Quelles sanctions pour non-respect des données personnelles ?

En résumé :

  • Les internautes qui naviguent sur votre site internet ont des droits ! Ces derniers visent à protéger les données personnelles récoltées par les sites internet.

  • Ces droits sont encadrés par le RDGP (Règlement européen sur la protection des données personnelles).

  • En France, c'est la CNIL qui veille à leur bonne application. En cas de manquement, l'éditeur du site s'expose à des sanctions.

Dans cet article

Données personnelles et sanctions

Quelles sont les différentes sanctions possibles en cas de non-respect du RGPD ?

Lorsque des manquements à la réglementation sur la protection des données personnelles (RGPD) sont portés à sa connaissance, la CNIL peut :

  • Prononcer un rappel à l'ordre ;

  • Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;

  • Limiter temporairement ou définitivement un traitement ;

  • Suspendre les flux de données ;

  • Ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;

  • Prononcer une amende administrative.

Bon à savoir

En fonction de l'infraction, le montant des sanctions pécuniaires peut s'élever de 10 à 20 millions d'euros. L'amende peut être portée à 4 % du chiffre d’affaires annuel mondial dans le cas d’une entreprise.

Sur quels critères la CNIL peut-elle sanctionner un non respect des données personnelles ?

Pour prononcer une amende administrative, la CNIL tient compte des éléments suivants :

  • La nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi.

  • Le fait que la violation a été commise délibérément ou par négligence.

  • Toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées.

  • Le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre.

  • Toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant.

  • Le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs.

  • Les catégories de données à caractère personnel concernées par la violation.

  • La manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation.

  • Lorsque des mesures telles qu'un avertissement ou un rappel à l'ordre, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures.

  • L'application de codes de conduite approuvés ou de mécanismes de certification approuvés (les cookies).

  • Toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

De plus, des sanctions pénales sont également prévues pour certaines situations.

Accueil
Communication
Communication d'entreprise
Données personnelles et sanctions