Focus sur les sanctions de la CNIL
Depuis 2018, nous savons que le non-respect du RGPD peut mener les entreprises à des sanctions élevées. En effet, l’article 83 pose la possibilité de sanctions pouvant représenter jusqu’à 4% du chiffre d’affaire annuel de l’entreprise, avec un montant maximum de 20 millions d’euros. Ces sanctions ne sont pas infligées de manière arbitraire : un processus de contrôle les accompagne. Aujourd’hui, Blockproof vous emmène faire un point sur les sanctions administratives et les contrôles de la CNIL. Pour revenir à l'essentiel, consultez notre article : 6 sanctions RGPD incontournables mais peu connues des TPE/PME et Associations
Des sanctions pouvant toucher tous les organismes et professions libérales
Ces sanctions peuvent toucher toutes les entreprises, et ont un impact variable. Ainsi, les organismes peuvent recevoir une mise en demeure de se mettre en conformité au RGPD, mise en demeure qui peut être publique selon les circonstances, par exemple un risque pour les droits et libertés des personnes concernées. Des start-up comme Fidzup ou Singlespot ont ainsi pu faire l’objet de ce type de mise en demeure publique, ce qui a bien évidemment nuit à leur image de marque.
C’est dans le cas où l’entreprise ne répondrait pas à la mise en demeure ou ne se soumettait pas aux injonctions que la CNIL peut prononcer une sanction pécuniaire, correspondant aux montants exposés par le Règlement. C’est la formation restreinte de la CNIL qui décidera du bien-fondé d’une amende administrative ainsi que de son montant, mais le dossier peut aussi être transmis au Parquet, ce qui pourra amener l’organisme à une condamnation pénale… une mauvaise mise en conformité peut donc coûter très cher — littéralement.
A titre de d’exemple, un syndic immobilier a été condamné cette semaine à une amende administrative de 400.000 euros, pour n’avoir pas suffisamment protégé les données des utilisateurs de son site. Également, le Conseil d’Etat a pu conforter la CNIL dans sa décision d’infliger une amende de 75.000 euros à l’Association pour le développement des foyers.
Une procédure de contrôle efficace
Depuis l’entrée en application du Règlement, de nombreuses entreprises ont fait l’objet de contrôle par la CNIL, et votre entreprise pourrait très bien être la prochaine sur la liste. La sélection des organismes dépend de plusieurs facteurs. En premier lieu, la CNIL dresse chaque année un programme des contrôles, par grandes thématiques qui pourraient avoir un impact sur la vie privée des personnes concernées. L’autorité se base également sur les plaintes et les signalements anonymes, sur l’actualité, les déclarations de dispositifs de vidéosurveillance, ou encore les anciennes procédures de contrôles.
Lorsqu’une entreprise, un établissement public, une profession libérale ou une association a été sélectionnée pour le contrôle, la CNIL pourra alors la contrôler de plusieurs manières : en se rendant sur place, en convoquant les responsables de l’organisme, en contrôlant les données disponibles en lignes, ou encore en demandant des documents justificatifs à l’entreprise. Chacun de ces contrôles possède ses particularités, c’est pourquoi il est important de s’y préparer, et d’assurer sa conformité au RGPD.
Le contrôle mené peut alors amener à différentes issues, notamment lorsque l’organisme s’avèrent non-conforme. On entre alors dans le champ des sanctions.
Ces articles pourraient vous intéresser :
- 6 leçons à retenir après la sanction de Carrefour par la CNIL
- Amende RGPD à l'égard de l'office HLM de la métropole de Rennes