Les sanctions en cas de non respect du RGPD (avec exemples)

Les sanctions ont été un point essentiel dans la réforme du RGPD : en cas de non respect, les entreprises risquent aujourd’hui des sanctions qui vont de 20 millions d’euros pour les PME et jusqu’à 4% du chiffre d’affaires global du groupe pour les grandes entreprises (plusieurs milliards d’euros en pratique).

Et en pratique, les sanctions sont nombreuses : Carrefour condamné à 3 millions d’euros (non respect des obligations d’informations), H&M condamné à 35 millions, Google et Amazon à 135 millions, et pour les PME : un site de vente de chaussure en ligne (250.000€ pour collecte illégale de données), ou une entreprise condamnée à 500.000€ pour ne pas avoir sécurisé les données de ses clients conformément aux prescriptions du RGPD.

I - Quelles sont les obligations essentielles du RGPD à respecter ?

Le RGPD impose une série d’obligations essentielles aux organisations :

  • Minimiser les données personnelles collectées
  • S’assurer du fondement juridique du traitement
  • Éviter de traiter des données sensibles
  • Afficher les mentions légales
  • Respecter le droit à la portabilité des données
  • Mettre en place un registre de conformité
  • Assurer la sécurité des données personnelles
  • Maintenez un registre de violations de données personnelles
  • Nommer un DPO dans les 3 cas obligatoires
  • Mettre en place une PIA pour les traitements les plus sensibles
  • Ne pas transférer des données personnelles hors UE

Toutes les organisations (entreprises, acteurs publics, associations) sont concernées par ces obligations. En effet, le RGPD s’applique dès lors qu’une organisation traite sur informatique des données qui permettent d’identifier des personnes, directement ou indirectement.

II - Quelles sont les sanctions qui peuvent être prononcées

A - Les types de sanctions que peut infliger la CNIL

La CNIL a le pouvoir de prononcer les sanctions suivantes:

  • avertissement du responsable
  • rappel à l’ordre
  • ordonner la mise en conformité
  • imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement;
  • ordonner l’effacement de données traitées
  • imposer une amende administrative

Toutefois de manière générale ce sont les sanctions administratives qui sont le plus prononcées.

B - Les amendes (montants, estimations)

La CNIL a l’obligation de prononcer des sanctions qui sont dissuasives (art. 83 du RGPD). Il est donc fréquent que les sanctions soient élevées.

De manière générale la CNIL tient compte d’un ensemble d’éléments dans le calcul du montant final, tel que :

  1. la gravité et la durée de la violation
  2. le fait que la violation a été commise délibérément ou par négligence;
  3. toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;
  4. toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;
  5. le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs;
  6. toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

Un point important toutefois est de déterminer si l’infraction est une infraction simple, ou une infraction aggravée. Pour cela, l’article 83 distingue une série de violations qui font l’objet de sanctions accrues, comme la violation des obligations relatives au consentement, ou aux principes généraux, le transfert des données hors de l’UE, etc.

III - Quelques exemples de sanctions

10 millions pour surveillance illégale

L’autorité allemande de protection des données personnelles a sanctionné l’entreprise éditrice du site notebooksbilliger.de pour avoir mis en place des caméras de surveillance de ses employés sans base légale. L’entreprise avait indiqué que la finalité des caméras de surveillance était de prévenir la commission de délits et assurer la surveillance des biens, toutefois, les moyens mis en oeuvre étaient disproportionnés par rapport aux objectifs.

500.000 euros pour démarchage téléphonique illégal

Une entreprise française avait décidé de faire de la prospection commerciale par téléphone afin de vendre ses services (d’isolation de bâtiments). Et pour ce faire, elle fait appel à des centres d’appels basés en Afrique du Nord. Les sous-traitants appelaient des prospects en masse sans noter leur opposition au démarchage téléphonique ce qui a déclenché de nombreuses plaintes - voir le détail de l’affaire ici.

75.000€ de sanctions pour un refus de suppression de données personnelles

L’agence espagnole de protection des données personnelles a prononcé une sanction de 75.000€ contre le gestionnaire d’un fichier d’institutions de Credit qui a refusé la suppression d’une personne dans ses fichiers

1.200.000€ pour non-respect du consentement

Une assurance avait organisé une série de concours ayant pour objectif de collecter les données personnelles de prospects et clients. L’entreprise a réutilisé ces données pour faire de la publicité, initialement en s’assurant que les personnes avaient bien donné leur consentement.

Toutefois, une erreur dans leurs processus d’envoi a abouti à l’envoi de communications commerciales à 500 personnes qui n’avaient pas accepté de telles publicités. L’assurance a mis en pause ses communications dès qu’elle a réalisé son erreur (donc pas de mauvaise foi de leur part), mais cela n’a pas permis d’éviter une sanction d’1.2M€ (soit 2400€ par email envoyé)

Attention à vous assurer d’avoir correctement obtenu le consentement pour l’envoi de communication commerciale (attention à ne pas vous tromper, le consentement n’est pas nécessaire pour tout)

400.000€ pour défaut de sécurité du traitement et conservation illicite de données personnelles

L’entreprise Sergic a été condamnée à 400.000€ d’amende par la CNIL en raison d’une faille de sécurité ayant rendu public les données personnelles de leur client qui étaient accessibles sans aucune protection. L’entreprise avait eu connaissance de la faille de sécurité, mais n’a rien fait pour arrêter la fuite avant de nombreux mois.

Au cours de son contrôle, la CNIL a également relevé le fait que l’entreprise conservait les données personnelles de leurs clients sans limitation de durée, ce qui est contraire encore une fois au principe de minimisation.

112.000€ de sanctions pour un hôpital n’ayant pas protégé les données de patients

L’agence norvégienne de protection des données personnelles a prononcé une sanction de 112.000€ pour un hôpital, responsable de traitement, qui a conservé les données de ses patients sur un réseau interne sans restrictions d’accès aux employés, entraînant une violation de leurs obligations de sécurité.

F - Google / Amazon : 135 millions d’euros pour violation des règles en matière de cookies

Google et Amazon ont été condamnés à 135 millions d’euros (total des amendes combinées) pour non-respect des règles relatives aux cookies - bien que cela ne relève pas du RGPD à proprement parler, mais de la directive 2002/58.

Thiébaut Devergranne
Thiébaut Devergranne
Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

Ils nous ont fait confiance

logo Deloitte
logo starbucks
logo orange bank
logo vinci
logo nokia
logo sanofi
logo sncf
Automatisez votre conformité RGPD
Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
RGPD (ressources essentielles)
VOS CGV (gratuites)