[Infographies] RGPD: le pense-bête du DPO (DPD) sur les sanctions

Article mis à jour le 28/10/2019

Un pense-bête sous la forme d’une infographie de 5 pages

[Tweet « (#Infographies) #RGPD: le pense-bête du #DPO (DPD) sur les #sanctions »]

Téléchargez l’infographie « RGPD Sanctions » au format PDF.

Un arsenal de sanctions qui peuvent être prononcées après contrôle

La formation restreinte de la CNIL peut prononcer des sanctions à l’égard des responsables de traitement et des sous-traitants qui ne respecteraient pas les dispositions du RGPD et qui ne se seraient pas mis en conformité après émission d’un rappel à l’ordre, et mise en demeure de mise en conformité d’un traitement de données au RGPD, ou demande express de satisfaction des demandes d’exercice des droits des personnes.

L’arsenal des sanctions est conséquent. Celles-ci sont prononcées à l’issue de contrôles en ligne, sur pièces ou sur place, d’auditions sur convocation et de l’instruction des plaintes reçues par la CNIL.

Susceptibles d’être rendues publiques (selon le principe de la double peine) les sanctions peuvent être pécuniaires (amende administrative) ou pénales. La CNIL a également le pouvoir de limiter temporairement ou définitivement un traitement et de suspendre les flux de données.

En cas de constatation d’une ou de plusieurs infractions à la protection des données à caractère personnel les amendes vont de 10 à 20 millions d’euros, ou de 2 à 4 % du chiffre d’affaires mondial total du dernier exercice clos (pour les entreprises), selon la nature des différents manquements à la réglementation. Aux sanctions administratives, peuvent s’ajouter des sanctions pénales s’échelonnant jusqu’à 300 000 euros et 5 ans d’emprisonnement.

Deux niveaux de sanctions administratives prévus par le RGPD

Les sanctions administratives sont réparties en deux groupes en fonction de la durée, la nature du dysfonctionnement et la gravité de la violation.

Violations de niveau 1 :

Une amende d’un montant de 10 millions d’euros ou de 2% du chiffre d’affaires mondial total du dernier exercice peut être appliqué (le montant le plus élevé des deux options), en cas de manquement aux :

obligations incombant au responsable du traitement et au sous-traitant,
obligations incombant à l’organisme de certification,
obligations incombant à l’organisme chargé du suivi des codes de conduite.

Exemples : l’absence de tenue d’un registre des traitements ou l’absence d’analyse d’impact préalable aux traitements des données personnelles.

Violations de niveau 2 :

En cas d’infractions plus graves liées à la mauvaise application ou au non-respect du RGPD, une amende s’élevant à 20 millions d’euros ou 4 % du chiffre d’affaires mondial peut être appliquée (le montant le plus élevé des deux options). Les infractions en question doivent concerner les dispositions suivantes :

L’obligation de consentement de la personne concernée avant collecte, traitement ou stockage des données personnelles.
Les autres droits des personnes concernées.
Les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale.
Toutes les obligations découlant du droit des Etats membres (Chapitre IX du RGPD).
Le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle.

Exemples : le défaut de consentement dans le cadre du RGPD de la personne concernée par le traitement des données personnelles d’une entreprise, refus de coopérer avec la CNIL après injonctions de celle-ci ou manque de sécurité et de prudence lors d’un transfert transfrontalier des données personnelles.

Des sanctions pénales

L’article 84 du RGPD dispose que les états membres peuvent mettre en place d’autres sanctions pour réprimander les violations qui ne font pas l’objet d’amendes administratives au sens de l’article 83 du RGPD. Ces sanctions sont effectives, proportionnées et dissuasives.

Conformément aux articles 226-16 à 226-24 du Code pénal (section des « atteintes aux droits de la personne résultat des fichiers ou des traitements informatiques »), les sanctions pénales pour les manquements listés ci-dessous sont punis de 1 à 5 ans d’emprisonnement et de 15 000€ à 300 000€ d’amende :

