Précédemment dans RGPD ACTE I et RGPD ACTE II…Vous savez désormais si vous êtes concerné par le RGPD, quelle est la logique à adopter pour vous mettre en conformité avec les nouvelles règles applicables et vous maitrisez les fondamentaux pour initier votre mise en conformité RGPD. Mais que se passera-t-il si vous n’êtes pas « RPGD conforme » ?Le point synthétique sur les sanctions encourues en théorie…et en pratique !
Au pays de la théorie, vous risquez le bûcher…
Lorsqu’on parle de RGPD, on évoque systématique le risque CNIL. Il s’agit en réalité de l’un des trois niveaux de sanctions qui existent en matière de protection des données.
Les sanctions administratives de la CNIL
La CNIL est une autorité administrative indépendante (comme HADOPI) habilitée à prononcer des sanctions dites administratives.
Elle peut ainsi prononcer un rappel à l’ordre, enjoindre de mettre le traitement en conformité, y compris sous astreinte, limiter temporairement ou définitivement un traitement, suspendre les flux de données, ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte, ou encore prononcer une amende administrative… Ces amendes peuvent aller jusqu’à 4 fois le montant du chiffre d’affaires des entreprises contrevenantes ou 20 millions d’euros.
Les sanctions pénales des juridictions…pénales
Peut-être le saviez-vous déjà, mais vous pouvez être poursuivi devant des juridictions pénales, essentiellement correctionnelles, en cas d’infractions aux règles relatives à la protection des données.
A titre d’exemples, le non-respect des formalités préalables est sanctionné jusqu’à 300 000 € d’amende et 5 ans d’emprisonnement ou encore l’absence d’information des personnes concernées (vous savez les disclaimers infernaux qui nous obligent à cliquer avant d’accéder à un site web) est quant à elle punie de 1.500 euros d’amende…
Les sanctions civiles des juridictions…civiles
Et enfin, les personnes concernées par les traitements de leurs données personnelles et dont les droits auraient été bafoués peuvent agir devant les juridictions civiles en réparation du préjudice subi et réclamer des dommages et intérêts.
Et au pays de la pratique, si ce n’est peut-être pas aussi dramatique le risque existe bel et bien
Les sanctions administratives et pénales se veulent très dissuasives. Le risque est théoriquement très élevé.
En pratique il faut toutefois relativiser car la fréquence de ces décisions est assez faible, elles concernent essentiellement des grandes entreprises et le montant des condamnations est éloigné des sanctions maximales annoncées.
Les sanctions civiles sont sans doute celles qui concernent le plus les petites et moyennes entreprises.
Ainsi, par exemple, si un employeur ne satisfait pas aux obligations du RGPD dans le cadre de données appartenant à ses salariés, il s’exposerait à un risque prud’homal : les salariés pourraient en effet solliciter l’indemnisation du préjudice subi.
Un risque civil à ne pas négliger car la personne concernée qui souhaiterait obtenir réparation du préjudice subi peut donner mandat à certains organismes d’intérêt publics pour qu’ils introduisent une réclamation ou obtenir une réparation en leur nom.
Dans notre exemple du RGPD appliqué en droit du travail on peut alors imaginer les actions mises en œuvre par des organisations syndicales représentatives.
Alors qu’attendez-vous pour vous mettre en conformité avec le RGPD ?
Pour plus de tranquillité et de sécurité, faites-vous accompagner par un professionnel. Les avocats de STRATEGIA peuvent vous accompagner dans votre conformité RGPD.