Logo Dipeeo - Votre DPO externe

Sanction rgpd

Sanction RGPD

Tout organisme, qui collecte et traite des données personnelles, est concerné par un contrôle de la part de la CNIL, et donc susceptible d’avoir une sanction rgpd et de payer une amande RGPD auprès de la CNIL.

Que vous soyez responsable de traitement ou sous-traitant, vous risquez des sanctions RGPD auprès de la CNIL, pour votre manque de connaissances de dispositions RGPD. En effet, en cas de contrôle ou de plaintes, la CNIL pourrait vous mettre une amende RGPD allant jusqu’à des millions d’euros.

Ça pourrait également être en fonction de la taille de votre entreprise, de telle sorte que vous paierez une amende de 4% de votre chiffre d’affaires annuel. Pire que ça, les sanctions peuvent être rendues publiques ! L’impact sur l’image peut-être alors très important. Plusieurs Startup ont été très impactées, comme Nestor.

Depuis son entrée en vigueur en 2018, le RGPD a prévu des sanctions ainsi que des mesures que les organismes, publics et privés, doivent mettre en place afin d’être en conformité à cette nouvelle réglementation, qui concerne le traitement des données personnelles.

Dans le cas contraire, beaucoup d’entreprises françaises et multinationales ont dues payer des amendes auprès de la CNIL, allant jusqu’à des centaines de millions d’euros.

Les points à perdre
avant d’avoir une sanction RGPD

Avant de parler des sanctions RGPD, il faut souligner que l’un des points clés d’un organisme, peu importe sa taille, est sa mise en conformité RGPD. Au-delà des sanctions RGPD qu’il risque, un organisme qui n’est pas conforme, est avant tout exposé à des risques qui touchent principalement à son Business. Aujourd’hui, les entreprises sont de plus en plus averties quand il s’agit du RGPD.

Par ailleurs, la CNIL exige aux entreprises de ne travailler qu’avec des organismes conformes. Des organismes qui sont capables de protéger les données personnelles qu’elles traitent. Il s’agit d’un sujet tellement sensible, que si vous travaillez avec un prestataire qui n’est pas conforme, vous ne pourrez rien faire en cas de perte de données à caractère personnel. Cela va, tout simplement, être dû à votre manque de vigilance lors de la signature du contrat.

A retenir : Certes, le risque d’être contrôlée par la CNIL ou d’avoir des plaintes de la part de ses clients et employés est assez dépendant de votre activité. Mais vous êtes avant tout exposé à des risques de business, dans la mesure où la transformation des leads en clients, ne sera pas une tâche facile.

charte informatique cnil rgpd

Sanction RGPD vs Exigences

Pour éviter de payer des sanctions RGPD auprès de la CNIL, les point à mettre en conformité RGPD ne sont pas aussi nombreux qu’il y parait. Pour être conforme, le RGPD exige de mettre en place et de tenir certains documents, ainsi que de respecter certaines conditions.

A ce sujet, le RGPD comprend différents éléments clés comme les pratiques RH, la prospection commerciale, la sensibilisation des employés…

D’abord, en ce qui concerne la sensibilisation des employés aux bonnes pratiques RGPD, il faut savoir que vous ne pouvez pas contrôler tous vos employés. En revanche, vous pouvez choisir de les sensibiliser. Pour ce faire, partagez notre article sur les bonnes pratiques RGPD avec eux. Vous leur faciliterez la vie !

Ensuite, un deuxième point pour être conforme concerne les règles RGPD en relation avec les ressources humaines. Le sujet est tellement sensible que les entreprises reçoivent de plus en plus de plaintes de la part de leurs employés. Raison de plus que le RGPD exige de mettre en place une politique de confidentialité, qui consiste à informer les employés des traitements réalisés, ainsi que de leurs droits. Vous l’avez compris, le volet information des employés est clé.

Le respect des consentements est également un point qu’il ne faut pas oublier. Selon la CNIL, en B to B, la seule condition exigée est de mettre un bouton de désabonnement permettant à la personne contactée de s’y opposer. En revanche, en B to C, le consentement doit impérativement être demandé avant même de passer à l’acte de prospection proprement dit. Le consentement doit être clair, libre et compréhensible.

sanction rgpd sanction cnil amende rgpd rgpd sanctions cnil sanction

Pour plus de détails concernant ce point, vous pouvez également consulter notre article qui parle des 11 astuces pour mieux prospecter commercialement en respectant le RGPD.

Dernièrement, il ne faut pas oublier que le respect des durées de conservation doit, impérativement, être pris en considération. Autrement dit, pour être conforme, la CNIL a défini des durées que tout organisme qui traite des données personnelles ne doit pas dépasser, quant à la conservation de celles-ci. Là encore, si vous voulez aller plus loin, notre article sur les Durées de conservation vous permettra de comprendre mieux le sujet.

