En vertu de l’article 83 du règlement général sur la protection des données (RGPD), le montant des amendes potentielles a considérablement augmenté.
Bien que les autorités aient d’autres pouvoirs pour faire appliquer le RGPD, telles que les mises en demeure, les avertissement ou des ordres, elles peuvent éventuellement infliger des sanctions financières pourvant s’élever à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.
Selon la gravité de la violation des dispositions du règlement, le montant maximum des sanctions sont les suivants :
- 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu; et
- 10 millions d’euros ou jusqu’à 2% du chiffre d’affaires global annuel.
1. Violations punies par des amendes pouvant s’élever à 20 millions d’euros ou 4% du chiffre d’affaire mondial
Les sanctions sont applicables lorsque :
- le traitement de données n'est pas conforme les principes de la protection des données prévues à l'articles 5 du RGPD tels que le principe de transparence, de proportionalité etc. (voir ici pour plus de détails);
- le traitement de données est dépourvue de base légale prévues à l'article 6, 9 et 10 selon qu'il s'agisse ou non de données personnelles sensibles. En effet, un traitement doit être fondé sur le consentement, la performance d’un contrat, un intérêt légitime ou une obligation légale etc.. Lorque des données sensibles sont traitées, leur traitement doit reposer sur une base légale prévues aux articles 9 ou 10 (voir ici pour plus de détails) ;
- les conditions de validité du consentement ne sont pas réunies. En effet, le consentement doit être informé, libre, spécifique et univoque. Lorsque des catégories particulière de données sont concernées, il doit également être explicite (voir ici pour plus détails);
Chaque responsable de traitement doit être en mesure de répondre à toute sorte de demandes relatives aux droits des personnes concernées (voir ici pour une vue d'ensemble des droits des personnes).
Les droits des personnes concernées sont les suivants :
- droit d’accès ;
- droit d’opposition ;
- droit de rectification ;
- droit de suppression ;
- droit de restriction ;
- droit à la portabilité (voir ici pour plus de détails).
Lorsque des données personnelles sont transférées vers un pays hors UE ou une organisation internationale qui n’offrent pas un niveau de protection adéquat, il est nécessaire de mettre en place des garanties supplémentaires telles que les BCR, les clauses contractuelles types ou le privacy shield etc.
Dans certaines circonstances, le responsable de traitement ou le sous-traitant peuvent également transférer les données sur la base d’une exception prévue dans le réglement.
Certaines activités de traitement sont soumises aux lois des Etats Membres. Le chapitre 9 du règlement permet à ces derniers de légiférer sur les traitements de données personnelles mis en oeuvre dans les secteurs/activités suivantes:
- libertés de la presse/d’expression et de l’information ;
- utilisation du numéro national d’identification ;
- les exceptions relatives à l’archivage public, la recherche scientifique, historique et statistique ;
- l’utilisation des données par les associations religieuses et l’Eglise ;
Le non-respect des exigences légales des Etats Membres est également une violation du Règlement.
Les autorités de contrôle ont le pouvoir de contrôler, de sanctionner mais également de donner des ordres ou avertissements.
La non-conformité à ces ordres est susceptible de sanction (voir l'art. 58 du RGPD pour plus de détails).
2. Violations punies par des amendes pouvant s’élever à 10 millions d’euros ou 2% du chiffre d’affaire mondial
Lorsqu’un enfant est âgé de moins de 16 ans, le consentement de ses parents est obligatoire pour traiter ses données personnelles via des services fournis en ligne.
La limite d’âge peut être abaissée à 13 ans dans certains Etats membres
Lorsqu’un responsable de traitement n’a pas plus besoin d’identifier les personnes concernées, il ne devrait pas collecter ou conserver les données permettant cette identification dans le seul but d’être en conformité avec le Règlement.
Par exemple, responsable de traitement ne devrait pas continuer de pouvoir identifier les personnes concernées dans le seul but de répondre à une hypothétique demande de droit d’accès.
Les principes de protection des données dès la conception et par défaut impliquent que les responsables de traitement mettent en place les mesures techniques et/ou organisationnelles nécessaires pour assurer la conformité de leurs traitements de données aux principes relatifs à la protection des données.
Les codes de conduites et les certifications permettent aux responsables de traitements ou sous-traitants de prouver la conformité de certaines activités de traitement au Règlement.
En adhérant à un code de conduite, l'organisme accepte d’être contrôlé par des organes de surveillances indépendants.
D’autres peuvent obtenir un certificat (ou label) délivré par un organisme indépendant afin de prouver leur conformité.
Toute violation des dispositions relatives aux certificats et codes de conduite en ce y compris les obligtions des organes de surveillance et de certification, peut être puni d’une amende.
Les responsables conjoints de traitements ont l'obligation de s'accorder via un arrangement qui peut prendre la forme d'un contrat, sur leurs obligations respectives pour assurer la conformité au RGPD du traitement mise en oeuvre conjointement.
Lorsqu'un responsable de traitement n'est pas établi dans l'UE et est soumis à l'article 3(2) du RGPD (territorialité), il doit désigner un représentant situé dans un Etat Membre de l'UE.
Lorsqu'un responsable du traitement fait appel à un sous-traitant, il doit conclure un contrat spécifique avec ce dernier.
Le sous-traitant ne peut pas faire appel à d'autre sous-traitant sans l'autorisaiton préalable de ce dernier et, le cas échéant, doit conclure un contrat équivalent avec son propre sous-traitant (article 28).
Toute personne traitant des données pour le compte du responsable du traitement ne peut traiter ces données qu'en accord avec les instructions de ce dernier (article 29).
Les responsables de traitement et les sous-traitants doivent tenir un registre des traitements qu'ils mettent en oeuvre (sous réserve qu'une exception s'applique) (article 30).
Ils doivent également coopérer avec les autorités.
Selon l'article 32, le responsable du traitement et le sous-traitant doivent assurer la sécurité des données.
En cas de violation de données personelles qui peut résulter en un risque pour les droits et libertés des personnes concernées, le responsable du traitement doit notifier l'autorité compétente sans délai et au plus tard dans les 72heures de la prise de connaissance de l'incident. Le sous-traitant doit, le cas échéant, notifier son responsable du traitement sans délai dès lors qu'il prend connaissance de l'incident (article 33).
Si le risque pour les personnes concernées est très élevé, le responsable du traitement doit également les notifier au plus vite (article 34).
Lorsque le responsable du traitement souhaite mettre en oeuvre un traitement pouvant résulter en des risques élevés pour les personnes concernées, il doit conduire une analyse d'impact relative à la protection des données (AIPD) (article 35).
Si suite à cette analyse, aucune mesure de limitation des risques ne s'avère suffisante, il doit consulter l'autorité compétente (article 36).
Pour toute question, n’hésitez pas à contacter Arnaud Blanc, Avocat
Cette publication est également disponible en en_GB.