Défaut de formalité préalable (Art. 226-16 du Code pénal) : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l’objet de l’une des mesures prévues au 3° du III de l’article 20 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ».
Traitements réalisés sur des données incluant le numéro de sécurité sociale (Art. 226-16-1-A du Code pénal) : « Le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».
Non respect d’obligations générales incombant au responsable de traitement et au sous-traitant (Art. 226-17 du Code pénal) : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites aux articles 24, 25, 30 et 32 du règlement (UE) 2016/679 du 27 avril 2016 précité ou au 6° de l’article 4 et aux articles 99 à 101 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».
Défaut de notification d’une violation (Art. 226-17-1 du Code pénal) : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites aux articles 24, 25, 30 et 32 du règlement (UE) 2016/679 du 27 avril 2016 précité ou au 6° de l’article 4 et aux articles 99 à 101 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. Est puni des mêmes peines le fait pour un sous-traitant de ne pas notifier cette violation au responsable de traitement en méconnaissance de l’article 33 du RGPD ou de l’article 102 de la loi n° 78-17 du 6 janvier 1978 précitée ».
Collecte interdite (Art. 226-18 du Code pénal) : « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.
Refus d’observance du droit d’opposition (Art. 226-18-1 du Code pénal) : « Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».
Défaut de consentement pour le traitement de certaines données sensibles (Art. 226-19 du Code pénal) : « Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle ou à l’identité de genre de celles-ci, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté ».
Traitements illicites de données de santé (Art. 226-19-1 du Code pénal) : « En cas de traitement de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende le fait de procéder à un traitement :
- 1° sans avoir préalablement informé individuellement les personnes sur le compte desquelles des données à caractère personnel sont recueillies ou transmises de leur droit d’accès, de rectification et d’opposition, de la nature des données transmises et des destinataires de celles-ci ;
- 2° malgré l’opposition de la personne concernée ou, lorsqu’il est prévu par la loi, en l’absence du consentement éclairé et exprès de la personne, ou s’il s’agit d’une personne décédée, malgré le refus exprimé par celle-ci de son vivant ».
Durées de conservation excessives (Art. 226-20 du Code pénal) : « Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi. Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu’historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa ».
Détournement de la finalité des données personnelles lors d’un traitement de données (Art. 226-21 du Code pénal) : « Le fait, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l’acte réglementaire ou la décision de la Commission nationale de l’informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en œuvre de ce traitement, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».
Transfert de données à des tiers non autorisés (Art. 226-22 du Code pénal) : « Le fait, par toute personne qui a recueilli, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces données à la connaissance d’un tiers qui n’a pas qualité pour les recevoir est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. La divulgation prévue à l’alinéa précédent est punie de trois ans d’emprisonnement et de 100 000 euros d’amende lorsqu’elle a été commise par imprudence ou négligence. Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit ».
Transfert de données hors UE sans garanties de protection suffisantes (Art. 226-22-1 du Code pénal) : « Le fait de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l’objet ou destinées à faire l’objet d’un traitement vers un Etat n’appartenant pas à l’Union européenne ou à une organisation internationale en violation du chapitre V du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE, ou des articles 112 à 114 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».

Autres sanctions

Entrave à l’action de la CNIL (Art. 226-22-2 du Code pénal) : « Est puni d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés (…) ».
Effacement (Art. 226-23 du Code pénal) : « Dans les cas prévus aux articles 226-16 à 226-22-2, l’effacement de tout ou partie des données à caractère personnel faisant l’objet du traitement ayant donné lieu à l’infraction peut être ordonné. Les membres et les agents de la Commission nationale de l’informatique et des libertés sont habilités à constater l’effacement de ces données ».
Peines supplémentaires pour les personnes morales (Art. 226-23 du Code pénal) : Les personnes morales déclarées responsables pénalement, dans les conditions prévues par l’article 121-2, des infractions définies à la présente section encourent, outre l’amende suivant les modalités prévues par l’article 131-38, les peines prévues par les 2° à 5° et 7° à 9° de l’article 131-39. L’interdiction mentionnée au 2° de l’article 131-39 porte sur l’activité dans l’exercice ou à l’occasion de l’exercice de laquelle l’infraction a été commise.

Extrait de sanctions déjà prononcées

En France

21/01/2019 – Google LLC
50 millions d’euros d’amende pour non-respect de principes essentiels du RGPD
C’est la première fois que la CNIL fait application des nouveaux plafonds de sanction prévus par le RGPD. Le montant retenu ainsi que la publicité de l’amende, se justifient par la gravité des manquements constatés qui concernent des principes essentiels du RGPD : la transparence, l’information et le consentement (manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité). La société GOOGLE LLC a fait appel de la décision de la CNIL devant le Conseil d’Etat.

