Depuis le mois de mai 2018, le Règlement Général sur la Protection des Données (RGPD) impose aux entreprises de communiquer de façon claire et transparente avec leurs visiteurs et clients au sujet de la collecte de leurs données. En cas de non-respect de ses exigences, des sanctions RGPD sont prévues de manière graduée : après une mise en demeure, des amendes administratives proportionnées et dissuasives puis des sanctions pénales. Sans oublier d’éventuelles conséquences fâcheuses pour l’entreprise contrevenante…
Chaque pays de l’Union européenne a désigné une autorité de contrôle pour vérifier l’application de la RGPD sur son territoire : en France, il s’agit de la CNIL.
Que ce soit par le biais d’un contrôle spontané ou suite à une plainte, elle mène une enquête minutieuse (audit sur pièce, production de documents, témoignages…) à l’issue de laquelle, elle peut mettre en demeure l’entreprise et lui ordonner une rapide mise en conformité, sous peine de sanctions RGPD plus conséquentes…
Légalement, le délai de réponse est fixé entre 10 jours et 6 mois, renouvelable une fois. Mais, en cas d’urgence, il peut être réduit à 24 h. À l’issue de la période, un courrier de clôture est adressé à l’entreprise si les modifications sont correctement opérées. À défaut, la société pourra recevoir une demande de compléments ou être engagée dans une procédure de sanction RGPD, si sa réponse n’est pas satisfaisante ou si elle ne répond pas à la mise en demeure dans le délai indiqué.
Après cette mesure corrective, la CNIL peut infliger une sanction RGPD : concrètement, il s’agit d’une amende dont le montant dépend de plusieurs critères (nombre de personnes concernées, durée de l’infraction, degré de connaissance de l’infraction, collaboration avec la CNIL et la sensibilité des données).
Dans les cas les plus graves, cette sanction RGPD peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise. En France, la CNIL a déjà puni la société Monsanto pour un montant de 400 000 € au titre de défaut d’information des personnes. Mais des entreprises de plus petites tailles sont également concernées par ces amendes – à l’image de 2 médecins, punis de 3 000 € et 6 000 € pour une mauvaise sécurisation des données et l’absence de notification d’une violation des données à la CNIL.
Avec son article 84, le règlement prévoit des sanctions RGPD supplémentaires, pour les violations ne faisant pas l’objet d’amendes administratives, comme en cas de détournement de la finalité au moment du traitement des données personnelles. L’entreprise contrevenante risque alors jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende.
Parallèlement, si une personne s’estime lésée par l’infraction de l’entreprise, elle peut demander réparation devant les tribunaux et obtenir des dommages et intérêts – et cela indépendamment de toute sanction RGPD administrative et/ou pénale.
Une telle publicité peut nuire à l’image et à la réputation d’une société (et potentiellement, l’entraîner vers une perte substantielle de revenus). Pour s’en prémunir, mieux vaut veiller à sa conformité RGPD, avec l’aide d’outils efficaces, tels que notre assistant Comkey.
Sources Datalegaldrive.com et Legalplace.fr
