RGPD : quels sont les risques en cas de non conformité ?
Le Règlement général européen sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, impose un certain nombre d’obligations aux entreprises. L’application du RGPD et le respect de ses règles est assurée par une autorité de protection des données (APD) dans chaque pays membre de l’UE. En France, il s’agit de la CNIL.
La CNIL a la possibilité de faire des contrôles “sur site”, c’est-à-dire au sein de vos locaux, mais également en ligne, c’est-à-dire en naviguant sur votre site web. Ces contrôles sont aléatoires, mais peuvent aussi faire suite à des plaintes ou des signalements reçus par la CNIL, qui dispose d’un pouvoir de sanction.
Le risque de sanctions financières
En cas de non respect du RGPD, la CNIL peut ouvrir une procédure ordinaire :
- Vous recevrez une premier rappel à l’ordre, puis une injonction de se mettre en conformité (cette injonction peut être accompagnée d’une amende pouvant atteindre les 100 000 € par jour de retard)
- Vous pouvez recevoir une amende administrative pouvant atteindre les 10 millions d’euros ou 2% du CA annuel mondial de la société. Pour les manquements les plus graves, ce montant peut aller jusqu’à 20 millions d’euros et 4% du CA.
Il existe également une procédure simplifiée pour les dossiers peu complexes ou de faible gravité :
- Les sanctions ne peuvent pas être rendues publiques et sont limitées (rappel à l'ordre, amende d'un montant maximum de 20 000 euros, injonction avec astreinte plafonnée à 100 euros par jour de retard).
- Le président de la formation restreinte (ou un membre qu'il désigne) statue seul, et aucune séance publique n'est organisée, sauf si l'organisme demande à être entendu.
Le risque réputationnel
Au-delà du risque financier, un risque réputationnel pèse sur les entreprises. Aujourd’hui, se conformer au RGPD est un avantage concurrentiel certain, et un élément de réassurance indispensable vis-à-vis des clients et des partenaires.
En effet, à l’ère du Big Data, une entreprise qui ne se serait pas saisie du sujet de la protection des données personnelles n’inspire pas confiance. C’est pour cette raison que la CNIL peut décider de rendre publique la décision qu'elle adopte. Elle peut aussi imposer l'insertion, aux frais de l’organisme sanctionné, de la décision dans les journaux qu'elle désigne : l’impact sur la réputation de l’entreprise constitue en lui-même une importante sanction.
Le risque de perturbation ou de cessation de l’activité
Le non-respect des règles peut entraîner une interdiction administrative par la CNIL des traitements des données personnelles jugés non conformes, pouvant entraîner la suspension des activités de l'entreprise fondées sur ces traitements. Le temps nécessaire à la mise en conformité de ces traitements et donc à la reprise de l’activité mettra l’entreprise dans une situation difficile.
En outre, la CNIL a le pouvoir de retirer une certification, et de suspendre le flux de données adressées aux destinataires situés dans un pays étranger ou organisation internationale. Ces sanctions peuvent également largement perturber l’activité de l’entreprise.
La Nouvelle Vague propose une formation spécifique à la mise en conformité RGPD, afin de vous aider à mettre votre site à niveau par rapport aux exigences réglementaires, et ainsi éviter tout risque de sanction !
