Données personnelles et sanctions

Icône auteur

Par Théophile Rousseau

Icône date de publication

01 juin 2021

Icône temps de lecture

1 min.

Données personnelles et sanctions
Icône TwitterIcône FacebookIcône LinkedIn

Quelles sont les sanctions en cas de non respect des obligations relatives aux données personnelles ?

Lorsque des manquements à la réglementation sur la protection des données personnelles (RGPD) sont portés à sa connaissance, la CNIL peut :

  • Prononcer un rappel à l’ordre

  • Enjoindre de mettre le traitement en conformité, y compris sous astreinte

  • Limiter temporairement ou définitivement un traitement

  • Suspendre les flux de données

  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte

  • Prononcer une amende administrative

En fonction de l’infraction, Le montant des sanctions pécuniaires peut s’élever de 10 à 20 millions d’euros. L’amende peut être portée à 4 % du chiffre d’affaires annuel mondial dans le cas d’une entreprise.

Pour prononcer une amende administrative, la CNIL tient compte des éléments suivants :

  • La nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi

  • Le fait que la violation a été commise délibérément ou par négligence

  • Toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées

  • Le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre

  • Toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;

  • Le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs ;

  • Les catégories de données à caractère personnel concernées par la violation

  • La manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation

  • Lorsque des mesures telles qu’un avertissement ou un rappel à l’ordre, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures

  • L’application de codes de conduite approuvés ou de mécanismes de certification approuvés

  • Toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation

De plus, des sanctions pénales sont également prévues pour certaines situations.

Sources juridiques :

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Loi n° 78-17 du 6 janvier 1978 modifiée par la loi ° 2018-493 du 20 juin 2018 relative à la protection des données personnelles

Articles 226-16 et suivants du Code pénal

Théophile

Théophile Rousseau

Icône LinkedIn

Content manager junior

Article mis à jour le 08 juin 2021

Pour aller plus loin

La newsletter des entrepreneurs

Tous les mois, recevez notre newsletter fraîche et décalée pour casser les barrières de l'entrepreneuriat