Que risque-t-on en cas de non-respect du RGPD ?

En cas de non-respect du RGPD, les contrevenants peuvent être sanctionnés par l’autorité de contrôle de son pays, c’est-à-dire la CNIL pour la France.

La sanction peut être :

• un simple rappel à l’ordre ;
• une obligation de mise en conformité ;
• une obligation de satisfaire aux droits^[1] des personnes ;
• une obligation d’avertir les personnes que leurs données ont été compromises ;
• une obligation de suppression des données ;
• le retrait d’une certification ;
• la limitation du traitement, notamment si les données sont envoyées dans un pays tiers ;
• l’arrêt temporaire ou définitif du traitement de données ;
• une amende^[2].

« Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes :
a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement ;
b) rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement ;
c) ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du présent règlement ;
d) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé ;
e) ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel ;
f) imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement ;
g) ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement […] ;
h) retirer une certification ou ordonner à l’organisme de certification de retirer une certification délivrée […], ou ordonner à l’organisme de certification de ne pas délivrer de certification […] ;
i) imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas ;
j) ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale. »

Ces sanctions peuvent être complétées par des dispositions spécifiques à chaque pays.

« Chaque État membre peut prévoir, par la loi, que son autorité de contrôle dispose de pouvoirs additionnels à ceux visés aux paragraphes 1, 2 et 3. »

La France a, par exemple, donné le pouvoir à la CNIL d’exiger la mise en conformité d’un traitement avec une astreinte pouvant aller jusqu’à 100 000 € par jour de retard.

« Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du [RGPD] ou de la [Loi informatique et Liberté], [la CNIL] peut également [prononcer] l’une ou de plusieurs des mesures suivantes :
2° Une injonction de mettre en conformité le traitement […], qui peut être assortie […] d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard […] ; »

Ces sanctions sont applicables à toute personne ou organisme traitant des données à caractère personnel. Chaque pays de l’UE peut cependant décider si des amendes peuvent être appliquées, ou non, aux organismes publics. Voir XXX