Le RGPD est le principal texte législatif de l'Union européenne (UE) en matière de protection des données à caractère personnel.
Il vise à renforcer la protection des données des individus au sein de l'UE. Adopté le 27 avril 2016 après quatre ans de négociations, il est entré en vigueur dans tous les États membres de l'UE le 25 mai 2018, remplaçant ainsi la directive de 1995.
Objectifs principaux:
-
Améliorer la protection des individus concernés par le traitement de leurs données personnelles.
-
Augmenter la responsabilité des acteurs traitant ces données.
-
Renforcer les pouvoirs des autorités de contrôle.
Contexte: En 2012, la Commission européenne a proposé une réforme majeure des règles relatives à la protection des données personnelles dans l'UE. Cette réforme avait deux axes principaux :
-
Moderniser la directive de 1995, qui a pris la forme du RGPD.
-
Élaborer une nouvelle directive pour la protection des données dans les activités policières et judiciaires.
L'ambition de cette réforme était de permettre aux citoyens de mieux contrôler leurs données tout en simplifiant le cadre réglementaire pour les entreprises. Après plusieurs étapes de négociations et de votes, la France a incorporé ce règlement dans sa législation en mai 2018.
Mise en application: Le RGPD a été publié officiellement le 4 mai 2016 et est devenu applicable dans tous les États membres de l'UE le 25 mai 2018. Il est à noter que le scandale Facebook-Cambridge Analytica concernant la manipulation de données personnelles à des fins électorales aux États-Unis et au Royaume-Uni a éclaté peu avant l'application du RGPD.
Des entreprises comme Aggregate IQ ont également été mises en lumière pour leur utilisation inappropriée de données à des fins électorales.
Sanctions liées au RGPD
Le respect du RGPD est essentiel pour toutes les entreprises traitant des données personnelles au sein de l'UE. Si elles ne se conforment pas, des sanctions conséquentes peuvent leur être infligées.
Échelle de sanctions Selon l'article 5833 du RGPD, l'autorité compétente a le droit d'imposer des mesures pour lutter contre les manquements au RGPD. Les sanctions varient selon la gravité de la non-conformité :
-
Première étape : Rappel à l'ordre et mise en demeure avec rappel des exigences de conformité ;
-
Deuxième étape : Injonction avec ordre d'arrêter immédiatement toute violation ;
-
Troisième étape : Limitation ou arrêt temporaire du traitement des données ;
-
Quatrième étape : Sanctions pour non-respect de l'injonction.
Si des entreprises ne respectent pas les nouvelles directives, elles encourent des sanctions tant administratives que pénales. Ces amendes, souvent très lourdes, visent à dissuader les manquements.
Sanctions administratives Conformément à l'article 8334 du RGPD, l'autorité compétente peut imposer des sanctions financières aux entreprises en infraction. Ces sanctions doivent être "efficaces, proportionnées et dissuasives". Les amendes peuvent s'élever à :
-
10 000 000 € ou 2 % du chiffre d'affaires annuel global pour certaines violations ;
-
20 000 000 € ou 4 % du chiffre d'affaires annuel global pour des infractions plus graves.
-
Le cas de Knuddels, réseau social allemand, illustre bien cette réglementation. Suite à une fuite massive de données, il a été sanctionné à hauteur de 20 000 €.
Globalement, les plaintes auprès des autorités de protection des données en Europe sont rares, avec une moyenne estimée à 3 pour 10 000 dans l'UE.
Sanctions pénales
L'article 8434 du RGPD permet aux États membres d'imposer des sanctions pénales en complément. En France, la violation du RGPD peut entraîner une amende allant jusqu'à 300 000 € et une peine de prison pouvant aller jusqu'à 5 ans.
Conséquences supplémentaires
Outre les sanctions financières, les entreprises peuvent être poursuivies en justice par toute personne affectée par une violation du RGPD.
Les dommages et intérêts peuvent alors être imposés. De plus, les entreprises en infraction peuvent subir un préjudice d'image important, nuisant à leur réputation.
Pour toutes questions : contact.rgpd@immolead.be