Skip to main content

Quelles sont les sanctions en cas de non-conformité au GDPR ?

Si vous lisez ces lignes, vous êtes sans doute au courant du GDPR, la loi pionnière de l'Union européenne qui protège les données personnelles de ses résidents.

Les amendes colossales infligées aux géants de la technologie font presque quotidiennement la une de l'actualité et les 746 millions d'euros infligés à Amazon sont suffisamment importants pour que tout le monde s'y intéresse.

Mais qu'est-ce que cela signifie pour vous ?

Cet article présente le système de sanctions financières établi par le GDPR, et examine également la manière dont ces amendes sont déterminées.

Quelles sont les amendes prévues par le GDPR ?

 

La loi a créé un système à deux niveaux pour les amendes GDPR, en fonction de la gravité de la non-conformité :

  • Jusqu'à 10 millions d'euros, ou 2 % du chiffre d'affaires annuel mondial de l'année précédente - le montant le plus élevé étant retenu.
  • Jusqu'à 20 millions d'euros, ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Il s'agit d'une somme considérable, quelle que soit la manière dont vous la présentez, et ces faits suffisent à inquiéter toute entreprise.

Toutefois, il s'agit là du pire des scénarios et la plus petite amende infligée jusqu'à présent a été de 28 euros, ce qui est un peu plus dérisoire (Privacy Affairs).

Que signifient ces niveaux du GDPR ?

 

Examinons les différences.

Niveau 1 - Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial

Il s'agit du niveau le plus bas pour les infractions moins graves et il est attribué aux entreprises qui violent le GDPR dans les domaines suivants :

Type d'organisation

Chapitre/article pertinent

Détails

Responsables du traitement des données et sous-traitants

Articles 8, 11, 25-39, 42, et 43

Les entreprises doivent respecter les règles en matière de protection des données, de justification légale, etc.

Organismes de certification

Articles 42 et 43

Les organismes accrédités doivent être transparents et impartiaux.

Organismes de contrôle des plaintes et des infractions

Article 41

Ces organismes doivent suivre les procédures établies, et être transparents et impartiaux.

 

Niveau 2 - Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial

Il s'agit du niveau supérieur pour les infractions les plus graves, et il est attribué aux entreprises qui violent le GDPR dans les domaines suivants :

Question

Chapitre/Article pertinent

Détails

Principes de base du traitement des données

Articles 5, 6 et 9

Le traitement doit être effectué de manière licite, loyale et transparente. Les données ne peuvent être traitées qu'à des fins spécifiques et doivent être stockées de manière sûre, précise et actualisée.

Conditions du consentement

Article 7

Les entreprises doivent disposer de la documentation nécessaire pour prouver qu'elles ont obtenu le consentement comme justification des activités de traitement des données.

Droits des personnes concernées

Articles 12 à 22

Les personnes doivent savoir quelles données une entreprise stocke et ce qu'elle en fait. Elles ont également le droit d'exiger ces informations, ainsi que de les corriger, les effacer ou les transférer sur demande.

Transfert de données à une entreprise internationale ou à un pays tiers.

Articles 44-49

Avant de procéder à ce transfert, la CE doit décider que l'entreprise ou le pays de destination respecte les normes de protection des données du GDPR. Les transferts de données doivent également être effectués de manière sécurisée.

Comment sont déterminées les amendes liées au GDPR ?

 

Étant donné que le montant des amendes infligées aux entreprises varie énormément, il serait facile de penser que les autorités chargées de la protection des données (APD) sortent des chiffres au hasard d'un chapeau.

En réalité, les autorités de protection des données se basent sur l'article 83 du GDPR pour déterminer le montant de l'amende. Les facteurs exposés ici comprennent :

  • La nature et l'ampleur de la mal-conformité.
  • les précautions prises par l'entreprise pour limiter les risques
  • si l'entreprise a informé les personnes concernées de ses infractions
  • le type de données personnelles concernées
  • les antécédents de l'entreprise en matière de confidentialité des données
  • Le niveau de conformité de l'entreprise avec son RGPD pendant la période de remédiation.
  • La façon dont l'entreprise a répondu aux avertissements du GDPR
  • L'intention en ce qui concerne l'utilisation abusive des données, et si une négligence a été commise.
  • le degré d'atténuation existant pour limiter les dommages causés aux personnes concernées.

Les amendes GDPR sont le dernier recours

 

L'objectif de ces sanctions financières est de décourager les entreprises d'ignorer les exigences du GDPR en matière de données personnelles - et non de les mettre en liquidation.

Le paiement de ces amendes est toutefois une obligation légale, et les dirigeants d'entreprise qui ne crachent pas le morceau risquent l'emprisonnement.

Cela dit, le GDPR considère les amendes comme un dernier recours et s'efforce de fournir de meilleures directives pour aider les entreprises à assumer leurs responsabilités en matière de protection des données.

Avant d'infliger des amendes, le GDPR émettra des avertissements, des réprimandes et des ordres correctifs. En adhérant à ces exigences, vous devriez être en mesure d'éviter la pire de ces sanctions.

Existe-t-il des sanctions non financières ?

 

Outre les amendes GDPR, une grève de votre autorité de protection des données peut avoir d'autres conséquences.

Tout d'abord, les entreprises perdront beaucoup de confiance de la part des clients. Près de 70 % de tous les internautes mondiaux cherchent désormais de manière proactive des moyens de protéger leur vie privée en ligne(Statista).

Ensuite, il va de soi que les entreprises qui ne respectent pas les mesures d'application du GDPR perdront des marchés, ce qui aura des conséquences sur leur prospérité à long terme.

Et enfin, les entreprises risquent d'être frappées par une interdiction permanente de traiter les données personnelles des résidents de l'UE. Étant donné l'importance d'internet dans le monde moderne, cela pourrait bien les faire disparaître complètement.

Comment éviter les amendes liées au GDPR

 

Les autorités de protection des données sont de plus en plus sophistiquées et elles infligent plus d'amendes que jamais. Cependant, elles sont surchargées de travail et l'application de la loi ne parvient toujours pas à suivre le nombre de nouveaux cas pour le moment.

Le moyen le plus sûr d'éviter les amendes est de se conformer au GDPR.

Compte tenu de la rareté des orientations officielles, nous avons créé un guide qui peut aider les entreprises à se conformer aux exigences du GDPR.

Pourquoi ne pas y jeter un coup d'œil et mettre la machine en route ?