Concernant la procédure ordinaire, avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise jusqu'à 4 % du chiffre d'affaires annuel mondial.
Une injonction de se mettre en conformité, qui peut être assortie d'une astreinte pouvant aller jusqu'à 100.000 € par jour de retard. Une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation (à l'exception des traitements qui concernent la sûreté de l'État).
20 millions d'euros ou 4% du chiffre d'affaires : c'est le cas lors d'une violation des principes de traitement des données ou le non-respect des conditions de licéité du traitement.
Mission 4 - Contrôler et sanctionner
La CNIL peut contrôler les organismes. En cas de manquements constatés, elle peut décider de les mettre en demeure ou de les sanctionner.
Le Règlement est applicable depuis le 25 mai 2018 (article 99.2) dans tous les pays de l'Union Européenne. Il s'applique à toutes les entreprises (y compris leurs comités d'entreprise), les administrations et les associations, qui traitent des données à caractère personnel.
Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d'un traitement, c'est à dire l'objectif et la façon de le réaliser. En pratique et en général, il s'agit de la personne morale incarnée par son représentant légal.
Nouveautés au 1er janvier 2023 : les comptes annuels ne peuvent plus être déposés au Tribunal de Commerce ! A compter du 1er janvier 2023, les sociétés ne pourront plus déposés leurs comptes annuels auprès du Greffe du Tribunal de commerce.
Une suspension temporaire (ou une limitation) de la manipulation des données par l'entreprise en faute. Des sanctions administratives imposées directement par la CNIL.
Si la violation entraîne un risque pour les droits et libertés des personnes concernées, le responsable du traitement : doit documenter, en interne sous forme d'un registre, la violation qui vient de se produire ; doit notifier cette violation à la CNIL, au plus tôt et dans un délai maximal de 72h.
L'entreprise doit garantir le droit des personnes : droit d'accès, droit de rectification, droit à l'oubli, droit à la portabilité… Les entreprises doivent mettre en place les mesures adéquates pour assurer un niveau de sécurité optimal des données personnelles : pseudonymisation, analyses d'impact, tests d'intrusion…
Le responsable d'un traitement de données à caractère personnel est en principe la personne, l'autorité publique, la société ou l'organisme qui détermine les finalités et les moyens de ce fichier, qui décide de sa création. En pratique, il s'agit généralement de la personne morale (entreprise, collectivité, etc.)
Si l'entreprise ne respecte pas le RGPD, elle risque une amende à hauteur de 20 millions d'euros ou de 4% de son chiffre d'affaires. Ensuite, c'est la réputation de l'entreprise qui est en jeu.
Le délégué est chargé de piloter la conformité au règlement européen sur la protection des données au sein de l'organisme qui l'a désigné, s'agissant de l'ensemble des traitements mis en œuvre par cet organisme. Sa désignation est obligatoire dans certains cas.
À l'heure actuelle, il existe trois principaux organismes chargés d'imposer des sanctions : les Nations Unies, l'Union européenne et l'OSCE.
Lorsque les normes ne sont pas respectées, on évoque alors des comportements déviants. La déviance désigne ainsi au sens le plus large les comportements non conformes aux normes en vigueur dans un groupe donné.
Sanctions pouvant être prononcées
Avertissement ou blâme : Reproches adressés par l'employeur au salarié, et notifiés par écrit, en raison du comportement fautif du salarié Mise à pied : Sanction visant à suspendre temporairement le contrat de travail et la rémunération du salarié ayant eu un comportement fautif.
Est désignée sous le terme de « personne concernée » toute personne qui peut être identifiée, directement ou indirectement, par le biais d'un identifiant (par exemple, un nom, un numéro d'identification ou des données de localisation) ou d'un ou plusieurs éléments spécifiques propres à son identité physique, ...
En effet, le RGPD s'applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors : qu'elle est établie sur le territoire de l'Union européenne, ou que son activité cible directement des résidents européens.
On examinera ici les catégories suivantes de risques: diffusion non autorisée d'informations, erreurs, fraudes, interruption de l'activité par suite d'une défaillance du matériel ou du logiciel, planification inefficace et risques liés aux opérations d'informatique individuelle.
Ils peuvent se traduire par des accès mal intentionnés volontaires (malveillance et ransomware) ou involontaires (maladresse, pas de classification de données), une altération des données (défauts de fonctionnement ou piratage) mais aussi la perte de données (erreur humaine, matérielle, corruption de données) qui reste ...
Les sanctions en cas de non-respect varient en fonction des infractions et vont d'un simple avertissement à une amende pouvant aller jusqu'à 4% du CA et 20 millions d'euros. Un des objectifs du RGPD est de responsabiliser tous les acteurs du traitement des données personnels.
Le droit européen primaire (traités et principes généraux du droit européen) et dérivé (règlements, directives, décisions) l'emporte sur toute disposition contraire du droit national (principe de primauté, affirmé par la Cour de justice des communautés européeennes dans l'arrêt Costa c./ENEL du 15 juillet 1964).
Le RGPD et la CNIL sont des éléments structurant le respect des données personnelles. Le RGPD est le Règlement Général sur la Protection des Données, et la CNIL est l'unité qui contrôle ce règlement.