par ailleurs, le Règlement Général sur la Protection des Données donne le pouvoir au régulateur de données personnelles de faire des contrôles auprès des organismes sous-traitants qui ont comme mission de traiter des données pour le compte d’un responsable de traitement. Celui-ci peut être lui aussi exposé à payer une amende RGPD. On peut citer à titre d’exemple le cas d’une maintenance ou d’un hébergement pour un organisme tiers.
Etant donné son pouvoir de faire des vérifications auprès des entreprises qui traitent des données, la CNIL a par ailleurs, le pouvoir de procéder à des contrôles dans le cadre des activités exercées par un organisme sur le territoire français et ce, que le traitement a été effectué ou non en France. En cas de non respect du règlement, cet organisme peut donc avoir une amende RGPD.
De plus, et dans le cadre du RGPD, le régulateur de données personnelles a aussi le pouvoir de procéder à des contrôles, dés lors que le traitement touche essentiellement à des personnes résidant en France. Un contrôle qui concerne tous les organismes, peu importe leur taille, qu’ils soient ou non situées en France.
L’autorité administrative peut, d’ailleurs exercer ses missions dans le cadre d’une coopération avec d’autres autorités de protection de données à caractère personnel, au cas où l’organisme dispose de différents établissements dans l’Union Européenne.
Il va sans dire que les sanctions RGPD les plus marquantes sont celles qui ont été prononcées contre les grands organismes et établissements, pour leurs montants qui s’élèvent à des milliers, voire des millions d’euros. Voici donc quelques exemples de celles-ci.
Amendes prononcées par la CNIL :
Etant spécialisée dans la reconnaissance faciale, Clearview propose un logiciel de recherche de visages dans une base de plus de 20 milliards d’images. En revanche, il s’agit d’une méthode qui ne respecte pas le RGPD de telle sorte que la société des données de n’importe quel site internet.
Problèmes :
Manquements observés :
En plus de recevoir une amende, l’information a été rendue publique par la CNIL.
Manquements observés :
Manquements observés :
Amendes rgpd prononcées par la Commission irlandaise de protection des données (DPC) :
Meta : 275 Millions d’euros, le 28 novembre 2022
WhatsApp : 225 millions d’euros , le 2 septembre 2021
Amende rgpd prononcée par le Comité européen pour la protection des données :
Instagram : 405 millions d’euros, le 15 septembre 2022
Vous pouvez consulter le GDPR Enforcement Tracker, un aperçu de toutes les amendes et sanctions RGPD qui ont été prononcées par les autorités de protection de données à caractère personnel. Etant toute amende RGPD ne peut être rendue publique, il s’agit d’une liste qui ne peut être complète. Cependant, cette liste est maintenue à jour et ce, en répertoriant toute nouvelle amende rgpd prononcée par l’une des autorités de contrôle de données personnelles.
Ou appelez nous directement au 01 59 06 81 85
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.
Ou appelez nous directement au 01 59 06 81 85
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.
01 59 06 81 85
contact@dipeeo.com
4 boulevard de Montmartre –
75009 Paris
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.