Après avoir laissé aux entreprises et aux organisations une période d’adaptation suite à l’entrée en vigueur du Règlement Européen sur la Protection des Données (RGPD) le 25 mai 2018, la CNIL compte renforcer ses contrôles et ses sanctions dans les mois à venir. L’objectif ? Pousser les acteurs économiques à accélérer leur mise en conformité.
Le RGPD s’applique aux grands groupes, aux PME, aux startups, aux associations et professions libérales, quel que soit leur niveau de développement, qui traitent des données personnelles, c’est-à-dire les collectent, les stockent et les utilisent.
La CNIL est l’autorité de contrôle en France pour le RGPD. Chaque année, elle définit un programme annuel de contrôles. En 2019, les priorités ont été le respect des droits des personnes, la répartition des responsabilités entre les sous-traitants et les donneurs d’ordre et les données des mineurs. La CNIL peut également décider d’opérer un contrôle suite à une réclamation ou un signalement visant une entreprise.
Les agents de la Cnil peuvent réaliser plusieurs types de contrôles
- un contrôle sur place dans l’entreprise. La CNIL n’a pas l’obligation de prévenir en amont le chef d’entreprise qu’un contrôle va être réalisé ;
- un contrôle sur pièces (communication du registre des traitements, etc.) ;
- une audition du chef d’entreprise ;
- un contrôle en ligne par exemple du site internet de l’entreprise et la politique de cookies.
Les contrôles peuvent donner lieu à plusieurs types de mesures en fonction des infractions. En effet, lorsqu’un manquement non significatif est constaté par la CNIL, elle peut adresser par courrier ses remarques au chef d’entreprise. En revanche, lorsque le manquement est plus important, la CNIL adresse une mise en demeure à l’entreprise afin qu’elle procède à des corrections ou peut le sanctionner.
Différents types de sanctions RGPD existent
Elles peuvent consister par exemple en :
- un rappel à l’ordre ;
- une injonction de mettre en conformité le traitement avec le RGPD y compris sous astreinte dont le montant peut s’élever à 100 000 euros par jour de retard ;
- une amende administrative d’un montant de 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans certains cas, ces seuils peuvent être portés à 20 millions d’euros et 4 % dudit chiffre d’affaires.
29/11/2019 -