Le RGPD est un règlement qui a chamboulé la société à tous les niveaux. Entre son vaste champ d’application, les sanctions RGPD records et les divers débats juridiques autour de législations controversées, il est indéniable que le RGPD a fait bouger les lignes en matière de protection de la vie privée.
Mais pourquoi le RGPD a-t-il été mis en place et pourquoi semble-t-il rencontrer un tel succès ?
Quels sont les enjeux ?
Dans un monde sur-connecté, dans lequel la donnée et leur traitement se multiplient à un rythme effréné, les enjeux de la protection des données à caractère personnel prennent tout leur sens. Mais alors pourquoi le RGPD ?
Dépassées par l’évolution des normes technologiques qu’impliquent les données à caractère personnel, les anciennes directives européennes et législations nationales (en France Loi Informatique et Libertés) sur la protection de la vie privée ne suffisaient plus.
Déclinées de façons différentes dans les droits nationaux et assorties de sanctions particulièrement faibles, elles n’étaient plus efficaces et ne permettaient plus d’assurer le bon traitement des données à caractère personnel.
Face à l’utilité économique de nos données, de leur collecte et de leur transfert pour les entreprises, un règlement européen cadrant et clair était devenu indispensable.
Marketing, publicité, ressources humaines, management, organisation, sécurité… les traitements de données sont partout. Le constat fut simple : nous ne savions plus ce qui était fait de nos données, ni pourquoi, ni par qui. Pire, nos décisions même nous échappaient, puisque nous sommes profilés de façon toujours plus précise. Le consentement, qui devrait être la base de la majorité des traitements n’était que trop peu souvent respecté, de la même manière que les droits et libertés des individus.
Pourquoi le RGPD, pour aller plus loin :
Quelle place laisser à la privacy dans un monde de Big Data et d’IA ?
RGPD, ou la plus grande campagne de lobbying de l’Union Européenne
Un cadre unique, européen, assorti de sanctions fortes, devenait indispensable. Entré en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données, ou RGPD, est le texte qui, au vu des enjeux économiques (GAFA, etc.) a fait l’objet de la plus grande campagne de lobbying dans l’Union Européenne.
Le RGPD n’entrave pas l’innovation, bien au contraire
Pourquoi le RGPD ?
L’idée derrière le RGPD n’est pas d’interdire ou d’empêcher les entreprises de mettre en œuvre les évolutions technologiques liées à la data. Il s’agit au contraire de les responsabiliser, afin de protéger les droits et libertés des personnes physiques et intérêts de tous.
Tout est possible, à condition de mettre en place les mesures nécessaires :
- transparence vis-à-vis des individus lorsque les données sont traitées (notamment concernant leurs finalités, pourquoi les données sont-elles collectées & traitées)
- sécurité et confidentialité de leurs données, analyse et documentation des raisons et des limites des traitements mis en œuvre
- responsabilisation des sous-traitants par les donneurs d’ordre
Cette nouvelle réglementation oblige les entreprises à se conformer au RGPD et dans la plupart des cas à désigner un délégué à la protection des données personnelles au sein de leur équipe.
Sous le regard des autorités de contrôle, la CNIL en France dispose désormais d’un pouvoir d’audit renforcé et de la possibilité d’infliger des amendes pouvant atteindre 2 à 4% du chiffre annuel mondial de l’entreprise. Un objectif du RGPD avec ces amendes est d’inciter l’ensemble des entreprises à se mettre en conformité.
Quelles sont les sanctions RGPD ?
La principale raison expliquant pourquoi le RGPD est aujourd’hui un réel succès – en termes de communication et de prise en compte par les entreprises – est le montant des sanctions qu’il prévoit. Pour exemple, sous l’empire de la législation française antérieure, les sanctions administratives des infractions aux règles sur la protection des données personnelles ne pouvaient s’élever au-delà de 150.000€, doublé en cas de récidive.
Fallait-il encore que l’autorité en cause dispose du pouvoir d’investigation nécessaire pour mener des enquêtes.
Soit une broutille pour certaines entreprises dont l’activité est fondée sur la data, et qui engrangent des profits colossaux.
Avec le RGPD, nous changeons d’univers et nous nous rapprochons des amendes records infligées par les autorités en matière de droit de la concurrence. (abus de position dominante et ententes illicites par exemple). La sanction RGPD s’adapte, puisqu’elle est exprimée par un taux maximal :
- 2% du chiffre d’affaires annuel mondial de l’entreprise pour les infractions les moins graves
- 4% pour les infractions les plus graves
En réalité, il faut distinguer plusieurs types de sanctions RGPD.
