Que risque-t-on en cas de non-respect du RGPD ?
En cas de non-respect du RGPD, les contrevenants peuvent être sanctionnés par l’autorité de contrôle de son pays, c’est-à-dire la CNIL pour la France.
La sanction peut être :
- un simple rappel à l’ordre ;
- une obligation de mise en conformité ;
- une obligation de satisfaire aux droits[1] des personnes ;
- une obligation d’avertir les personnes que leurs données ont été compromises ;
- une obligation de suppression des données ;
- le retrait d’une certification ;
- la limitation du traitement, notamment si les données sont envoyées dans un pays tiers ;
- l’arrêt temporaire ou définitif du traitement de données ;
- une amende[2].
« Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes :
a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement ;
b) rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement ;
c) ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du présent règlement ;
d) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé ;
e) ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel ;
f) imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement ;
g) ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement […] ;
h) retirer une certification ou ordonner à l’organisme de certification de retirer une certification délivrée […], ou ordonner à l’organisme de certification de ne pas délivrer de certification […] ;
i) imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas ;
j) ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale. »
Ces sanctions peuvent être complétées par des dispositions spécifiques à chaque pays.
« Chaque État membre peut prévoir, par la loi, que son autorité de contrôle dispose de pouvoirs additionnels à ceux visés aux paragraphes 1, 2 et 3. »
La France a, par exemple, donné le pouvoir à la CNIL d’exiger la mise en conformité d’un traitement avec une astreinte pouvant aller jusqu’à 100 000 € par jour de retard.
« Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du [RGPD] ou de la [Loi informatique et Liberté], [la CNIL] peut également [prononcer] l’une ou de plusieurs des mesures suivantes :
2° Une injonction de mettre en conformité le traitement […], qui peut être assortie […] d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard […] ; »
Ces sanctions sont applicables à toute personne ou organisme traitant des données à caractère personnel. Chaque pays de l’UE peut cependant décider si des amendes peuvent être appliquées, ou non, aux organismes publics. Voir XXX
Notes et références
- ↑Le RGPD donne un certain nombre de droits aux personnes comme le droit d’obtenir une copie des données ou le droit de demander la suppression des données. Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
- ↑Le montant de l’amende dépend des manquements constatés et certains facteurs spécifiques. Voir « Comment est calculé le montant de l’amende en cas de non-respect du RGPD ? ».