Nous avons une mauvaise et une bonne nouvelle pour vous.
La mauvaise nouvelle est que vous êtes sous la menace d'amendes RGPD parce que le RGPD s'applique probablement à votre entreprise.
La bonne nouvelle est que la conformité au RGPD ne nécessite pas trop d'efforts et de ressources pour éviter les pénalités.
Nous aidons les entreprises à se conformer au règlement général sur la protection des données (RGPD) et à éviter les pénalités RGPD, c'est pourquoi nous suivons de près les évolutions de la confidentialité des données dans le monde entier et les activités des autorités de protection des données. Nous constatons que:
- La sensibilisation autour des droits de confidentialité des données augmente, ce qui....
- conduit à une augmentation du nombre de plaintes RGPD, ce qui...
- entraîne une augmentation du nombre de sanctions liées au RGPD, mais...
- Ces pénalités auraient pu être évitées facilement avec un peu d'éducation et de mesures.
C'est formidable que vous soyez conscient de l'examen minutieux des amendes RGPD - c'est la première grande étape pour les éviter. L'étape suivante serait d'avoir une idée de l'ampleur de la menace et de la façon d'y faire face. Cet article répondra aux questions que vous vous posez, telles que:
- Quelles sont les amendes liées au RGPD?
- Quelles sont les raisons les plus courantes des amendes RGPD?
- Quelle est la procédure à suivre avant de se voir infliger une amende?
- Quel est le montant des amendes RGPD?
- Qui peut se voir infliger une amende?
- Les particuliers peuvent-ils se voir infliger des amendes RGPD?
- Les entreprises non européennes peuvent-elles se voir infliger des amendes RGPD?
- Des personnes ont-elles été condamnées à des amendes pour des infractions au RGPD? (Indice : oui)
- Comment éviter les amendes liées au RGPD.
À la fin de cet article, vous saurez ce que vous devez faire pour éviter d'être condamné à une amende par une autorité de protection des données ou un tribunal et comment protéger les finances et la réputation de votre entreprise.
Quelles sont les amendes prévues par le RGPD?
L'une des cinq choses qu'une autorité de contrôle peut vous faire si vous ne respectez pas le RGPD est de vous infliger une amende.
Si vous enfreignez la loi, cinq mesures peuvent vous être imposées:
- Les avertissements et les réprimandes. Vous pouvez vous en tirer avec un avis ou une réprimande pour des violations mineures qui ne causent pas de préjudice important aux personnes concernées.
- Interdiction temporaire ou permanente de traitement des données personnelles. Si vos activités de traitement des données sont illégales, l'autorité de protection des données peut interdire votre traitement. L'interdiction peut être temporaire ou permanente.
- Mise en conformité du traitement des données. L'autorité de contrôle peut également vous obliger à mettre votre traitement des données en conformité. Elle est généralement accompagnée d'instructions sur la manière de procéder.
- Effacement des données. Cette mesure est généralement prise lorsque le responsable des données ne donne pas suite à une demande d'effacement ou lorsque des informations personnelles sont collectées sans base juridique ou sans consentement.
- Les amendes administratives. C'est ce qui effraie les entreprises. Les amendes administratives sont monétaires et peuvent être importantes, en fonction de la gravité de la violation. Là encore, il n'y a pas de minimum, mais seulement un plafond fixé à 4 % du chiffre d'affaires annuel ou à 20 millions d'euros, le montant le plus élevé étant retenu.
Vous pouvez obtenir une, deux ou plusieurs sanctions pour les mêmes violations si les autorités le jugent nécessaire. Par exemple, vous pouvez être condamné à une amende, à l'effacement des données des clients et à une interdiction temporaire de traitement des données. Vous pouvez également recevoir un blâme et être invité à mettre votre traitement en conformité. Tout dépendra des circonstances de votre cas.
Outre les amendes, les organisations qui enfreignent la loi peuvent également être condamnées à verser des dommages et intérêts. Si la violation porte préjudice aux personnes concernées par l'infraction, vous serez également tenu de payer ces dommages.
Par exemple, si vous êtes victime d'une violation de données exposant l'historique de navigation de vos utilisateurs, ce qui entraîne des problèmes de vie privée, vous devrez payer les dommages. Il se peut aussi que vous ayez recours à la prise de décision automatisée, ce qui a une incidence sur les services et les produits auxquels les utilisateurs ont accès. Si cela viole leurs droits de consommateurs et qu'ils subissent des dommages, vous serez tenu de payer.
Quelles sont les raisons les plus courantes des sanctions liées au RGPD?
