04 28 70 91 81
Savez-vous combien d’entreprises ont été sanctionnées par une amende RGPD par les instances Européennes depuis l’entrée en vigueur du désormais célèbre Règlement Général sur la Protection des Données personnelles ? Non, aucune idée ? Laissez-nous vous mettre au parfum.
Depuis l’entrée en vigueur du RGPD le 25 mai 2018, plus de 80 amendes ont été infligées à travers l’Europe par les différentes Autorités européennes de protection des données. Un nombre important qui donne à réfléchir.
Même si certaines de ces amendes ne sont pas encore définitives, à l’instar de celles de l’ICO contre British Airways ou Mariott international, il est toujours bon d’avoir en tête que n’importe quelle entreprise peut se voir sanctionnée si elle n’est pas en conformité avec le RGPD. Car, et vous le savez sans doute déjà, certaines autorités n’ont pas hésité à sanctionner des acteurs plus importants. Pour exemple, la CNIL a condamné Google à une amende de 50 millions d’euros. Il s’agit, à ce jour, de la plus grosse « amende RGPD » prise sur la base du nouveau texte.
« L’amende RGPD » : les motifs
Il est pertinent de s’intéresser à la répartition des amendes selon leurs motifs. En effet, 3 catégories se distinguent :
- Une base légale insuffisante pour le traitement des données
- Une information insuffisante ou inexistante pour les personnes concernées
- Des mesures techniques ou organisationnelles insuffisantes pour protéger les données
Il s’agit-là des 3 points sur lesquels les autorités sont vraiment attentives.
En effet, le RGPD ayant pour vocation la protection de la vie privée des personnes, il apparaît normal que les premières sanctions visent le respect de ces points.
Une base légale qui est erronée ne permet pas le retrait de son consentement du traitement par exemple. Il en est de même pour l’information aux personnes, s’ils ne connaissent pas les objectifs du traitement, comment seront utilisées leurs données, ou bien les droits qu’ils peuvent exercer. Ces manquements seront systématiquement sanctionnés par… La fameuse « amende RGPD ».
Enfin, la sécurisation des données est un autre critère majeur sur lequel se basent les différentes autorités européennes. L’accès à des documents de tiers sur le site internet, les mots de passes de clients en clair dans les bases de données, la liste complète des clients d’une société sont autant d’exemples que de sanctions associées.
Les autorités européennes n’hésitent donc pas à sanctionner les organismes lorsque cela touche directement aux droits des personnes. Bien entendu, ce ne sont pas les seules obligations auxquelles sont confrontées les organisations avec le RGPD.
Même si certaines de ces amendes ne sont pas encore définitives, à l’instar de celles de l’ICO contre British Airways ou Mariott international, il est toujours bon d’avoir en tête que n’importe quelle entreprise peut se voir sanctionnée si elle n’est pas en conformité avec le RGPD. Car, et vous le savez sans doute déjà, certaines autorités n’ont pas hésité à sanctionner des acteurs plus importants. Pour exemple, la CNIL a condamné Google à une amende de 50 millions d’euros. Il s’agit, à ce jour, de la plus grosse « amende RGPD » prise sur la base du nouveau texte.
L’importance du Registre des traitements
L’une d’entre elle est la tenue du Registre des traitements. Ce registre permet d’avoir une vision sur les activités de l’organisation. Si cette cartographie a bien été effectuée, les spécificités de chaque traitement devraient être connues et les écarts de conformité apparents. Cela permet par exemple de réviser la base légale, la passer d’intérêt légitime à celle du consentement, et ainsi de permettre aux personnes concernées de pouvoir retirer leurs consentements.
Grâce au Registre des traitements, il est également recommandé d’indiquer les mesures de sécurisation prises pour chaque traitement. Cela permet encore une fois de se rendre compte des mesures prises par l’organisation et de les faire évoluer si besoin.
Article à lire : 11 actions pour vous mettre en conformité au RGPD
Connaître un traitement permet également de communiquer aux personnes sur les finalités, durées de conservations, l’envoi à des destinataires, et ainsi de respecter la réglementation quant à cette information.
Le RGPD, une opportunité pour les entreprises
Plutôt que de voir le RGPD comme une obligation, il serait mieux de voir ce texte comme une opportunité pour les entreprises de se mettre à niveau en matière de sécurité et de protection des données. De même, les entreprises sont souvent submergées d’informations obsolètes qui peuvent s’avérer coûteuses à long terme.
En ayant une traçabilité complète et ancrée dans les temps, les entreprises pourront avoir la mainmise sur la collecte et le traitement des données, pour une plus grande efficacité dans tous les services. Il ne s’agit pas seulement d’éviter une amende, mais bien d’instaurer un processus vertueux qui aura un impact bénéfique, autant sur la productivité que sur la santé financière des entreprises.
Surtout que le nombre de plaintes augmente considérablement : on peut compter environ 95.000 plaintes de citoyens depuis mai 2018. Autant prendre les devants, car très peu d’entreprises passent entre les mailles du filet. Une amende RGPD est si vite arrivée.
Pour conclure, aucune sanction n’a pour le moment été prononcée quant au défaut de tenue du registre des traitements, cependant, avoir une vision des traitements dans l’entreprise peut permettre d’éviter certains écueils, une possible amende et une mauvaise publicité.