En vertu de l’article 83 du nouveau règlement européen sur la protection des données (GDPR) applicable à partir de mai 2018, le montant des amendes potentielles a considérablement augmenté.    
Même si les autorités ont d’autres pouvoirs pour faire appliquer le GDPR, comme par exemple l’émission d’un avertissement ou d’une ordonnance, elles peuvent éventuellement infliger une amende maximale de 20 millions d’euros ou de 4% du chiffre d’affaires annuel mondial de l’exercice précédent.
Il existe deux catégories d’infractions:
  •  Celles qui font l’objet d’une amende pouvant s’élever à  20 millions ou 4% du chiffre d’affaires mondial annuel et        
  •  Celles qui font l’objet d’une amende moins importante pouvant s’élever à 10 millions d’euros ou jusqu’à 2% du chiffre d’affaires global annuel.  
Ci-dessous une liste des infractions assujetties à ces sanctions administratives:
1. Infractions punies par des amendes pouvant s’élever à 20 millions d’euros ou 4% du chiffre d’affaire mondial

Il s’agit d’une violation des principes suivants:

  •  Principes protection des données (art.5 voir ici pour plus de détails)
  •  Légitimité des traitements (un traitement doit être fondé sur le consentement, la performance d’un contrat, un intérêt légitime, une obligation légale etc.)
  • Les conditions pour obtenir un consentement valide (voir ici pour plus détails)
  • Conditions supplémentaires pour pour traité des catégories spéciales de données ou des données relatives aux infractions (art.9)

Les droits des personnes concernées sont les suivants :

- droit d’accès,

- droit d’opposition,

- droit de rectification,

- droit de suppression,

- droit de restriction,

- droit à la portabilité (voir article ici)

Chaque responsable de traitements doit être en mesure de répondre à toute sorte de demandes relatives aux droits des personnes concernées (voir ici pour plus d'information sur les droits des personnes)

Lorsque des données personnes sont transférées vers un pays hors UE ou une organisation internationale qui n’offrent pas un niveau de protection adéquat, il est nécessaire de mettre en place des garanties supplémentaires tels que les BCR, les clauses contractuelles types ou le privacy shield, certification etc.

Dans certaines circonstances, le responsable de traitement ou le sous-traitant peuvent transférer les données sur la base d’une exception prévue dans le réglement.

Certaines activités de traitements sont soumises aux lois des Etats membres. Le chapitre 9 du règlement permet aux Etats membres de poser leur conditions en ce qui concerne les secteurs/activités suivantes:

  • libertés de la presse/d’expression et de l’information
  • utilisation du numéro national d’identification
  • les exceptions relatives à l’archivage public, la recherche scientifique, historique et statistique
  • l’utilisation des données par les associations religieuses et l’Eglise

Le non respect des exigences légales des Etats membres est également une violation du Règlement.

Les autorités de contrôle ont le pouvoir de contrôler, de sanctionner mais également de donner des ordres ou avertissements.

La non conformité à ces ordres est susceptible de sanction. (voir art. 58 pour plus de détails)

2. Infractions punies par des amendes pouvant s’élever à 10 millions d’euros ou 2% du chiffre d’affaire mondial

Lorsqu’un enfant est âgé de moins de 16 ans, le consentement de ses parents est obligatoire pour traiter ses données personnelles.

La limite d’âge peut être abaissée à 13 ans dans certains Etats membres

Lors qu’un responsable de traitement n’a pas plus besoin d’identifier les personnes concernées, il ne devrait pas collecté ou conserver les données permettant cette identification dans le seul but d’être en conformité avec le Règlement.

Par exemple, nous pouvons imaginer qu’un responsable de traitement ne devrait pas continuer de pouvoir identifier les personnes concernées dans le seul but de répondre à une hypothétique demande de droit d’accès.

Si aucune mesure technique et/ou organisationnelle telles que des procédures n’ont été mises en place pour assurer la conformité des traitements au principes de protection des données (voir ici), ce devrait être considéré comme une violation de l’article 25.

Voir ici pour plus de détails sur la protection des données à la conception et par défaut

Les codes de conduites et les certifications permettent aux responsables de traitements ou sous-traitants de prouver leur conformité à certains points du Règlement.

Certaines entreprises d’un secteur peuvent adhérer à un code de conduite relatif à leur secteur d’activité et accepter d’être surveillé par des organes de surveillances indépendants.

D’autres peuvent obtenir un certificat (ou label) afin de prouver leur conformité. Le certificat est délivrer par un organisme indépendant.

Ainsi toute violation du certificat par les responsables de traitements ou des obligations relatives à l’indépendances etc. des organes de surveillance et de certification par ces derniers, peut être puni d’une amende

Les responsables conjoints de traitements ont l'obligation de s'accorder via un arrangement qui peut prendre la forme d'un contrat, sur leurs obligations respectives pour assurer la conformité du traitement conjoint avec le RGPD.

Lorsqu'un responsable de traitement n'est pas établi dans l'UE et est soumis à l'article 3(2) du RGPD (territorialité), il doit désigner un représentant situé dans un Etat Membre de l'UE.

Lorsqu'un responsable du traitement fait appel à un sous-traitant, il doit conclure un contrat spécifique avec ce dernier.

Le sous-traitant ne peut pas faire appel à d'autre sous-traitant sans l'autorisaiton préalable de ce dernier et, le cas échéant, doit conclure un contrat équivalent avec son propre sous-traitant (article 28).

Toute personne traitant des données pour le compte du responsable du traitement ne peut traiter ces données qu'en accord avec les instructions de ce dernier (article 29).

Les responsables du traitement et les sous-traitant doivent tenir un registre des traitements qu'ils mettent en oeuvre (sous réserve qu'une exception s'applique) (article 30).

Ils doivent également coopérer avec les autorités.

Selon l'article 32, le responsable du traitement et le sous-traitant doivent assurer la sécurité des données.

En cas de violation de données personelles qui peut résulter en un risque pour les droits et libertés des personnes concernées, le responsable du traitement doit notifier l'autorité compétente sans délai et au plus tard dans les 72heures de la prise de connaissance de l'incident. Le sous-traitant doit, le cas échéant, notifier son responsable du traitement sans délai dès lors qu'il prend connaissance de l'incident (article 33).

Si le risque pour les personnes concernées est très élevé, le responsable du traitement doit également les notifier au plus vite (article 34).

Lorsque le responsable du traitement souhaite mettre en oeuvre un traitement pouvant résulter en des risques élevés pour les personnes concernées, il doit mettre en oeuvre une analyse d'impact sur la protection des données (AIPD) (article 35).

Si suite à cette analyse, aucune mesure de limitation des risques ne s'avère suffisante, il doit consulter l'autorité compétente (article 36).

Le délégué à la protection des donnée n’est pas directement responsable de la non conformité des responsables de traitements ou sous-traitant au règlement.

Par conséquent, nous pouvons déduire qu’une violation de l’article 39 pourrait être l’impossibilité pour le délégué à la protection des données d’accomplir ses missions. (voir ici les missions du DPO)

Partage

RGPD : Sanctions (amendes administratives)
Étiqueté avec :