Si vous regardez les informations qui sont à la disposition du public sur les cas de RGPD, vous pouvez voir que certaines des raisons les plus courantes pour les pénalités RGPD sont:
- Le traitement des données personnelles sans obtenir un consentement valide.
- Ne pas répondre aux demandes des personnes concernées pour exercer leurs droits en matière de confidentialité des données.
- Ne pas mettre en œuvre des mesures de sécurité des données adéquates pour prévenir les violations de données et protéger les informations personnelles.
- ne pas mettre en œuvre des mesures techniques et organisationnelles adéquates pour la protection des données
- ne pas vérifier les processeurs de données avant de les engager (vous êtes responsable si votre processeur de données ne respecte pas les règles).
- Transferts internationaux de données vers des pays tiers qui ne sont pas conformes.
- Utilisation de systèmes de vidéosurveillance sans base légale
- Traitement de plus que le strict minimum de données personnelles
- Publication des données d'autres personnes sans base légale
N'oubliez pas qu'il ne s'agit pas d'une liste exhaustive. Toute infraction au RGPD peut entraîner des sanctions liées au RGPD.
Quelle est la procédure à suivre avant de se voir infliger une amende ?
Vous savez que vous n'êtes pas conforme, et vous savez que vous pouvez être mis à l'amende. Si personne n'est au courant de votre violation (sauf vous) et qu'il est possible d'y remédier facilement, allez-y et mettez vos pratiques de confidentialité en conformité dès que possible. Personne ne saura que vous n'avez pas été conforme par le passé, et vous éviterez les amendes RGPD.
Si votre gestion des données a été auditée par l'autorité de contrôle ou si une personne concernée s'est plainte auprès de vous, c'est là que les choses se compliquent. Ce processus se déroule comme suit:
- L'autorité de contrôle prend connaissance de votre infraction au RGPD. Cela peut arriver soit en réalisant un audit sur votre entreprise, soit par un utilisateur qui a déposé une plainte;
- L'autorité de contrôle enquête sur les infractions. Les autorités enquêteront sur toutes vos pratiques en matière de confidentialité des données - et pas seulement sur celles liées à la plainte. Cela signifie que si un seul de vos utilisateurs se plaint d'une seule violation de votre part, l'agence de protection des données enquêtera sur tout ce que vous faites avec les données personnelles, révélera éventuellement de nombreuses autres violations et vous infligera une amende pour toutes les infractions. À ce stade, vous avez encore la possibilité d'éviter les amendes. Une décision de l'autorité autrichienne de protection des données indique que vous pouvez encore régler les problèmes avant la fin de la procédure avec l'autorité de protection des données;
- Le superviseur prend une décision sur la base des résultats de l'enquête. Si vous avez violé le RGPD, c'est la phase où vous recevez une amende ou une autre sanction pour vos violations.
- Vous pouvez faire appel auprès de la Cour. Si vous n'êtes pas satisfait de la décision de l'APD, vous pouvez faire appel auprès des tribunaux du pays d'origine de l'APD. Le tribunal confirmera la décision de l'APD ou l'annulera.
- La personne concernée peut intenter une action en justice pour obtenir des dommages et intérêts et une indemnisation. Si la personne concernée a perdu son salaire, est tombée malade, a consulté un conseiller ou a fait autre chose à cause des violations, vous devrez payer pour cela.
Quel est le montant des amendes prévues par le RGPD?
Le RGPD ne fixe qu'un plafond pour les amendes administratives. Ce plafond est fixé soit à 20 millions d'euros, soit à 4 % du chiffre d'affaires annuel - le montant le plus élevé étant retenu.
Le RGPD prévoit deux niveaux de sanctions:
- Niveau 1 - pour les violations moins graves, plafonnées à 10 millions d'euros ou à 2 % du chiffre d'affaires annuel - le montant le plus élevé étant retenu. Les sanctions de niveau 1 concernent les entreprises qui ne désignent pas de DPD, ne conservent pas de registres de traitement des données, ne traitent pas les données sur la base d'accords de traitement des données, etc. Il s'agit d'infractions moins graves. En général, ces infractions sont formelles et n'ont pas de conséquences négatives. Par exemple, le fait de ne pas avoir désigné un DPD ou de ne pas avoir mis en place un accord de traitement des données ne présente pas un risque important pour la confidentialité des données. Il s'agit simplement du non-respect des exigences formelles de la loi, ce qui est très différent des infractions et des sanctions de niveau 2 ;
- Niveau 2 - des violations graves, plafonnées à 20 millions d'euros ou à 4 % du chiffre d'affaires annuel, le montant le plus élevé étant retenu. Vous risquez une telle amende si vous violez les droits des personnes concernées en ne répondant pas à leurs demandes, en traitant des données personnelles sans consentement ou sans autre base juridique, en ne supprimant pas les données des utilisateurs lorsqu'ils vous le demandent, en effectuant des transferts de données internationaux qui ne respectent pas les règles du RGPD, en laissant fuir des données, en enfreignant l'une des règles de base du RGPD, ou quelque chose de similaire.
