justice and law concept.Male judge in a courtroom with the gavel,working with digital tablet computer docking keyboard on wood table,virtual interface graphic icons diagram

La protection des données personnelles : c’est demain

Le nouveau règlement européen sur la protection des données personnelles, paru au Journal Officiel de l’Union européenne, entrera en application le 24 mai 2018. L’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique. Fortement inspiré du modèle mis en place par la CNIL en France au début des années 2000, cette nouvelle réglementation va engendrer des sanctions autrement plus importantes que celles actuelles. A titre d’exemple, Google a écopé d’une amende historique de la CNIL après 3 ans de procédure de… 100 000€, dérisoire.

Des sanctions encadrées, graduées et renforcées

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

Les autorités de protection peuvent notamment :

  • Prononcer un avertissement ;
  • Mettre en demeure l’entreprise ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
  • Ordonner la rectification, la limitation ou l’effacement des données.

S’agissant des nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification.

S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Ce montant doit être rapporté au fait que, pour les traitements transnationaux, la sanction sera conjointement adoptée entre l’ensemble des autorités concernées, donc potentiellement pour le territoire de toute l’Union européenne.

Dans ce cas, une seule et même décision de sanction décidée par plusieurs autorités de protection sera infligée à l’entreprise.

Les montants et sanctions potentiels seront désormais un sujet clef au sein de la gouvernance des entreprises