RGPD : qu’est-ce qu’on risque en cas de non-respect ?

Avec le développement d’internet, les données personnelles sont devenues des biens précieux. De nombreuses entreprises les collectent pour les utiliser dans le cadre des stratégies marketing et des campagnes d’emailing. Depuis quelques années, il existe même des structures qui sont spécialisées dans la collecte et le traitement de ces types de données. Compte tenu des risques de violation de la vie privée des propriétaires de ces données, leur manipulation est désormais protégée par le règlement général sur la protection des données (RGPD). Les entreprises qui utilisent les données personnelles s’exposent à des risques en cas de non-respect du RGPD.

Qu’est-ce qu’un audit RGPD ?

Depuis le 25 mai 2018, le RGPD est entré en vigueur. Il s’agit d’une directive européenne qui encadre le traitement des données personnelles des citoyens européens. Cette directive s’applique aussi bien aux entreprises qu’aux organisations. En effet, tous les types de structures doivent procéder à une gestion de ces données personnelles dans le strict respect des droits des citoyens. Ils doivent aussi assurer la protection des données qu’ils collectent.

Pour garantir le respect de la directive, un audit de conformité au RGPD a été institué. Cet audit permet de s’assurer que l’entreprise respecte les exigences liées au fonctionnement, à la sécurité et à la fiabilité du système d’information. Il vérifie aussi le respect des règles relatives au traitement des données personnelles.

Quelle est la finalité de l’audit ?

Au sein de l’Union européenne, plus de 75 % des citoyens s’inquiètent de l’utilisation faite des données personnelles qu’ils fournissent en ligne. L’audit RGPD se présente donc comme un moyen de veiller à la protection de ces données. Il permet d’avoir plus de précisions sur le processus de traitement de données adopté par la structure. À travers cet audit, il s’agira donc de contrôler l’usage, la finalité des traitements, l’identité des destinataires de ces données. L’audit peut également permettre de constater les éventuelles pertes et destructions des données.

Cas particulier du DPO ?

Le DPO est le « Data Protection Officer » ou encore « Data Privacy Officer ». Son équivalent en français est le délégué à la protection des données. Lorsqu’il intervient dans une structure, il s’assure que les exigences du RGPD sont respectées. Selon l’article 37.5 de la directive européenne, le DPO est désigné sur la base de ses connaissances en droit de la protection des données personnelles. Il doit aussi présenter des aptitudes à accomplir les missions qui lui seront confiées.

Dans quels cas faire appel au DPO ?

Bien que le RGPD vise la protection des données à caractère personnel, il n’impose pas la désignation d’un DPO dans toutes les organisations. La présence d’un DPO est seulement obligatoire dans 3 cas :

  • lorsqu’il s’agit d’une autorité ou d’un organisme public ;
  • lorsque vous procédez à un suivi à grande échelle de personnes ;
  • lorsque vous traitez des données sensibles à grande échelle.

Quel est le rôle du DPO ?

Le rôle du DPO s’inscrit à travers les missions qu’il exécute. Celles-ci sont énumérées dans le RGPD. Selon les articles 38 et 39, le DPO se charge d’informer et de conseiller le responsable du traitement sur les obligations relatives à la protection des données personnelles. Dans son rôle d’information, il peut mener des actions de sensibilisation ou organiser des formations. Pour ce qui est de son rôle de conseil, il l’exécute de manière indépendante.

À travers l’audit RGPD, le DPO contrôle le respect de la directive européenne par l’organisation. Étant un spécialiste en la matière, le DPO va gérer les interactions entre la structure et la CNIL. Il peut aussi faire office de point de contact pour toute autre autorité de contrôle.

Quels sont les risques en cas de non-respect du RGPD ?

Les structures qui ne respectent pas le RGPD s’exposent à différentes sanctions. La CNIL est l’organe chargé de prononcer des sanctions à l’encontre des structures en infraction. Les sanctions prises sont généralement proportionnelles aux manquements commis. Il peut s’agir d’un avertissement, d’une injonction ou d’une suspension du service qui collecte les données. Dans le cas d’un manquement grave, des sanctions plus sévères peuvent être prises.

Les amendes administratives

Une organisation qui ne respecte pas le RGPD peut se voir infliger une amende administrative. Le montant de l’amende est déterminé en fonction de la gravité des faits. On retrouve généralement deux types d’amendes. Nous avons celles pouvant représenter 2 % du chiffre d’affaires mondial de la société ou pouvant aller jusqu’à 10 millions d’euros. On retrouve aussi les amendes qui représentent 4 % du chiffre d’affaires mondial de la société ou pouvant aller jusqu’à 20 millions d’euros.

Les sanctions pénales

Selon la gravité du manquement commis, les personnes impliquées peuvent se voir infliger des peines privatives de liberté. Selon le pays, la peine d’emprisonnement encourue peut aller jusqu’à 5 ans d’emprisonnement. Cette peine peut également être accompagnée d’une amende prononcée par le juge.

Les dommages et intérêts

Lorsque les données personnelles ne sont pas traitées conformément aux RGPD, cette situation peut causer un préjudice aux personnes concernées. Ces dernières seront donc en droit de demander une somme en guise de dommages et intérêts pour le préjudice matériel ou moral subi. La structure en cause peut donc se voir payer des sommes allant de quelques milliers à plusieurs millions d’euros.

Quels sont les risques du non-respect du RGPD sur l’image de l’entreprise ?

Au-delà des sanctions administratives, pénales ou civiles prononcées dans le cas du non-respect de la directive, les entreprises en cause mettent en péril leur réputation. De plus en plus de personnes se préoccupent de l’utilisation qui est faite des données personnelles. Une entreprise sanctionnée pour manquement au RGPD peut perdre toute crédibilité auprès du grand public.

L’image de marque de l’entreprise étant détériorée, les consommateurs seront réservés à l’idée de solliciter à nouveau les services de ladite entreprise. De nombreuses entreprises ont été obligées de fermer à la suite de scandales liés à une fuite de données de leur clientèle. Il est donc important pour tous les types de structures de respecter rigoureusement le RGPD. À cette fin, l’audit est le meilleur moyen de s’assurer de cette conformité.

Laisser un commentaire