L’entrée en vigueur du règlement général sur la protection des données – ou RGPD – est prévue pour Mai 2018. Et les sanctions passibles sont bien plus dissuasives que par le passé en cas de non-conformité au règlement.

Quelles sanctions avec l’application du RGPD ?

Les condamnations concernant les incidents liés à la protection des données personnelles ne sont pas nouvelles. En 2016 par exemple, la CNIL infligeait une amende de 100 000 euros à Google pour mauvaise application du droit à l’oubli. Plus récemment, c’est l’affaire Uber qui était médiatisée. Mais avec l’application du RGPD, le montant des sanctions est bien plus conséquent. Prenons un exemple concret pour illustrer les nouvelles sanctions prévues par le RGPD.

Des sanctions… 80 fois plus élevées ?

Fin 2016, le groupe télécom TalkTalk était condamné à une amende record de 400 000 livres, soit environ 450 000 euros – par la CNIL britannique. Le motif ? Une faille de sécurité élémentaire permettant aux hackers de télécharger les données de plus de 156 000 clients, dont des données bancaires. Pour prononcer cette sanction, la CNIL britannique s’est appuyée sur la réglementation nationale : le Data Protection Act 1998. Sous cette législation, le plafond des sanctions est situé à 500 000 livres. Mais avec l’application du RGPD, le montant de cette amende aurait été de 59 millions de livres, soit près de 67 millions d’euros selon une étude du NCC Group. Et selon cette même étude, les sanctions prononcées en 2016 auraient été 80 fois plus élevées en moyenne si le RGPD avait été appliqué !

différences montant des sanctions avec le RGPD et sans le RGPD

Avec l’application du RGPD, les failles de sécurité importantes présentées par TalkTalk auraient conduit l’entreprise à subir le plus haut niveau de sanction du RGPD soit 4% de son chiffre d’affaires.

Quel dispositif de sanctions prévu pour le RGPD ?

Les amendes administratives prévues par le règlement s’appliquent en deux niveaux :

  • 20 millions d’euros ou 4% du chiffre d’affaires mondial
  • 10 millions d’euros ou 2% du chiffre d’affaires mondial

Dans les deux cas, c’est le montant le plus élevé qui est retenu. Le niveau de sanction s’applique en fonction des articles du règlement en infraction.

Le niveau maximum s’applique aux infractions les plus graves, en lien avec le respect des droits des personnes. Par exemple, ne pas requérir le consentement suffisant du client pour traiter ses données à caractère personnel. Le niveau secondaire s’applique notamment dans le cas ou l’entreprise ne notifie pas l’organisme de contrôle d’une violation de données ou n’effectue pas d’analyse d’impact.

 À ces sanctions administratives peuvent s’ajouter des sanctions pénales. Elles sont définies par les articles 226-16 à 226-24  du Code pénal et s’échelonne jusqu’à 300 000 euros d’amende et 5 ans d’emprisonnement.

les trois sanctions passibles avec l'application du RGPD
témoignage de Jeanne Bossi Malafosse delsol avocats

« La CNIL s’est montrée plus sévère ces derniers temps. Elle a notamment rendu publiques certaines sanctions prononcées, ce qui peut porter atteinte à la réputation d’une organisation. Et elle ne se limite pas à constater les manquements au respect des principes de protection des données, elle prend également en compte la volonté de coopérer avec les autorités de contrôle. »

Maître Jeanne Bossi Malafosse, avocate spécialiste de la protection des données chez DELSOL Avocats.