les sanctions de la CNIL en RGPD

Les sanctions en RGPD

Le règlement européen sur la protection des données est entré en vigueur depuis plus d’un an et demi et résulte d’une méfiance des utilisateurs quant à l’utilisation de leurs données. Aujourd’hui, et selon une étude de Talend, on estime à 70% le nombre de sociétés qui ne répondent pas encore aux exigences demandées concernant le RGPD. C’est autant d’entreprises qui prennent le risque de se voir sanctionner par la CNIL.

Que signifie le non-respect du RGPD ?

Objectif et définition du RGPD 

L’objectif principal de la mise en place du RGPD est d’abord de protéger les utilisateurs/internautes contre les entreprises qui ont, durant trop longtemps, utiliser les données personnelles de chacun à des fins commerciales (que ce soit au niveau de l’analyse, du démarchage ou de publicité personnalisée). Il est nécessaire de rappeler que la définition de « donnée à caractère personnel » couvre toutes données permettant d’identifier directement ou indirectement une personne.

Le RGPD a également pour but de responsabiliser toutes entreprises concernant l’utilisation des données de ses clients et d’ainsi forcer les sociétés à se mettre en conformité avec les exigences de ce règlement.

Ainsi, toute entreprise est concernée par cette nouvelle réglementation et le RGPD est une obligation pour chacun.

Les exigences en RGPD

La loi stipule notamment ainsi un certain nombre d’exigences concernant le traitement des données sensibles de tous ses clients :

  • Il est nécessaire d’obtenir le consentement de chacun des clients/internautes
  • La sécurité de ces informations doit être garantie par l’entreprise
  • La nomination d’un responsable, aussi appelé délégué à la protection des données (DPO) est obligatoire selon le type d’organisation….ou tout du moins fortement apprécié pour les petites entreprises
  • La transparence envers les clients/internautes dont les données sont traitées
  • Tenir un registre de tous les traitements de données effectués.

Toute dérogation à l’une de ces exigences peut donc entraîner un non-respect de la réglementation et donc une sanction.

Besoin de plus d’informations sur les obligations exigés par le RGPD ?

sécurisation système d'information et sécurité numérique

Besoin d'être accompagné en RGPD ?

Audit, formations, accompagnement et suivi par un expert RGPD

Qui sanctionne les entreprises qui ne respectent pas le RGPD ?

Si les entreprises peuvent se voir sanctionner par le RGPD, c’est la CNIL qui va jouer le rôle de policier concernant l’utilisation des données faites par les entreprises.

La CNIL, policier du RGPD

La mission principale de la commission nationale de l’informatique et des libertés (CNIL) est de veiller au respect du RGPD et à son application dans toutes entreprises qui traitent les données de ses clients.

Ainsi, que ce soit à l’issue d’un contrôle ou de plaintes directement faites sur le site internet de la CNIL, c’est à la commission d’intervenir en cas de non respect du RGPD par un organisme.

La CNIL, juge & applications des peines

Si par le passé, avec la lois informatique et liberté de 1978, la CNIL n’avait pas beaucoup de possibilité de sanctionner directement les entreprises ayant des manquements au respect du RGPD en France, elle peut se vanter aujourd’hui d’imposer par elle même toute sanction d’ordre administrative et financière.

La CNIL a donc également pour mission de veiller à l’application des sanctions qu’elle a ordonné et à forcer les changements nécessaires aux entreprises condamnés en RGPD afin que ces dernières ne soient pas récidivistes, à plusieurs reprises, pour un manquement aux exigences de la réglementation.

Le déroulement d'une procédure de sanction en RGPD

Au cours d’une procédure de sanction en RGPD, la CNIL a d’abord pour responsabilité de nommer l’un de ses membres comme rapporteur, qui aura ainsi la lourde tâche de constituer un rapport sur les manquements observés lors du traitement des données de ses clients par l’organisme en faute.

Formation du comité restreint

La CNIL s’occupe également de convoquer le comité restreint, composé de 5 membres et d’un président nommée par ses pairs.

A l’issue d’une phase d’échange entre le rapporteur et l’organisme accusé de manquement au RGPD, le comité restreint devra alors se réunir afin de statuer sur la véracité des accusations faites et en déduire les sanctions qui doivent en découler. 

Par la suite, l’organisme accusé possède un délai de 2 mois afin de se retourner et de demander un recours devant le conseil d’état.

Besoin de plus d’informations sur les différentes sanctions administratives et pénales en RGPD ?