Carnets
Le règlement général sur la protection des données : l’heure du bilan

Le règlement général sur la protection des données : l’heure du bilan

Un an après l’entrée en vigueur du RGPD, l’heure est au bilan : Quels sont les changements ? Quel est l’impact du RGPD sur la sensibilisation des acteurs ? Quels sont les sanctions si la réglementation n’est pas respectée ? Comment l’entreprise peut-elle assurer sa mise en conformité vis-à-vis de la réglementation ? Ludovic de la Monneraye vous apporte les réponses à ces questions.

Pour rappel, ce règlement (RGPD), mis en place le 25 mai 2018, a pour objectif d’encadrer et de sécuriser le traitement des données personnelles collectées par tout organisme, que ce soit une organisation publique ou privée.

Depuis cette entrée en vigueur, les particuliers comme les entreprises ont manifesté une prise de conscience vis-à-vis de la protection des données personnelles, comme en témoigne les résultats du sondage IFOP réalisé en avril 2019 qui estime que 70% des Français se disent plus sensibles à la protection de leurs données personnelles, que ces dernières années.

Celle-ci transparait à travers le nombre de plaintes déposées en 2018 contre un organisme qui aurait violé une disposition du RGPD qui a augmenté de 32% par rapport à 2017.

Pour assurer leur conformité, les entreprises ont démarré des chantiers importants en matière de sécurité informatique, de contractualisation des procédures et à la nomination d’un DPO (Délégué à la protection des données) pour faire respecter les dispositions du RGPD. En effet, 19 000 DPO ont été désignés.

En cas de violation du RGPD, des sanctions peuvent être prises par la CNIL (Commission Nationale de l’Informatique et des Libertés). Ces sanctions peuvent avoir un effet dissuasif pour les entreprises qui seraient tentées de ne pas se conformer à la réglementation des données personnelles. En plus d’une sanction pécuniaire, la CNIL n’hésite aucunement à la rendre publique, ce qui peut avoir un effet catastrophique sur l’image de l’organisme concerné.

Peu de sanctions ont été prononcées à ce jour. Toutefois, les récentes sanctions prononcées par la CNIL se veulent exemplaires pour les grands groupes, les PME et les TPE.

  • Sanction GAFAM : On pense notamment à la condamnation – conséquente – de Google, le 21 janvier 2019, pour manque de clarté et de transparence dans le traitement des données personnelles et pour manque d’information des utilisateurs sur la finalité et la durée de conservations de leurs données. L’amende s’est élevée à 50 millions d’euros. A ce jour, Google a fait appel et nous sommes dans l’attente de la décision définitive.
  •  

    • Sanction PME : Egalement, la CNIL a infligé le 28 mai 2019 à la société SERGIC une amende de 400 000 euros pour défaut de sécurité et non-respect des durées de conservation, et a décidé de rendre publique cette sanction. L’atteinte était particulièrement grave compte tenu du caractère intime des données personnelles (avis d’imposition, jugement de divorce, données de santé…).
    •  

      • Sanctions européennes : Le 8 juillet 2019, la CNIL britannique, l’Information Commissioner’s Office (ICO), a affirmé son intention d’infliger une amende de 200 000 millions d’euros au groupe British Airways suite à des dispositifs défaillants en matière de sécurité des données personnelles de ses clients. Le lendemain, ce fut au tour du groupe d’hôtellerie Marriott International de faire l’objet d’une menace d’amende par l’ICO d’un montant de 111 millions d’euros. Ces sanctions ne sont pas définitives, les deux groupes ont la possibilité de proposer des contre-arguments afin de faire baisser le montant de leurs amendes respectives.
      •  

        • Sanction TPE : Les petites entreprises ne sont pas à l’abri d’une sanction. En témoigne l’amende de 20 000 euros, prononcé le 13 juin 2019, à destination de la société UNIONTRAD COMPANY, composée de seulement neuf salariés. La CNIL l’a notamment condamnée pour une vidéosurveillance constante de certains salariés à leur poste de travail.
        •  

            Au regard de ces condamnations, il est donc impératif pour les entreprises de se mettre en conformitéavec le RGPD. Pour se faire, il est primordial de se faire accompagner par un avocat spécialisé dans ce domaine afin de mettre en place les dispositifs obligatoires pour ainsi éviter une éventuelle sanction pouvant être conséquente. Cet accompagnement technique et juridique permettra également d’éviter un préjudice d’image de l’entreprise causé notamment par la publication de la sanction.