25/07/2019 – Active Assurances
Amende de 180 000€ pour défaut de sécurité et violation de données
Après un signalement et un contrôle en ligne, la formation restreinte de la CNIL a prononcé une amende administrative de 180 000€ à l’encontre de la société, Active Assurances pour un défaut de sécurité des données personnelles. L’affaire remonte à juin 2018 lorsqu’un client d’Active Assurances a signalé à la commission avoir été capable, à partir de son compte, d’accéder aux données personnelles d’autres clients.

18/06/2019 – UNIONTRAD COMPANY
Amende de 20 000€ pour vidéosurveillance excessive des salariés
Le dispositif de vidéosurveillance déployé par la société UNIONTRAD COMPANY plaçait ses salariés sous surveillance constante. A l’issue d’un contrôle sur place, la CNIL a prononcé une sanction de 20 000€ et a également prononcé une injonction afin que la société prenne des mesures pour assurer la traçabilité des accès à la messagerie professionnelle partagée.

06/06/2019 – SERGIC
Amende de 400 000€ pour atteinte à la sécurité des données et non-respect des durées de conservation
Un contrôle en ligne a eu lieu après réception d’une plainte formulée auprès de la CNIL par un utilisateur du site édité par la société. A l’issue d’un contrôle sur place la formation restreinte a prononcé une amende de 400 000 euros, et décidé de rendre publique sa sanction au regard de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes.

27/12/2018 : BOUYGUES TELECOM – 250 000€ d’amende pour manquement à la sécurité des données clients.
20/12/2018 : UBER – 400 000€ d’amende pour atteinte à la sécurité des données des utilisateurs.
20/09/2018 : ASSISTANCE CENTRE d’APPELS – 10 000€ d’amende pour un système biométrique au travail illégal (à des fins de contrôle des horaires des salariés).

Dans le monde

British Airways – 204 millions d’euros
Violation de données
429 000 clients avaient été concernés par deux vols successifs des données bancaires communiquées sur le site de la compagnie aérienne en 2018.

Berlin – Plusieurs millions d’euros
Non respect du règlement général européen sur la protection des données (DSGVO).
L’autorité de contrôle du Land de Berlin annonce qu’elle est sur le point d’infliger une amende de plusieurs millions d’euros pour violation du RGPD, mais sans dévoiler l’identité du responsable de traitement concerné.

Hôpital Haga de La Haye – 460 000€ d’amende
L’hôpital Haga de La Haye (Pays-Bas) a été sanctionné par l’autorité de contrôle néerlandaise pour défaut de sécurité des dossiers patients. Le dossier médical d’une « star » d’une série télévisée avait été consulté par nombre de personnels n’ayant aucune légitimité à y accéder. Si des mesures suffisantes n’ont pas mises en place début octobre 2019, une sanction de 100 000€ supplémentaires sera infligée toutes les deux semaines (dans la limite de 300 000€).

Reconnaissance faciale dans une école Suédoise – 200 000 couronnes
Le DPA suédois (Datainspektionen) a infligé sa première sanction au titre du RGPD (environ 25 000€) au lycée de la ville de Skellefteå qui, à titre expérimental, vérifiait la présence des élèves dans l’établissement grâce à une caméra et à un logiciel de reconnaissance faciale. L’autorité a rejeté le consentement comme fondement et affirmé que le contrôle de la présence pouvait être effectué par d’autres moyens moins intrusifs.

QUEBEC : 2 personnes arrêtées
Violation de données
Deux personnes ont été arrêtées après une violation de données au Québec qui a impacté 23 000 salariés et anciens salariés du Revenu Québec. L’une des deux personnes est un salarié de l’administration fiscale qui a transféré les données (numéro de sécurité sociale, date de naissance et salaire) à l’extérieur de l’organisation.

Sources et références

Legifrance. Le service public de l’accès au droit | Code pénal – Articles 226-16. à 226-24.
CNIL. (s. d.-a). Les sanctions pénales. Consulté à l’adresse https://www.cnil.fr/fr/les-sanctions-penales
CNIL. (s. d.-a). Comment se passe un contrôle de la CNIL ? Consulté à l’adresse https://www.cnil.fr/fr/comment-se-passe-un-controle-de-la-cnil
CNIL. (s. d.-a). Les sanctions prononcées par la CNIL. Consulté à l’adresse https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil
Lettre AFCDP n°152 – L’Actualité des données personnelles – Septembre 2019

Testez la maturité RGPD des pratiques RH de votre organisation avec ce quiz !

–