En cas de non-respect du RGPD1, les contrevenants peuvent être sanctionnés par l’autorité de contrôle, c’est-à-dire la CNIL2 pour la France.

La sanction peut être :

  • un simple rappel à l’ordre ;
  • une obligation de se mettre en conformité avec une astreinte maximale de 100 000 € par jour de retard ;
  • une amende, d’un montant maximum de 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus important étant pris en compte.
  • l’arrêt temporaire ou définitif du traitement.

« Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du [RGPD] ou de la [Loi informatique et Liberté], le président de la [CNIL] peut également [prononcer] l’une ou de plusieurs des mesures suivantes :
1° Un rappel à l’ordre ;
2° Une injonction de mettre en conformité le traitement […], qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’Etat, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard […] ;
3° A l’exception des traitements […] de l’Etat, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation accordée […] ;
4° Le retrait d’une certification […] ;
5° A l’exception des traitements […] de l’Etat, la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;
6° La suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes ;
7° A l’exception des cas où le traitement est mis en œuvre par l’Etat, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du [RGPD], ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. »

L’État et les organismes publics ont cependant un traitement privilégié. Ils ne peuvent, par exemple, pas être contraints d’arrêter un traitement jugé contraire au RGPD et ne peuvent pas faire l’objet d’une amende.

Pour toutes les autres personnes et entreprises privées, le montant de l’éventuelle amende dépend :

  • de la nature, la gravité et de la durée des manquements ;
  • du caractère intentionnel ;
  • des mesures prises pour atténuer les potentiels dommages ;
  • des infractions passées ;
  • des types de données concernés ;
  • de la façon dont l’autorité de contrôle a appris le manquement.

« Pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ;
b) le fait que la violation a été commise délibérément ou par négligence ;
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;
d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32 ;
e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;
f) le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs ;
g) les catégories de données à caractère personnel concernées par la violation ;
h) la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;
i) lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;
j) l’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42 ;
k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation. »

— RPGD, article 83-2, conditions générales pour imposer des amendes administratives

Dans tous les cas, les amendes sont significatives, car elles doivent être « effectives, proportionnées et dissuasives ».

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).