Votre guide rapide des amendes et des sanctions RGPD

Le règlement général sur la protection des donnéesRGPD de l'Union européenne est une nouveauté, et pas seulement en raison de son caractère radical. C'est aussi l'une des premières réglementations en matière de protection de la vie privée à exiger des organisations qu'elles s'y conforment, car elle garantit que le non-respect de la réglementation sera très, très coûteux.

En vertu du RGPD, les autorités nationales ont la possibilité d'imposer des sanctions financières en cas d'infraction au RGPD . Ces amendes s'ajoutent ou remplacent d'autres pouvoirs correctifs. Les amendes les plus élevées peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour les violations les plus graves. Toutefois, même les infractions les moins graves sont coûteuses.

Bien que la mise en conformité avec RGPD soit compliquée et souvent coûteuse, elle est rarement plus onéreuse que les amendes RGPD . Poursuivez votre lecture pour en savoir plus sur le fonctionnement des amendes RGPD et pour savoir si vous risquez de vous voir infliger une pénalité importante.

Quelles sont les sanctions en cas d'infraction au RGPD ?

Le RGPD donne aux autorités nationales le pouvoir d'infliger des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial de l'exercice précédent (le montant le plus élevé étant retenu) pour les violations les plus graves.

Même dans le cas d'infractions dites mineures, les sanctions peuvent être très élevées et atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial (le montant le plus élevé étant retenu).

Il s'agit d'une somme considérable, quelle que soit la taille de l'organisation.

Comment les autorités nationales évaluent-elles les amendes RGPD ?

Les chiffres ci-dessus sont des plafonds qui représentent les amendes maximales. Les autorités nationales des États membres de l'UE sont autorisées à infliger des amendes jusqu'à concurrence de ces plafonds et peuvent faire preuve de discernement dans la fixation des amendes appropriées.

Jusqu'à présent, les autorités ont infligé assez peu d'amendes à sept chiffres. En fait, certaines amendes sont même moins élevées que ne le suggèrent les rapports les plus effrayants. Par exemple, l'Espagne a infligé une amende de 1 500 euros en février 2020 pour une violation de l'article 13.

En mars 2020, les Pays-Bas ont infligé une amende de 525 000 euros à la Royal Dutch Lawn Tennis Association pour avoir vendu les données personnelles de ses membres à des sponsors sans le consentement des personnes concernées.

En janvier 2020, en Autriche, l'État a infligé une autre amende à un restaurant à emporter pour avoir placé une caméra de vidéosurveillance dans une zone couvrant une station-service voisine sans produire l'avis de confidentialité approprié. L'entreprise a été condamnée à une amende de 1 500 euros.

Pour se faire une idée du type d'amendes imposées par les autorités nationales, il est utile de consulter le site web Enforcement Tracker (géré par le cabinet d'avocats CMS), qui contient une liste des sanctions publiées jusqu'à présent par les autorités de contrôle de la protection des données. Cette liste n'est pas exhaustive, car toutes les amendes ne sont pas rendues publiques. Toutefois, elle permet de mieux comprendre le processus de prise de décision.

Quelles sont les plus grosses amendes infligées par RGPD jusqu'à présent ?

Les exemples ci-dessus montrent que les entreprises, quelle que soit leur taille, peuvent être confrontées à une violation du RGPD . Après tout, c'est à l'autorité nationale de protection des données qu'il incombe d'identifier et d'enquêter sur les infractions potentielles, ce qui signifie que l'autorité est plus souple que la Commission européenne ou un autre organisme paneuropéen.

Néanmoins, il est important de ne pas confondre la prévalence de petites amendes avec le potentiel de sanctions dévastatrices. Le risque de ruine financière augmente avec la taille de l'entreprise, et les autorités de régulation n'ont pas hésité à imposer des amendes considérables en cas d'infraction.

Jusqu'à présent, la plus grosse amende RGPD est celle infligée à British Airways (BA). Cette dernière a dû s'acquitter d'une amende de 204,6 millions d'euros à la suite de la violation de données dont elle a été victime en 2018. La violation a touché plus de 500 000 clients, et l'Information Commissioner's Office (ICO) du Royaume-Uni a déterminé qu'elle était le produit de "mauvaises dispositions de sécurité", ce qui explique pourquoi la facture finale était si salée.

Les cinq premières amendes les plus importantes sont les suivantes :

• Marriott International - 110,3 millions d'euros
• Alphabet Inc (Google) - 50 millions d'euros
• Poste autrichienne - 18,5 millions d'euros
• Deutsche Wohnen SE - 14,5 millions d'euros

Il est à noter que ces entreprises collectent d'énormes quantités de données personnelles européennes. Cela montre également que les régulateurs n'ont pas peur de s'attaquer aux grandes organisations, même si celles-ci sont des organismes importants dans leur propre pays.

Les amendes sont-elles toujours nécessaires ?

Toutes les infractions seront-elles sanctionnées par une amende ? Non, toutes les infractions au RGPD ne justifient pas une sanction financière. Au lieu de cela, une autorité de protection des données peut choisir de.. :

• Émettre un avertissement
• Interdire le traitement des données (de façon temporaire ou permanente)
• Demander l'effacement des données
• Suspendre les transferts de données vers des pays tiers

Le fait que l'action soit ou non assortie d'une amende peut également être le résultat d'un certain nombre de facteurs :

• Le type d'infraction
• La gravité de l'infraction
• Mesures d'atténuation
• Mesures préventives
• La coopération
• Certifications
• Type de données
• Intentions
• Infractions précédentes

Toutefois, l'autorité chargée de la protection des données est toujours libre d'en décider.

