Depuis le 25 mai 2018, tous les organismes traitant des données à caractère personnelle sont tenus d'être en conformité avec Règlement Général sur la Protection des Données (RGPD).
Les autorités de contrôle de chaque État membre ont le pouvoir de sanctionner tous les organismes traitant les données personnelles qui ne respectent pas leurs obligations.
Les sanctions s'appliquent à toutes les entreprises quels que soient leur taille et leur secteur d'activité. En cas de non-conformité au RGPD, la Commission nationale de l'informatique et des libertés (CNIL) peut :
- prendre des mesures correctrices, comme un avertissement ou une injonction de mise en conformité (1). A titre d'exemple, la formation restreinte de la CNIL a rendu une décision le 12 janvier 2021 à l'encontre du ministère de l'Intérieur concernant l'utilisation par les forces de police et de gendarmerie nationale de drones équipés d'une caméra afin de veiller au respect des mesures de confinement prises par le gouvernement. Suite à sa délibération, la CNIL a pris des mesures correctrices de rappel à l'ordre et d'injonction à l'encontre du ministère de l'Intérieur. Elle a soulevé l'illicéité du traitement en raison de l'absence de cadre normatif autorisant la mise en œuvre de traitement de données personnelles relevant des caméras de surveillance. Elle note également l'absence d'étude d'impacts relative à la protection des données à caractère personnel et du défaut d'information des personnes concernées (2).
- prononcer des sanctions pouvant atteindre 20 millions d'euros pour les infractions les plus graves, ou bien 4% du chiffre d'affaires annuel mondial total portant sur l'exercice précédent, contre une amende de 150 000 euros jusqu'en 2018 (3).
À noter : Les personnes dont les données personnelles ont été violées sont considérées comme victimes des négligences de la part des responsables du traitement concernés. Le dommage subi peut être matériel et/ou moral. Toute personne concernée par un manquement peut intenter une action en justice devant les tribunaux civils dont elle relève afin d'obtenir la condamnation de l'entreprise et le versement de dommages-intérêts.
Bon à savoir : Les sanctions administratives ne se substituent pas aux sanctions pénales. Le RGPD permet aux États membres d'édicter des sanctions supplémentaires en matière pénale (4).
Ce que pensent nos clients :
Francis M.
le 28/01/2020
Rapidité, document bien rédigé (rgpd)
PIERRE P.
le 24/01/2020
Rapidité
Miguel R.
le 19/07/2024
De très bon conseil