Que se passe-t-il si mon entreprise/organisation ne respecte pas les règles en matière de protection des données?

Réponse

Le règlement général sur la protection des données (RGPD) fournit différentes options aux autorités de protection des données en cas de non-respect des règles sur la protection des données:

• possible violation: un avertissement peut être émis;
• violation: les sanctions comprennent un rappel à l’ordre, une interdiction temporaire ou définitive du traitement et une amende pouvant s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’entreprise.

Il est important de noter qu’en cas de violation, l’APD peut imposer une amende au lieu, ou en plus, d’un rappel à l’ordre et/ou d’une interdiction de traitement.

L’autorité doit s’assurer que les amendes imposées dans chaque cas d’espèce sont effectives, proportionnées et dissuasives. Elle tiendra compte d’un certain nombre de facteurs, tels que la nature, la gravité et la durée de la violation, le fait qu’elle a été commise délibérément ou par négligence, toute mesure prise pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’organisation, etc.

Exemple

Une entreprise vend des articles ménagers en ligne. Grâce à son site internet, les clients peuvent acheter des appareils électroménagers, des tables, des chaises et d’autres articles domestiques en communiquant leurs informations bancaires. Le site internet subit une attaque informatique et toutes les informations personnelles sont désormais à la disposition du pirate. Dans ce cas, le manque de mesures techniques appropriées mises en place par l’entreprise semble être la cause de cette perte de données.

Différents facteurs seront donc pris en considération par l’autorité de contrôle avant de décider des mesures correctrices à adopter. Des facteurs tels que: la gravité des lacunes du système informatique, la durée de l’exposition de l’infrastructure informatique à ce risque, les tests menés dans le passé pour prévenir ce genre d’attaque, le nombre de clients dont les données ont été volées ou divulguées, le type de données à caractère personnel affecté (comme des données sensibles). Toutes ces considérations et d’autres seront prises en compte par l’autorité de contrôle.

Références

• Articles 58, 60, 83, 84; Considérants 129, 148, 150, 151
• Lignes directrices sur l’application et la détermination des amendes administratives aux fins du règlement (UE) 2016/679, 3 octobre 2017

A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.

In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.

• Articles 58, 60, 83 and 84 and Recitals (129), (148), (150) and (151) of the GDPR
• EDPB Guidelines on the application and setting of administrative fines for the purposes of Regulation (EU) 2016/679, 3 October 2017