Si vous comparez les violations de niveau 1 et de niveau 2, vous remarquerez que les violations de niveau 2 sont substantielles et affectent considérablement la vie privée en ligne. Le non-respect du RGPD entraîne le plus souvent de lourdes amendes de niveau 2. Les amendes de niveau 1 concernent des infractions mineures à la loi qui n'ont pas une grande incidence sur la vie privée.
Le RGPD prévoit-il une amende minimale?
Non, il n'y a pas de minimum. Vous pouvez obtenir une amende de quelques centaines d'euros pour des violations moins graves.
Cependant, le montant que vous devrez payer dépend de votre revenu actuel. Les paliers d'amende ont été conçus pour que les particuliers et les entreprises le sentent bien. Elles ne sont jamais insignifiantes.
Quel est le montant de l'amende prévue par le RGPD en cas de violation de données ?
Les violations de données sont des infractions de niveau 2, de sorte que l'amende maximale serait de 20 millions d'euros ou de 4 % du revenu annuel de l'entreprise, le montant le plus élevé étant retenu.
Il est important de noter que toutes les violations de données ne se soldent pas par des amendes. Il arrive que des violations se produisent malgré les efforts considérables déployés par le responsable du traitement des données. Dans ce cas, les autorités peuvent être clémentes avec vous ou ne pas vous infliger d'amende financière.
Cependant, les autorités ne pardonnent jamais à une personne de ne pas avoir signalé une violation. Si vous ne les informez pas dans les 72 heures et qu'elles l'apprennent ailleurs, vous aurez des problèmes juridiques et financiers.
Qui peut être sanctionné par le RGPD?
Toute entreprise ou personne à laquelle le RGPD s'applique peut se voir infliger une amende.
Le RGPD s'applique à:
- Toutes les entreprises et tous les particuliers de l'Union européenne. Si votre entreprise est constituée dans un pays de l'UE, le RGPD s'applique à votre entreprise. Si vous menez un projet en ligne, tel qu'un blog, une lettre d'information ou quelque chose de similaire, et que vous vivez dans l'UE, le RGPD s'applique également.
- Les entreprises et les personnes non européennes qui traitent les données des citoyens de l'UE. Si votre entreprise n'est pas constituée dans l'UE, ou si vous dirigez votre projet non constitué en société depuis l'extérieur de l'UE, le RGPD ne s'applique que lorsque vous traitez des données concernant des Européens. Par conséquent, si vous êtes une entreprise américaine traitant des données de résidents américains, le RGPD ne s'applique pas à vous, et aucune sanction ne vous menace. Si vous êtes une entreprise américaine traitant des données d'Européens, le RGPD ne s'applique que lorsque vous traitez leurs données, et vous pourriez être condamné à une amende en cas de violation.
Tant que l'une de ces deux catégories vous décrit, le RGPD s'applique à vous, et vous êtes sous le coup d'amendes RGPD.
Quelqu'un a-t-il été condamné à une amende pour une violation du RGPD?
Des milliers d'entreprises, d'institutions gouvernementales et de particuliers ont été mis à l'amende pour des infractions au RGPD. Les médias ne dérangent pas les petites entreprises, et elles ne font pas non plus savoir au monde entier qu'elles ont été sanctionnées, mais cela ne signifie pas que les autorités chargées de la protection des données les laissent s'en sortir en cas de non-conformité.
Pour avoir une idée du type de sanctions que les APD imposent aux entreprises, consultez les exemples suivants.
Exemples d'amendes RGPD
Voici quelques exemples de sanctions liées au RGPD:
- L'APD belge a infligé une amende de 50 000 euros à Roularta Media Group pour avoir utilisé des cookies sans l'autorisation des utilisateurs et ne pas avoir de politique sur la durée de leur conservation.
- Le Datalysnet danois a ordonné à un site de rencontres de mettre son traitement des données en conformité parce qu'il regroupait la demande de consentement et les conditions générales sous la même case à cocher.
- L'autorité roumaine de protection des données a infligé une amende de 150 euros à une personne pour avoir mis sur son site web des informations personnelles concernant d'autres personnes sans raison légale de le faire.
