[data] RGPD-GDPR —> les pouvoirs d’enquête et de sanctions de la CNIL (Règlement UE 2016/679 « données personnelles »)

[mis à jour le 24 aout 2017] C’est bien beau, toutes ces obligations imposées aux entreprises qui collectent ou qui traitent des données [personnelles]. Mais bon, c’est bien connu, une obligation sans sanctions, ça ne sert pas à grand chose… C’est sur ce point aussi que la GDPR procède à une mise à niveau majeure de la précédente législation (la Directive 95/46 pour qui s’en souvient encore).


Les pouvoirs d’injonction de la CNIL

Avant même d’évoquer les fameuses sanctions pécuniaires qui font (déjà) tant trembler, voyons ce que peut imposer une Autorité de contrôle (la CNIL en version bleu blanc rouge) à un « responsable de traitement » qui en respecterait pas les obligations de la GDPR.

Car si vraiment un non-respect majeur de la GDPR est constaté, la CNIL peut interdire le traitement litigieux, de manière temporaire ou définitive. La CNIL peut aller jusqu’à ordonner la suspension du flux de données qui partirait vers un pays hors UE. C’est ce pouvoir, existant sous la Directive 95/46, qui a fait tant trembler certains opérateurs de traitement lors de l’annulation du Safe Harbor en octobre 2015. Et qui a entrainé un vaste mouvement de rapatriement du stockage des données professionnelles vers l’Union Européenne… (et c’est pas fini avec le Brexit qui prendra effet le 29 mars 2019).

Les sanctions pécuniaires

La GDPR est sans ambiguïté sur ce point : les sanctions pécuniaires viennent en plus des pouvoirs d’injonction. Les sanctions pécuniaires peuvent aussi être mises en oeuvre pour donner du poids aux injonctions qui ne seraient pas respectées…

La typologie des amendes GDPR

Plutôt que de faire un catalogue des différents manquements et du montant des amendes correspondantes, j’ai choisi de ne faire ici qu’une synthèse.

Les amendes de type « 10 millions d’euros / 2% du CA mondial » sont prévues pour sanctionner l’entreprise qui ne serait pas organisée de manière conforme à la GDPR.

Les amendes de type « 20 millions d’euros / 4% du CA mondial » sont destinées à sanctionner tout non respect des droits accordés aux personnes dont les données sont traitées. Ainsi que celui des règles de transfert hors UE.

Les sanctions, obligation par obligation, sont déjà incluses dans l’étude de chaque thème de la GDPR accessible sur ce blog :

Les pouvoirs d’enquête de la CNIL

Tant qu’on y est… un petit rappel des pouvoirs d’enquête dont disposent TOUTES les Autorités de contrôle ? C’est l’article 58 de la GDPR (pour les juristes qui, comme St Thomas, ne croient que ce qu’ils lisent).


Synthèse de la GDPR et audit ?

Maintenant que vous connaissez le « tarif », vous êtes motivé pour vous mettre en conformité ? 

Si vous cherchez une synthèse de la GDPR et un début de méthode d’audit, c’est ici qu’il faut cliquer.


Merci encore à Lucie Massena et Sébastien Le Foll des éditions Delcourt qui validant patiemment chacune de mes présentations illustrées avec les magnifiques 5 premiers tomes de Horologiom. Merci aussi, et tout aussi sincèrement, à Fabrice Lebeault, scénariste et dessinateur de cette série fantastique qui m’a autorisé à détourner ses phylactères originaux. Et merci à Cécile Trautmann, Avocat stagiaire au Barreau de Paris, pour sa persévérance à analyser avec moi, ligne à ligne, le détail de ce Règlement, décidément bien compliqué…