Comment éviter les amendes et pénalités RGPD

Pour éviter les amendes liées RGPD , chaque entreprise doit (1) savoir si elle est concernée par le règlement et (2) connaître ses responsabilités.

Si votre entreprise traite les données de personnes en Europe, il est très probable que vous deviez vous conformer au règlement. Si vous choisissez de ne pas vous y conformer (par erreur ou délibérément), vous risquez des amendes. Le seul moyen d'éviter les amendes est de bloquer votre site dans l'Union européenne et de renoncer à toutes les données personnelles européennes.

Pour la plupart des entreprises, il est tout simplement hors de question de perdre l'accès à un marché de 512,4 millions de personnes. Par conséquent, la conformité est la seule façon d'aller de l'avant.

Que doit faire votre entreprise ?

La mise en conformité est un processus relativement compliqué, car le RGPD concerne tous les aspects du traitement des données. Il commence avant la collecte des données et se poursuit jusqu'à leur effacement.

Bien que le RGPD ne soit pas normatif, il fournit sept principes qui éclairent la voie à suivre.

Les sept principes de protection des données sont les suivants

1. Légalité, équité et transparence
2. Limitation de l'objet
3. Minimisation des données
4. Précision des données
5. Limites de stockage des données
6. Sécurité, intégrité et confidentialité
7. Responsabilité

Ces principes sont mis en exergue dans l'article 5 du RGPD.

Qu'est-ce que cela signifie ?

Cela signifie que vous ne devez collecter et traiter des données que si vous disposez d'une base juridique pour le faire et si vous informez correctement les personnes de la manière dont vous le ferez. Les principes stipulent également que vous devez éviter de collecter des données dont vous n'avez pas besoin ou que vous n'utilisez pas. Il est également important de veiller à ce que toutes les données que vous stockez soient exactes et de fixer des limites à la durée de conservation des données.

Il s'agit là d'efforts politiques, mais aussi d'investissements.

Les pratiques de sécurité sont essentielles pour éviter les amendes liées RGPD . Le règlement exige que vous signaliez les violations aux autorités compétentes en matière de protection des données dès que la violation dépasse un certain seuil. Au minimum, vous devez avoir des pratiques de sécurité adéquates, un stockage sécurisé et ne partager les données qu'avec des pays qui répondent aux exigences de l'UE en matière de sécurité.

N'oubliez pas l'élément humain

L'élément humain du RGPD est presque oublié avec toutes les préoccupations concernant les protections de sécurité et les mécanismes de consentement. Mais chaque élément du RGPD est important, et il est donc important de s'assurer que vos équipes comprennent les bons membres et qu'ils sont formés à un niveau minimum.

Tout d'abord, le règlement exige que toute personne travaillant avec des données personnelles comprenne son rôle en matière de protection de la vie privée. Encore une fois, le RGPD ne fournit pas d'exigences spécifiques, il appartient donc à chaque organisation de s'assurer qu'elle répond aux exigences. La formation peut se faire par le biais de cours de formation prêts à l'emploi ou par un changement de culture personnalisé.

Mais votre organisation n'est pas conforme au RGPD tant que la formation n'a pas eu lieu (et n'a pas été documentée).

Le RGPD exige également la nomination de plusieurs nouveaux postes. Deux d'entre elles sont le délégué à la protection des données (DPD) et, pour les entreprises basées en dehors de l'Europe, le représentant de l'UE pour RGPD . Il s'agit de deux postes distincts, et toutes les entreprises n'auront pas besoin de nommer les deux.

Toutefois, si vous ne désignez pas et ne communiquez pas les coordonnées de votre DPD ou de votre représentant de l'UE, vous risquez de vous voir infliger des amendes. Il est donc important de comprendre rapidement vos obligations.

Si vous avez besoin d'un DPD ou d'un représentant du RGPD 'UE et que vous n'en avez pas, vous avez enfreint le RGPD et vous risquez des amendes.

Coûts de mise en conformité inférieurs aux pénalités prévues RGPD

Le RGPD concerne presque toutes les organisations qui collectent et traitent les données des individus en Europe. Il vise à garantir que les entreprises agissent de manière transparente et soient tenues pour responsables.

Les autorités nationales chargées de la protection des données ont la possibilité d'infliger des amendes à ceux qui enfreignent le RGPD, que ce soit délibérément ou accidentellement. Ces amendes peuvent atteindre neuf chiffres pour les grandes entreprises, et les autorités continuent de démontrer qu'elles n'ont pas peur d'infliger des amendes faramineuses.

Si votre organisation relève du RGPD, deux choix s'offrent à vous : vous conformer ou vous assurer que vous ne collectez pas les données des individus en Europe. En effet, que vous soyez une entreprise technologique internationale ou une petite start-up, le RGPD peut s'appliquer à vous.

Avez-vous l'obligation de vous conformer au RGPD? Faites notre évaluation gratuite pour savoir si vous avez besoin d'un représentant de l'UE.