Protection des données (RGPD) : soyez conformes ou préparez votre trésorerie

Toutes les entreprises qui traitent des données personnelles devraient être sur le pied de guerre pour se mettre en conformité avec le RGPD (Règlement général pour la protection des données).

Ce Règlement européen entrera en vigueur le 25 mai 2018 et nos députés ont commencé à discuter de l’adaptation du droit français à ces nouvelles dispositions.

L’adaptation, dans les temps, des entreprises françaises est un enjeu capital car les amendes encourues sont loin d’être anodines.

RGPD : oubliez l’amende plafonnée à 3 millions d’euros

Gardons en mémoire les anciennes amendes que pouvait infliger la CNIL aux entreprises qui ne respectaient pas les obligations prévues par la loi. Longtemps, ces amendes ont été limitées à 150 000 euros pour le premier manquement, puis 300 000 euros à partir du second manquement. Puis la loi pour une République numérique du 7 octobre 2016, à son article 65, est venue augmenter ce plafond pour le faire passer à 3 millions d’euros.

Cependant, les plus grosses firmes du monde n’ont que faire d’une amende aussi faible… or ce sont elles qui sont les plus susceptibles de traiter massivement des données personnelles. Le RGPD a donc été pensé pour être dissuasif à l’égard de toutes les entreprises. A partir du 25 mai 2018, la CNIL pourra infliger des amendes de deux natures aux entreprises.

La première amende, limitée à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial

Le premier plafond fixé par le RGPD est soit de 10 millions d’euros, soit de 2% du chiffre d’affaires annuel mondial total de l’exercice précédent. Le texte indique que c’est le plus élevé des deux montants qui doit être retenu par les autorités pour fixer le plafond de l’amende.

De quoi pénaliser à la fois les petites entreprises et, pour être clair, les GAFAM (Google, Apple, Facebook, Amazon, Microsoft).

Cette amende pèse sur tous les acteurs, privés ou non, qui contreviennent aux règles de protection des données prévues par le RGPD. Le texte du Règlement donne d’ailleurs une liste de toutes les obligations qui incombent au responsable de traitement et à son sous-traitant dont la violation peut entrainer cette sanction.

 

La seconde amende, limitée à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial

Le second plafond fixé par le RGPD est soit de 20 millions d’euros, soit de 4% du chiffre d’affaires annuel mondial total de l’exercice précédent. Comme dans le cas de la première amende, c’est le montant le plus élevé des deux qui est retenu pour fixer le plafond.

Cette amende, deux fois plus lourde que la précédente, peut être infligée en cas de manquement aux principes de base d’un traitement, en cas de violation des droits bon bénéficient les personnes, en cas de transfert de données personnelles vers certains pays tiers ou certaines organisations internationales, ou encore en cas de non-respect d’une injonction émise par la CNIL.

Dans un avis rendu à la fin 2017, la CNIL s’est déjà dite préoccupée par le retard pris par les entreprises françaises dans l’adaptation au RGPD.

Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu :
a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43 ;
b) les obligations incombant à l’organisme de certification en vertu des articles 42 et 43 ;
c) les obligations incombant à l’organisme chargé du suivi des codes de conduite en vertu de l’article 41, paragraphe 4.
 
 
Les violations des dispositions
suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu :
a) les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9 ;
b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22 ;
c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49 ;
d) toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX ;
e) le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, ou le fait de ne pas accorder l’accès prévu,
en violation de l’article 58, paragraphe 1.
mm
A propos Leo Guittet 148 Articles
Juriste spécialisé dans les données de santé à Tripalio depuis 2014, j'écris quotidiennement des articles sur le thème de la protection sociale collective et des données de santé. Actuellement en thèse CIFRE sur le sujet de l'accès aux données de santé en France, je suis intéressé par tous les sujets qui touchent aux avancées technologiques et juridiques sur ce thème.

5 Trackbacks & Pingbacks

  1. Protection des données (RGPD) : soyez conformes ou préparez … – Sécurité RGPD ✅ Informatique tarbes & audit: ✅ contact 06.17.29.87.07 ✅ Audit sécurité Informatique hautes -pyrenees tarbes -pau-auch-pyrenees-gascogne ✅
  2. RGPD : la CNIL veut rassurer les PME, mais s'inquiète de ses moyens – Sécurité RGPD ✅ Informatique tarbes & audit: ✅ contact 06.17.29.87.07 ✅ Audit sécurité Informatique hautes -pyrenees tarbes -pau-auch-pyrenees-gascogne ✅
  3. RGPD : les petites entreprises auraient-elles un peu de répit ? - Décider et Entreprendre
  4. Protection des données personnelles (RGPD) : ce que les services RH doivent anticiper - Décider et Entreprendre
  5. Le Site InfoGreffe laisse fuiter les données personnelles de tous ses clients ! - Décider et Entreprendre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Lire les articles précédents :
Chômage
Vers des règles fiscales plus lisibles et prévisibles pour les ménages ?

Après être revenu sur le rapport rendu par la Conseil des prélèvements obligatoires (CPO) sur la fiscalité des français, Décider...

Fermer