La CNIL ne perçoit pas le montant des amendes, il est versé au budget général de l'État. Un titre de paiement est adressé à l'organisme concerné qui paye directement l'amende au ministère de l'économie et des Finances.
Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise jusqu'à 4 % du chiffre d'affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
A peine 20 mois après son entrée en vigueur, les Autorités de Contrôle européennes ont imposé 179 amendes pour un total de 143.250.090 euros.
Toute personne physique peut accéder aux données qui la concernent (article 15 du RGPD). La CNIL rappelle les règles à suivre pour répondre correctement à ces demandes. La loi Informatique et Libertés permet à toute personne d'accéder aux données qui la concernent.
Toute personne physique justifiant de son identité peut exercer son droit d'accès par simple la demande au un responsable de traitement d'un organisme privé ou public d'accéder aux données qui la concernent (article 12 du Règlement européen sur la protection des données personnelles).
Le RGPD est obligatoire dans l'ensemble des 28 états membres depuis le 25 mai 2018. Tous les acteurs ayant recours à des données personnelles doivent se conformer à ce règlement européen.
En 3 points, l'objectif du RGPD (règlement général sur la protection des données) c'est : Une protection des données à caractère personnel similaire entre les habitants des l'UE ; Un cadre légal sur le traitement de données personnelles simplifié et allégé ; Une responsabilité accrue de la part des entreprises.
Pourquoi le RGPD a-t'il été mis en place ? Cette nouvelle norme à plusieurs objectifs : Consolider les droits des personnes, via des mesures comme le droit à l'oubli ou la portabilité des données à caractère personnel. Faire en sorte que les acteurs en charge du traitement des données personnelles soient ...
Le budget de la CNIL relève du budget de l'État. Le président de la CNIL recrute librement ses collaborateurs, qui ont le statut d'agent contractuel. Il est inscrit au programme budgétaire 08 "Protection des droits et libertés" rattaché aux Services du Premier ministre.
À l'issue de contrôles ou de plaintes ou en cas de manquements au RGPD ou à la loi Informatique et Libertés, la formation restreinte de la CNIL peut prononcer des sanctions à l'égard des responsables de traitement et des sous-traitants.
Les sanctions ne peuvent pas être rendues publiques et sont limitées (rappel à l'ordre, amende d'un montant maximum de 20 000 euros, injonction avec astreinte plafonnée à 100 euros par jour de retard).
Quand le règlement ne s'applique pas
Ses clients peuvent utiliser ses services lorsqu'ils voyagent dans d'autres pays, y compris au sein de l'UE. À condition que votre entreprise n'adresse pas spécifiquement ses services aux personnes établies au sein de l'UE, elle n'est pas soumise aux règles du RGPD.
Les traitements non concernés par le RGPD
Les traitements sur des données à caractère personnel d'individus ne résidant pas dans l'union européenne ou n'ayant pas la citoyenneté européenne ne sont pas concernés par le RGPD.
La démarche de conformité RGPD ne doit pas être perçue que comme une contrainte technique ou juridique. C'est avant tout l'occasion de faire le point sur l'utilisation des services numériques dans la collectivité et de s'assurer que la protection des données personnelles a bien été prise en compte.
Ce nouveau règlement européen s'inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l'utilisation qui peut être faite des données les concernant. Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels.
Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données : droit d'accès, de rectification, d'opposition, d'effacement, à la portabilité et à la limitation du traitement. Vous devez leur donner les moyens d'exercer effectivement leurs droits.
De nouveaux outils de conformité :
la tenue d'un registre des traitements mis en œuvre. la notification de failles de sécurité (aux autorités et personnes concernées) la certification de traitements. l'adhésion à des codes de conduites.
Le délégué est chargé de piloter la conformité au règlement européen sur la protection des données au sein de l'organisme qui l'a désigné, s'agissant de l'ensemble des traitements mis en œuvre par cet organisme. Sa désignation est obligatoire dans certains cas.
Toute personne gère ainsi ses propres données de manière autonome et responsable, tandis que les entreprises doivent s'y adapter.
Il doit également le notifier à la Cnil : Cnil : Commission nationale de l'informatique et des libertés dans les 72 heures. Tel est le cas d'une banque, victime d'une intrusion dans son système informatique client. Elle doit informer ces derniers que des tiers ont pu accéder à leurs données personnelles.
Toute personne a le droit de recevoir les données qui la concerne et qu'elle a fournies à un responsable de traitement, de les réutiliser, et de les transmettre à un autre responsable de traitement (article 20 du RGPD).
Le Cloud Computing est basé avant tout sur Internet. Les données sont stockées dans des serveurs physiques plus ou moins éloignés des clients. Un Data Center peut être localisé à l'étranger.
Les données relatives à l'identité (nom, prénom, adresse, photo, date et lieu de naissance, etc.) Les données relatives à la vie personnelle (habitudes de vie, de consommation, loisirs, situation familiale, etc.) Les données relatives à la vie professionnelle (CV, diplômes, formation, fonction, lieu de travail, etc.)