Sanctions RGPD : Mise en demeure
Le RGPD prévoit que chaque État Membre désigne une autorité de contrôle, chargée sur son territoire de son application concrète. A la faveur d’une plainte d’une personne concernée devant cette autorité ou d’un contrôle spontané, l’autorité (en France, la CNIL) pourra déclencher un contrôle au cours duquel elle dispose de plusieurs pouvoirs contraignants :
- audit sur pièce et sur place
- production de documents
- témoignages, etc.
Au terme de son enquête, cette autorité aura la possibilité de mettre en demeure et d’ordonner à l’entité contrôlée de mettre en œuvre certaines mesures de mise en conformité :
- mises en place de mesures de sécurité
- suspension ou arrêt d’un traitement
- effacement de données
- mise a jour de politique de confidentialité
Découvrez la carte interactive des sanctions RGPD
Sanctions RGPD pécuniaires administratives
Si une mesure corrective ne suffit pas et qu’elle estime nécessaire de sévir, l’autorité de contrôle pourra infliger une sanction pécuniaire sur base du RGPD à l’entité considérée. Afin d’en évaluer le montant, divers critères sont prévus par le RGPD et les lignes directrices des autorités européennes.
Parmi ces critères sont pris en compte notamment :
- le nombre de personnes concernées
- la durée de l’infraction
- le degré de connaissance dont l’entité avait de l’infraction
- la collaboration de l’entité avec l’autorité de contrôle
- la sensibilité des données (données sensibles)
Cette sanction RGPD pourra s’élever, dans les cas les plus graves, à 20.000.000€ ou 4% du chiffre d’affaires annuel mondial de l’entité, le montant le plus élevé étant retenu. Des voies de recours contre ces sanctions sont bien sûr aménagées, en France devant le Conseil d’État.
Ces sanctions sont donc très variables. La CNIL a pu par exemple sanctionner Google à hauteur de 50.000.000€ ou Monsanto à hauteur de 400.000€ pour défaut d’information des personnes (dont les données étaient enregistrées dans un fichier au fin de lobbying).[1] Des sanctions d’un montant beaucoup plus faible, et appliquées à des entreprises de petite taille, voire des libéraux, ont aussi été prononcées, démontrant que personne n’est « à l’abri ». Ainsi, deux médecins ont été respectivement condamnés à hauteur de 3.000€ et 6.000€ en raison de la mauvaise sécurisation des données de leurs patients et de la non notification à la CNIL d’une violation de données.[2] L’Etat même, et plus spécifiquement le Ministère de l’Intérieur, a récemment été condamné pour avoir utilisé de manière illicite des drones équipés de caméras, notamment pour surveiller le respect des mesures de confinement.[3]
[1] https://www.cnil.fr/fr/fichier-de-lobbying-sanction-de-400-000-euros-lencontre-de-la-societe-monsanto
[2] https://www.cnil.fr/fr/violations-de-donnees-de-sante-la-cnil-sanctionne-deux-medecins
[3] https://www.cnil.fr/fr/drones-la-cnil-sanctionne-le-ministere-de-linterieur
Sanctions RGPD judiciaires
Le RGPD est un texte appliqué et sanctionné par les autorités de contrôle administratives, mais également, comme tout texte juridique, par les tribunaux ordinaires. En effet, si un particulier ou un groupe de particuliers (dans le cadre d’une action de groupe, spécifiquement prévue pour la protection des données personnelles) s’estime lésé en raison d’une infraction au RGPD, il pourra demander réparation devant les tribunaux.
Lorsque plusieurs entreprises ont participé au même traitement de données préjudiciable pour une personne, soit en qualité de responsable du traitement soit en qualité de sous-traitant, le RGPD protège avant tout la personne.
Les entreprises supporteront en effet une responsabilité solidaire à l’égard de la personne concernée : elle peut voir son préjudice réparer entièrement par l’une ou par l’autre entreprise, quels que soient les degrés respectifs de participation au dommage. La répartition finale des responsabilités se fera dans un second temps, entre les entreprises.
Retrouvez toutes les sanctions pour manquement à la protection des données personnelles dans le monde grâce à notre carte interactive by DS Avocats et Data Legal Drive, puis découvrez l’accompagnement proposé par le logiciel de mise en conformité RGPD.