Pour plus de détails concernant l’un de ces sujets (ou tous), vous pouvez prendre un RDV avec l’un de nos experts. C’est gratuit ! 😊

sanction rgpd sanction cnil et sanctions rgpd

Les natures de sanctions RGPD

En fonction de ce qu’il n’a pas respecté en termes de RGPD, tout organisme contrevenant à ces règles va être exposé à des sanctions de diverses natures, à savoir : administratives, pénales, correctrices et versement de dommages.

Les sanctions administratives

Le RGPD a prévu des mesures correctives, quand il s’agit de sanctions administratives. C’est l’article 58 du RGPD qui prévoit ce type de sanctions, et offre le pouvoir aux autorités de contrôle de prononcer des mesures correctives. Ces mesures peuvent être prises avant même les amandes ne soient prononcées et ce, en complément des sanctions administratives. Ça peut donc être un avertissement ou une mise en demeure de l’organisme contrevenant aux règles imposés par le RGPD, comme ça peut être une suspension temporaire des traitements de données à caractère personnel.

Les sanctions pénales

L’article 84 du RGPD prévoit des sanctions supplémentaires s’il y avait eu violation du RGPD. En France, en cas de détournement de la finalité lors du traitement des données personnelles, l’article 226-21 du code pénal prévoit une sanction rgpd qui peut aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.

Le versement
de dommages et d’intérêts et le déficit d’image

En plus de ces sanctions, la violation du RGPD peut impliquer d’autres conséquences telles que :

  • Rendre publique la violation commise par l’entreprise. Autrement dit, la CNIL a le pouvoir d’imposer à l’organisme fautif de publier la sanction.
  • Dommages et intérêts : la violation du RGPD peut impacter les victimes matériellement ou moralement. L’organisme fautif peut donc être condamné à verser des dommages et intérêts.

sanction rgpd sanction cnil amende rgpd rgpd sanctions cnil sanction

Sanction RGPD :
une procédure corrective plus simplifiée

Face aux plaintes qui ne cessent d’augmenter au jour le jour, la CNIL a choisi d’adopter une nouvelle procédure plus simple, quand il s’agit de dossiers peu complexes. Alors même que le nombre de mesures correctives que la CNIL a prononcées dépasse la centaine en 2021 (18 sanctions et 135 mises en demeure), le nombre de plaintes continu d’augmenter (14 000 plaintes en 2021).

Il va sans dire que les dossiers étudiés par la CNIL sont aussi nombreux que variés. Quand on parle de variété, on parle de gravité, des technologies, des différentes questions juridiques, ainsi que de l’impact sur les personnes, que ce soit moral ou matériel.

 Dorénavant, la présidente de la CNIL, Marie-Laure Denis, pourrait suivre une procédure de sanction rgpd considérée comme étant simplifiée. La seule différence entre les deux procédures ordinaire et simplifiée, c’est que les modalités de cette dernière sont plus allégées que la première.

En effet, pour prononcer une sanction rgpd simplifiée, il faut suivre les mêmes étapes que quand il s’agit de la procédure ordinaire. Par contre, aucune séance publique ne sera prévue, sauf si l’entreprise contrevenant aux règles imposés par le RGPD demande à être entendue.

Qui la CNIL contrôle t-elle ? - Les organismes susceptibles d'avoir une amende RGPD

Comme son nom l’indique, la Commission Nationale de l’Informatique et des Libertés est le régulateur des données personnelles. C’est une autorité administrative chargée de contrôler tout organisme susceptible de traiter des données à caractère personnel. Que vous soyez responsable de traitement ou sous-traitant, notez que, dés lors que vous commencez à collecter et à traiter des données personnelles, vous êtes concernés par un contrôle de la part de la CNIL, et donc susceptibles d’avoir une amande RGPD.

Par ailleurs, le Règlement Général sur la Protection des Données donne le pouvoir au régulateur de données personnelles de faire des contrôles auprès des organismes sous-traitants qui ont comme mission de traiter des données pour le compte d’un responsable de traitement. Celui-ci peut être lui aussi exposé à payer une amende RGPD. On peut citer à titre d’exemple le cas d’une maintenance ou d’un hébergement pour un organisme tiers.

Suis-je concerné par une sanction RGPD de la CNIL si mon entreprise n’est pas en France ?

Etant donné son pouvoir de faire des vérifications auprès des entreprises qui traitent des données, la CNIL a par ailleurs, le pouvoir de procéder à des contrôles dans le cadre des activités exercées par un organisme sur le territoire français et ce, que le traitement a été effectué ou non en France. En cas de non respect du règlement, cet organisme peut donc avoir une amende RGPD. 

