07 69 33 80 05 contact@avocat-koc.com

Actualités

RGPD : Lourdes sanctions en cas de manquement

Le règlement RGPD (Règlement général sur la protection des données) d’application depuis le 25 Mai 2018, change la donne pour la gestion des risques de l’entreprise.

1. Une gradation des sanctions administratives

Le montant des sanctions de la CNIL prévu antérieurement par la loi du 6 janvier 1978 dite « Informatique et libertés » ne pouvait excéder 150.000 euros pour un premier manquement. En cas de récidive dans les cinq ans à compter de la date du prononcé de la sanction devenue définitive, le montant ne pouvait excéder 300.000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300.000 euros.

La loi pour une République numérique du 7 octobre 2016 est venue renforcer le pouvoir de sanction de la CNIL.

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

Avec le RGPD les autorités de protection des différents pays de l’UE peuvent notamment :

  • Prononcer un avertissement ;
  • Mettre en demeure l’entreprise ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
  • Ordonner la rectification, la limitation ou l’effacement des données.

S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Ce montant doit être rapporté au fait que, pour les traitements transnationaux, la sanction sera conjointement adoptée entre l’ensemble des autorités concernées, donc potentiellement pour le territoire de toute l’Union européenne.

Dans ce cas, une seule et même décision de sanction décidée par plusieurs autorités de protection sera infligée à l’entreprise.

2. Des sanctions pénales

Par ailleurs, en plus des sanctions administratives de la CNIL, l’article 84 1° du Règlement RGPD énonce que les Etats peuvent déterminer le régime des sanctions applicables en cas de violation des obligations prévues.

A ce titre, les sanctions pénales en cas de manquement aux règles en matière de protection des données sont déjà prévues en droit français et réprimées par les articles 226-16 à 226-24 du Code pénal. Elles peuvent être résumées de la manière suivante :

Non respect de l’article 34 de la loi informatique relatif à l’obligation de sécurité       

art 226-17 et 226-17-1 du Code pénal

Peines : 300 000,00 € amende et 5 ans d’emprisonnement

Détournement de la finalité des données personnelles

Art. 226-21 du Code pénal

Peines : 300 000,00 € et 5 ans d’emprisonnement

Procéder à un transfert de données transfrontières contrevenant par la commission des communautés européennes

Art. 226-22-1 du Code pénal

Peines : 300 000,00 € et 5 ans d’emprisonnement

Absence d’information des personnes concernées

Art. R 625-10 du Code pénal

Peines : 1 500,00 € d’amende par infraction constatée

Non respect des droits des personnes concernées

Art R 625-11 du Code pénal

Peines : 1 500,00 € d’amende par infraction constatée

Contact

A propos

Expert en droit des données, le cabinet de Me. KOC vous accompagne dans vos problématiques touchant à la data protection, à la compliance, à l’e-santé, à l’algorithme, à la blockchain, aux crypto-monnaies… Le cabinet possède aussi une grande expertise en droit du dommage corporel.

Contact

91, rue du Fbg. Saint-Honoré 75008 PARIS

contact@avocat-koc.com

07 69 33 80 05