RGPD : le point sur les pénalités
Le RGPD donne plus de pouvoir aux autorités de contrôle notamment concernant la capacité d’infliger des amendes beaucoup plus importantes en cas de violation de données confidentielles.
Comment les amendes sont-elles définies ?
Selon l’article 83 du RGPD, les autorités de contrôle sont habilitées à délivrer une amende à toute entreprise ou organisation qui ne serait pas capable de démonter sa conformité au nouveau règlement. Ces amendes doivent être "efficaces, proportionnes et dissuasives". Plusieurs critères permettent aux autorités de déterminer si une entreprise doit payer une amende ou non, et le montant de l’amende :
Nature de l’incident : nombre de personne concernées et nature des dommages subis, la nature, la gravité et la durée de l’incident et la finalité du traitement des données.Intention : l’infraction était-elle intentionnelle ou pas ?
Mesures correctives : quelles actions ont été lancées par le contrôleur ou le processeur de données pour réduire les dommages subis par les personnes concernées ?
Mesures préventives : le degré de responsabilité du contrôleur et du processeur, ainsi que les mesures techniques et organisationnelles prises par l’entreprise pour prévenir la non-conformité.
Historique : toute infraction précédemment effectuée par le contrôleur ou le processeur.
Coopération : l’entreprise s’est-elle montrée coopérative avec les autorités de contrôle pour remédier à l’infraction et réduire les effets potentiels.
Type de données : quelles catégories de données personnelles ont été touchée par l’incident.
Notification : le contrôleur ou le processeur ont-ils averti proactivement de l’incident ?
Certification : l’entreprise a-t-elle obtenu des certifications ou adhère-t-elle à des codes de conduite ?
Autres : tout autre facteur aggravant ou atténuant les circonstances de l’incident, par exemple des bénéfices ou des pertes financières.
Quels sont les niveaux de pénalité du RGPD ?
L’article 83 décrit également deux niveaux d’amendes pouvant être infligées aux entreprises en cas de non-conformité. Ces deux niveaux dépendent de l’exigence RGPD qui n’a pas été respectée.
Niveau 1 : Amendes de 10 millions d’euros ou 2% de leur chiffre d’affaires global du précédent exercice fiscal. Elle peut être infligée si l’entreprise viole les exigences suivantes :
Obligations du contrôleur et du processeur : il s’agit de la protection des données dès la conception et par défaut (art. 25), des règles relatives au traitement des données (art. 32), et de la notification dans les temps d’une violation de données aux autorités de contrôle (art. 33) et aux personnes concernées (art. 34).
Notification des violations de données : l’article 33 du RGPD exige que les contrôleurs de données notifient les autorités de contrôle dans les 72h après avoir pris connaissance d’une violation de données personnelles, sauf si la faille ne compromet pas les droits et libertés des personnes concernées. L’article 34 traite des notifications aux personnes concernées et du détail des informations que l’entreprise doit fournir (dont la nature de la faille, un point de contact et les conséquences probables).
Obligations de l’organisme de surveillance (art. 41) : concerne le suivi des codes de conduite pouvant être effectué par un organisme disposant du niveau d’expertise requis et accrédité pour cela par une autorité de contrôle compétente.
Obligations de l’organisme de certification (art. 42 et 43) : les états membres et les autorités de contrôle doivent encourager les mécanismes de certification de la protection des données pour aider les contrôleurs et les processeurs à démontrer leur conformité avec le RGPD. Ces certifications peuvent être accordées soit par un organisme de certification accrédité, soit par le Conseil Européen de Protection des Données. Par ailleurs, un organisme de certification ne peut être agréé que sous certaines conditions – par exemple s’il démontre une certaine indépendance et expertise, ou s’il a mis en place des procédures pour traiter les plaintes à la suite d’incidents.
Niveau 2 : les amendes sont infligées pour des infractions plus graves de la part des contrôleurs et des processeurs, comme la violation des données de droits et libertés d’un sujet, ou des conditions de consentement. Les amendes de niveau 2 se montent à 20 millions de dollars ou 4% du chiffre d’affaires global du précédent exercice fiscal. Elles concernent les violations des exigences suivantes :
Principes de base du traitement des données : cela inclut les règles générales du traitement des données (art. 5), les traitements illégaux (art. 6), les conditions de consentement (art. 7 et 8), et le traitement de catégories spécifiques de données personnelles (art. 9 à 11).
Droits de la personne concernée (art. 12 à 22) : il s’agit des différents droits qui impactent la manière dont une entreprise stocke et traite les données personnelles. Par exemple, le droit de confirmer si des données personnelles sont traitées (art. 15), le droit de rectifier des données personnelles erronées (art. 16), le droit à l’oubli (art. 17), le droit à restreindre le traitement (art. 18), le droit à transmettre facilement les données à un autre contrôleur (art. 20), et le droit à s’opposer au traitement des données (art. 21).
Transfert de données personnelles (art. 44 à 45) : concerne le transfert de données à des pays ou organisations tiers. Il s’agit des principes généraux de transfert des données (art. 44), des transferts ou publication non autorisés par les lois de l’UE (art. 48), et des règles liées à la coopération internationale pour la protection des données personnelles (art. 50).
Y a-t-il des compensations supplémentaires pour les sujets de données ?
Comme pour la précédente directive européenne, le RGPD autorise les sujets de données à saisir la justice pour demander des dommages financiers aux contrôleurs et processeurs qui violent leurs droits. Il s’agit notamment des cas où des entreprises sont responsables des violations de données, violent les exigences du RGPD spécifiques au processeur, ou agissent hors des instructions légales du contrôleur (art. 79 et 82).
RésuméEn dehors d’infliger des amendes, les autorités de contrôle ont d’autres pouvoirs coercitifs en cas de non-conformité, comme par exemple envoyer des avertissements et des réprimandes ou, dans les cas extrêmes, bannir les entreprises de tout traitement de données personnelles (art. 58). Par conséquent, les entreprises doivent s’assurer qu’elles ont mis en place les politiques et les procédures ad hoc pour garantir le consentement explicite, identifier et informer des violations de sécurité, et se conformer aux exigences du RGPD. Il peut être sage de commencer par se pencher sur les domaines qui peuvent être sanctionnés par les amendes les plus fortes, en respectant les règles de base du traitement des données, et en s’assurant de ne pas violer les droits des sujets de données.