- L'autorité belge de protection des données (DPA) a réprimandé un propriétaire de site web car le logiciel de consentement aux cookies qu'il avait installé sur son site ne fonctionnait pas et ne permettait pas d'obtenir un consentement libre.
- La CNIL française a infligé une amende de 300 000 euros à une société parce qu'elle n'a pas répondu aux demandes d'accès aux données et autres demandes relatives aux droits des personnes concernées.
- L'autorité belge de protection des données a également infligé une amende de 50 000 euros à une société qui a obtenu des données personnelles de son public cible - des mères enceintes - sans consentement valable, puis a transféré ces données à son réseau de sociétés et les a vendues à des tiers.
- L'autorité belge de protection des données a infligé une amende de 15 000 euros à un opérateur de site web pour avoir utilisé des cookies sans avoir obtenu de consentement préalable.
- Le Garante italien a infligé une amende de 5 000 euros à une société qui a passé des appels non désirés à des numéros de téléphone trouvés sur l'internet sans raison légale et qui n'a pas donné suite aux demandes d'accès et de suppression.
- L'AEPD espagnole a infligé une amende de 24 000 euros à une entreprise pour s'être appuyée sur le consentement implicite au lieu du consentement explicite.
- Une entreprise technologique maltaise a été condamnée à une amende de 24 000 euros par l'autorité maltaise de protection des données (DPA) pour n'avoir informé personne d'une violation de données, ne pas avoir respecté les avis de confidentialité et avoir utilisé des données personnelles sans raison légale (découverte lors de l'enquête sur la violation de données).
- L'AEPD espagnole a infligé une amende de 50 000 euros à Conseguridad pour ne pas avoir désigné de DPD.
Les particuliers peuvent-ils se voir infliger des sanctions au titre du RGPD?
Oui, les particuliers peuvent se voir infliger des amendes en vertu du RGPD. La loi ne fait pas de différence entre les particuliers et les entreprises. Si vous traitez des données en tant qu'individu sans entreprise ou organisation enregistrée, vous êtes le contrôleur de données en tant qu'individu et devez vous conformer au RGPD.
Les blogueurs, les propriétaires d'entreprises et les équipes qui ne se sont pas encore constituées en créateurs, les développeurs d'applications indépendants, les rédacteurs de bulletins d'information et autres utilisent souvent leurs sites web ou leurs applications pour collecter et traiter les informations personnelles de leurs utilisateurs.
Leur site web peut utiliser les données de Google Analytics, le suivi des pixels de Facebook ou les adresses électroniques pour envoyer une newsletter. Le contrôleur de données est la personne qui exploite le site web, la newsletter ou l'appli. Elle a donc des obligations en vertu du RGPD.
Outre les solopreneurs en ligne, les personnes qui exposent des données personnelles à d'autres personnes peuvent également enfreindre le RGPD et être pénalisées pour cela. Par exemple, en Autriche, une personne a été condamnée à une amende de 600 euros pour avoir communiqué à son employeur des informations sur la santé d'un collègue de travail.
Les entreprises non européennes peuvent-elles se voir infliger des amendes liées au RGPD?
Oui, les entreprises peuvent se voir infliger des amendes RGPD même si elles ne sont pas basées dans l'Union européenne. Les amendes pour les entreprises non européennes sont les mêmes que pour les entreprises des États membres de l'UE. Les lois sur la protection des données ne se soucient pas de savoir d'où vous venez. Si le RGPD s'applique à vous et que vous ne vous y conformez pas, vous êtes menacé d'une amende.
Pourquoi certaines grandes entreprises ont-elles été condamnées à de si lourdes amendes (Amazon, WhatsApp, Vodafone, Marriott, Google)?
Le RGPD touche les plus grandes entreprises du monde. Elles gagnent des milliards, donc les 20 millions d'euros ne les concernent pas. C'est pourquoi le RGPD a introduit les 4 % du chiffre d'affaires annuel (brut) - pour qu'elles se sentent concernées par les sanctions.
C'est ainsi que des entreprises comme Amazon, WhatsApp, Google, British Airways, LinkedIn et d'autres ont fini par payer d'énormes amendes.
En juin 2020, Amazon a déclaré un revenu net de 11,607 milliards de dollars, vous pouvez donc imaginer à quel point une pénalité de 20 millions d'euros serait minime pour eux. Cependant, lorsque l'APD luxembourgeoise s'est appuyée sur le plafond de 4 % du chiffre d'affaires annuel et leur a infligé une amende de 746 millions d'euros en 2021 pour s'être appuyée sur un consentement invalide en matière de cookies, cela a probablement été ressenti comme une pénalité.
