Toutes les entreprises qui traitent des données personnelles devraient être sur le pied de guerre pour se mettre en conformité avec le RGPD (Règlement général pour la protection des données). Ce Règlement européen entrera en vigueur le 25 mai 2018 et nos députés ont commencé à discuter de l’adaptation du droit français à ces nouvelles dispositions.
Tripalio a déjà fait état des étapes à suivre pour être prêt dans les temps, c’est un enjeu capital car les amendes encourues sont loin d’être anodines.
RGPD : oubliez l’amende plafonnée à 3 millions d’euros
Gardons en mémoire les anciennes amendes que pouvait infliger la CNIL aux entreprises qui ne respectaient pas les obligations prévues par la loi. Longtemps, ces amendes ont été limitées à 150 000 euros pour le premier manquement, puis 300 000 euros à partir du second manquement. Puis la loi pour une République numérique du 7 octobre 2016, à son article 65, est venue augmenter ce plafond pour le faire passer à 3 millions d’euros.
Cependant, les plus grosses firmes du monde n’ont que faire d’une amende aussi faible… or ce sont elles qui sont les plus susceptibles de traiter des données personnelles. Le RGPD a donc été pensé pour être dissuasif à l’égard de toutes les entreprises. A partir du 25 mai 2018, la CNIL pourra infliger des amendes de deux natures aux entreprises.
La première amende, limitée à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial
Le premier plafond fixé par le RGPD est soit de 10 millions d’euros, soit de 2% du chiffre d’affaires annuel mondial total de l’exercice précédent. Le texte indique que c’est le plus élevé des deux montants qui doit être retenu par les autorités pour fixer le plafond de l’amende.
De quoi pénaliser à la fois les petites entreprises et, pour être clair, les GAFAM (Google, Apple, Facebook, Amazon, Microsoft).
Cette amende pèse sur tous les acteurs, privés ou non, qui contreviennent aux règles de protection des données prévues par le RGPD. Le texte du Règlement donne d’ailleurs une liste de toutes les obligations qui incombent au responsable de traitement et à son sous-traitant dont la violation peut entrainer cette sanction.
La seconde amende, limitée à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial
Le second plafond fixé par le RGPD est soit de 20 millions d’euros, soit de 4% du chiffre d’affaires annuel mondial total de l’exercice précédent. Comme dans le cas de la première amende, c’est le montant le plus élevé des deux qui est retenu pour fixer le plafond.
Cette amende, deux fois plus lourde que la précédente, peut être infligée en cas de manquement aux principes de base d’un traitement, en cas de violation des droits bon bénéficient les personnes, en cas de transfert de données personnelles vers certains pays tiers ou certaines organisations internationales, ou encore en cas de non-respect d’une injonction émise par la CNIL.
Toute entreprise française qui traite des données personnelles serait donc bien avisée d’étudier rapidement la mise en conformité de ses systèmes avec le RGPD.