De plus, et dans le cadre du RGPD, le régulateur de données personnelles a aussi le pouvoir de procéder à des contrôles, dés lors que le traitement touche essentiellement à des personnes résidant en France. Un contrôle qui concerne tous les organismes, peu importe leur taille, qu’ils soient ou non situées en France.

L’autorité administrative peut, d’ailleurs exercer ses missions dans le cadre d’une coopération avec d’autres autorités de protection de données à caractère personnel, au cas où l’organisme dispose de différents établissements dans l’Union Européenne.

registre de traitement rgpd données personnelles cnil

Quelques sanctions RGPD que vous devez connaitre

Il va sans dire que les sanctions RGPD les plus marquantes sont celles qui ont été prononcées contre les grands organismes et établissements, pour leurs montants qui s’élèvent à des milliers, voire des millions d’euros. Voici donc quelques exemples de celles-ci.

Amendes prononcées par la CNIL :

CLEARVIEW AI : 20 millions d’euros / le 20 octobre 2022

Etant spécialisée dans la reconnaissance faciale, Clearview propose un logiciel de recherche de visages dans une base de plus de 20 milliards d’images. En revanche, il s’agit d’une méthode qui ne respecte pas le RGPD de telle sorte que la société des données de n’importe quel site internet.

Problèmes :

  • pas de consentement des personnes ;
  • absence de base légale ;
  • absence de prise en compte du droit des personnes ;
  • non coopération avec la CNIL.

EDF : 600 000 € / le 29 novembre 2022

Manquements observés :

  • Pas de demande de consentement des personnes à recevoir de la prospection commerciale ;
  • Pas de sécurité de données à caractère personnel ;
  • Manquement à l’obligation d’information.

En plus de recevoir une amende, l’information a été rendue publique par la CNIL.

Nestor : 20 000 € / le 05 janvier 2021

Manquements observés :

  • Pas de consentement des personnes ;
  • Un manquement à l’obligation d’information des personnes ; 
  • Non respect de droit d’accès des personnes ; 
  • Manque de sécurité de données personnelles.

Carrefour : 3 millions € / le 26 novembre 2020

Manquements observés :

  • Avoir délivré une information confuse sur les traitements effectués sur les sites web ;
  • Demande de pièce d’identité à des personnes pour faire valoir leurs droits ;
  • Pas de retour aux demandes de droit d’accès ou aux droits d’opposition des personnes qui avaient été exprimés.

 

Amendes rgpd prononcées par la Commission irlandaise de protection des données (DPC) :

Meta : 275 Millions d’euros, le 28 novembre 2022

WhatsApp : 225 millions d’euros , le 2 septembre 2021

 

Amende rgpd prononcée par le Comité européen pour la protection des données :

Instagram : 405 millions d’euros, le 15 septembre 2022

 

Vous pouvez consulter le GDPR Enforcement Tracker, un aperçu de toutes les amendes et sanctions RGPD qui ont été prononcées par les autorités de protection de données à caractère personnel. Etant toute amende RGPD ne peut être rendue publique, il s’agit d’une liste qui ne peut être complète. Cependant, cette liste est maintenue à jour et ce, en répertoriant toute nouvelle amende rgpd prononcée par l’une des autorités de contrôle de données personnelles.  

Sanction rgpd et amende rgpd

Dipeeo : c'est un DPO externalisé qui traite tous les sujets RGPD pour vous

Cela va vous permettre de gagner du temps et de sécuriser votre business, pour un coût près de 3 fois moindre qu’un cabinet d’avocat

Icone dpo_externe
Icone dpo_externe
Icone dpo_externe
Icone dpo_externe

DPO externalisé à vos côtés

Conformité RGPD globale

Simple et rapide

Le label "RGPD Conforme" délivré

Vous êtes à la recherche d’un DPO externe ? 

Nous sommes là pour vous aider. 

Tous nos DPO sont certifiés par l'AFNOR et justifient d'une
expérience significative

Envie de découvrir
Dipeeo ?
Demander une démo !

Nous sommes disponibles pour échanger sur vos besoins
et vous présenter le service de DPO externalisé Dipeeo
 
Votre DPO externalisé réalise votre mise en conformité et traite
tous les sujets RGPD au quotidien

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.

Les ressources disponibles

charte informatique cnil rgpd

Exemple de Charte RGPD

La Charte RGPD Rédiger ma Charte RGPD La Charte RGPD de Dipeeo Comment rédiger vos mentions RGPD ? La Charte de Données Personnelles est-elle obligatoire...

Read More