En voici quelques exemples:
- La Commission irlandaise de protection des données (DPC) a infligé une amende de 225 millions d'euros au géant de la messagerie WhatsApp pour avoir invoqué à tort des intérêts légitimes et une politique de confidentialité peu claire;
- La CNIL française a infligé à Google Ireland une amende de 150 millions d'euros pour ne pas avoir permis aux utilisateurs de refuser rapidement les cookies de YouTube;
- Le bureau du commissaire à l'information du Royaume-Uni (ICO) a infligé une amende de 22 millions d'euros à British Airways pour ne pas avoir mis en place des mesures de sécurité des données qui auraient permis d'éviter une violation survenue trois ans auparavant;
- La DPA de Hambourg, en Allemagne, a infligé une amende de 35 millions d'euros au magasin de vêtements suédois H&M pour avoir recueilli et utilisé plus d'informations personnelles que nécessaire;
- L'ICO britannique a infligé une amende de 20,4 millions d'euros à Marriott pour avoir exposé les données de ses clients;
- L'autorité néerlandaise de protection des données a infligé une amende de 3,7 millions d'euros à l'administration néerlandaise des impôts et des douanes pour traitement illégal de données à caractère personnel, qui a conduit à l'inscription de personnes sur la liste noire du système de signalisation des fraudes, ce qui a entraîné une discrimination à l'égard des personnes concernées;
- Pour plusieurs raisons, le Garante italien a infligé une amende de 12,3 millions d'euros à l'opérateur de télécommunications Vodafone Italia. Dans un premier temps, l'enquête s'est intéressée à la manière dont l'opérateur commercialisait ses produits. Finalement, il a été constaté qu'ils n'avaient pas mis en place suffisamment de mesures de sécurité des données.
Ces entreprises font d'énormes bénéfices. Si les amendes étaient les mêmes pour tous, elles n'auraient pas été ressenties comme des amendes. C'est pourquoi l'amende RGPD dépend des revenus réels de l'entreprise.
Comment éviter les amendes RGPD
Le RGPD exige une approche proactive de la part des entreprises. Vous devez mettre de l'ordre dans vos pratiques de confidentialité des données - c'est ainsi que vous éviterez les amendes RGPD.
Les mesures concrètes que vous devez prendre dépendent de la nature de votre entreprise. Aucune entreprise n'est identique à une autre. Par conséquent, chaque entreprise nécessite une approche personnalisée.
Cependant, toutes les entreprises bénéficieront de tout ou partie des mesures suivantes:
- Formation au RGPD. Informez-vous, ainsi que vos employés, sur la protection des données, la confidentialité et le RGPD. Nous proposons des cours sur la confidentialité des données et le RGPD que tout le monde peut comprendre. Vous pouvez vous inscrire ici.
- Évaluez vos flux de données. Assurez-vous de savoir comment chaque donnée personnelle circule, du moment où vous la collectez au moment où vous la supprimez.
- Réalisez des évaluations d'impact sur la protection des données. L'évaluation des flux de données peut faire partie d'une analyse d'impact plus approfondie sur la protection des données. Elle vous montrera les vulnérabilités de votre entreprise en matière de protection de la vie privée et vous ouvrira la voie de la conformité. Si vous ne savez pas par où commencer, consultez notre guide sur ces trois modèles d'EIPD et la manière de les remplir.
- Utilisez des technologies qui renforcent la protection de la vie privée. La plateforme de gestion du consentement Secure Privacy n'est qu'un exemple de technologie de protection de la vie privée. Profitez de ce qui est disponible et protégez votre entreprise des amendes.
- Mettez en œuvre le concept de protection de la vie privée dès la conception. Le respect de la vie privée dès la conception consiste à concevoir vos produits, services et opérations commerciales de manière à ce qu'ils utilisent le moins possible de traitement de données et protègent les données nécessaires à leur bon fonctionnement.
- Mettez en place des mesures techniques et organisationnelles. Les mesures à mettre en œuvre dépendent des spécificités de chaque entreprise. Si vous ne savez pas par où commencer, demandez conseil à un professionnel.
- Veillez à la sécurité des données. Cela va de soi. Vous devez sécuriser vos données. Un aspect important est de vous protéger contre les violations de données.
- Mettez en place une procédure de réponse aux violations de données. Soyez prêt à tout moment à faire face à des violations de données. Vous devez mettre en place une procédure de réponse pour déterminer qui fera quoi et comment en cas de violation. Lisez notre guide complet de réponse aux violations de données pour savoir ce que vous devez faire.
