RGPD, quelles sanctions en cas de non-respect ?

3ème focus sur le RGPD pour fêter ces 7 ans avec un article consacré aux sanctions en cas de non-respect du RGPD.

Le Règlement Général sur la Protection des Données (RGPD) impose, en effet, des obligations strictes aux organisations qui collectent et traitent des données personnelles. Le non-respect de ces obligations peut entraîner des sanctions financières sévères, qu’il vaut mieux éviter !

Si à l’issue d’un contrôle (sur place, sur convocation, sur pièce ou en ligne) des manquements mineurs sont constatés, la CNIL peut émettre, en premier lieu, des observations.

La CNIL peut également émettre un avertissement si un traitement est susceptible de violer des dispositions du RGPD. Pour éviter une sanction, le responsable de traitement doit alors corriger les points soulevés par la CNIL.

La CNIL peut également formuler une mise en demeure indiquant des manquements aux RGPD et enjoignant le responsable de traitement de les corriger dans un certain délai. Si à l’issue de ce délai, les manquements n’ont pas été corrigés, une procédure de sanction pourra être engagée. A noter que ces mises en demeure peuvent être rendues publiques et peuvent impacter l’image de la société, ce qui, en soi, peut constituer une sanction.

Si à la suite d’un avertissement ou d’une mise en demeure, la non-conformité au RGPD n’a pas été levée, la CNIL pourra alors prononcer une sanction.

La CNIL peut imposer des mesures correctives, telles que :

• Des rappels à l’ordre : Les organisations doivent prendre des mesures spécifiques pour se conformer aux exigences du RGPD. Ces ordres de mise en conformité peuvent être accompagnés d’une astreinte.
• La limitation ou l’interdiction du traitement : Les autorités peuvent limiter ou interdire (temporairement ou définitivement) certaines opérations de traitement des données.
• La suspension des flux de données : Les transferts de données vers des pays tiers ou des organisations internationales peuvent être suspendus.
• Le retrait d’une certification : il est possible refuser ou retirer une certification accordée à un responsable de traitement qui ne respecterait pas certaines obligations du RGPD.

Outre les sanctions correctives, le RGPD prévoit des amendes administratives significatives en cas de non-conformité. Il s’agit de la sanction faisant le plus peur aux entreprises le plus souvent.

Ces amendes sont réparties en deux niveaux :

• Le niveau 1 : Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu. Ce niveau de sanction s’applique aux infractions telles que le non-respect des obligations de sécurité des données, le non-respect des obligations de tenue de registres, le non-respect des obligations de notification des violations de données.
• Le niveau 2 : Jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu. Ce niveau de sanction s’applique aux infractions les plus graves comme le non-respect des principes de base du traitement des données, y compris le consentement, la violation des droits des personnes concernées, le non-respect des décisions des autorités de contrôle.

Plusieurs facteurs pour déterminer la sévérité des sanctions peuvent être pris en compte :

• La nature, gravité et durée de l’infraction : Les violations graves et prolongées sont sanctionnées plus sévèrement.
• L’intentionnalité ou la négligence : Les infractions intentionnelles sont plus sévèrement sanctionnées que celles résultant de négligence.
• Les antécédents : Les antécédents de non-conformité de l’organisation peuvent impacter la sévérité de la sanction.
• Les catégories de données concernées : Le traitement de données sensibles peut entraîner des sanctions plus sévères.
• La coopération avec l’autorité de contrôle : La coopération de l’organisation avec les autorités peut influer sur la sévérité de la sanction.

En 2024, le nombre total de sanctions prononcées par la CNIL est passé de 42 en 2023 à 87. La CNIL a également prononcé 180 mises en demeure et 64 rappels aux obligations légales.

Au total, ce ne sont pas moins de 331 mesures correctrices qui ont été prononcées.

Quelques exemples de sanctions prises par la CNIL

• PAP : En janvier 2024, la CNIL a prononcé une sanction de 100 000 euros à l’encontre de l’entreprise PAP (particulier à particulier) pour non respect de ses obligations en matière de durée de conservation des données et de sécurité des données.
• Vinted : En juillet 2024, la CNIL a prononcé une sanction de 2,3 millions d’euros à l’encontre de Vinted notamment pour manque de transparence et de loyauté dans les demandes d’effacement.
• KASPR : En décembre 2024, KASPR a été sanctionné à 240 000 euros d’amende pour avoir collecté des coordonnées de LinkedIn sans consentement.

Toutefois, les sanctions prises par la CNIL ne concerne pas uniquement les grosses entreprises. Les TPE et PME sont également de plus en plus surveillées et de plus en plus sanctionnées par la CNIL. C’est ainsi qu’un commerce d’habillement a pu être sanctionné à 15 000 euros d’amende pour non-respect des principes de collecte des données et de vidéosurveillance, qu’un casino a été condamné à 12 000 euros d’amende pour manque de transparence sur la vidéosurveillance et le non-respect du droit d’accès.

Les sanctions peuvent, bien entendu, être évitées en se conformant aux obligations du RGPD parmi lesquelles :

• Nommer un ou une déléguée à la protection des données (DPO) : Pour les organisations qui traitent des données sensibles ou à grande échelle, la nomination d’un DPO est obligatoire pour superviser la conformité au RGPD et servir de point de contact avec les autorités de protection des données. Pour les autres, cela reste recommandé et il est possible d’externaliser ce service.
• Tenir un registre de traitement :Les organisations doivent documenter leurs activités de traitement des données, y compris les finalités du traitement, les catégories de données traitées et les mesures de sécurité mises en place. Des modèles de registre de traitement sont mis à disposition par la CNIL.
• Mettre en place des politiques et procédures de sécurité : Les organisations doivent développer et maintenir des politiques et des procédures de sécurité robustes pour protéger les données personnelles contre les violations et les accès non autorisés. En ce sens, Wysam constitue un outil de mise en conformité en permettant d’assurer l’envoi et la réception d’informations de façon sécurisée grâce à du chiffrement de bout en bout.
• Sensibiliser les équipes : La sensibilisation régulière des équipes sur les principes du RGPD et les bonnes pratiques de sécurité est nécessaire pour garantir une conformité continue.
• Respecter les droits des personnes : Les organisations doivent mettre en place des procédures pour répondre aux demandes d’accès, de rectification, d’effacement et de portabilité des données des personnes concernées par les traitements.