Cyril Cornet
Traffic Manager
9/3/2023
5 min

Les sanctions et responsabilités de la RGPD 

Nous évoquions la notion de responsabilité RGPD dans notre dernier article sur le RGPD où nous présentions les différents outils et modèles mis en place par la RGPD pour responsabiliser les acteurs de la protection des données.

Faisons un rapide tour d’horizon du RGPD. Ce règlement général sur la protection des données à caractère personnel est une loi qui concerne chaque entreprise. Cela dépasse les frontières françaises, sa mise en action englobe le territoire européen.
Cela a pour but d’encadrer les pratiques de traitement et d’utilisation des données à caractère personnel.

Son effet concerne toutes les entreprises traitant de la donnée, qu’importe le secteur activité. De la restauration, à la santé, en passant par les entreprises vendant des produits sur internet.
Les traitements de la donnée sont un réel business qui prend de l’ampleur année après année. Il était essentiel de fixer un cadre et la mise en place d’un contrôle régulier est nécessaire. Et ce afin de conserver les libertés des utilisateurs sur internet.

Aujourd’hui, nous rentrons dans le détail de cette responsabilité et sur les sanctions que le Règlement prévoit en cas d’infractions (et attention, ça ne rigole pas du tout !)

Qui est responsable ?

Tout le monde est concerné. Que vous soyez une petite entreprise ou une multinationale avec des dizaines de services, vous devez prendre ce sujet au sérieux. L’état renforce de plus en plus l’utilisation d’une donnée à caractère personnel. Vous devez être au courant de tous les aspects de cette loi.

La RGPD amène le principe de responsabilité conjointe au secteur de la protection des données.

Chaque entreprise est concernée par la mise en œuvre de ce règlement. Il faut être familier avec chaque paragraphe de la loi afin d’être en conformité.

Il implique ainsi une coresponsabilité : pour le même traitement, il peut y avoir plusieurs responsables.

On parle de coresponsabilité dès qu’il y a au moins de deux responsables des finalités et des modalités de traitement de données personnelles.

Lorsque c’est le cas, il faut faire attention à 4 aspects :

  • Clarifier de manière formelle (contrat et autre) les rôles et responsabilités de chacun ;
  • Préciser par exemple qui répond à une demande de droit d’accès aux données, Et informe ainsi les personnes concernées, qui met en œuvre les mesures de sécurité, etc.
  • La personne concernée pas le traitement de données ne s’adressera pas toujours au responsable désigné, mais s’adressera à l’organisation en général.  La personne contactée doit donc pouvoir facilement se tourner vers la personne responsable pour obtenir une réponse. En conséquent, elle ne peut pas décliner la demande sous prétexte qu’elle n’est pas directement responsable ;
  • Les parties sont libres de se répartir les rôles comme bon leur semble à conditions que l’ensemble des tâches soient couvertes ;
  • Les accords doivent être mis à disposition des personnes concernées. Elles doivent toujours pouvoir savoir qui est responsable de la protection de leur donnée.

La responsabilité des sous-traitants

Ici sont concernés tous ceux qui traitent des données personnelles pour le compte et selon les instructions d’un autre organisme.

Les sous-traitants ont de nombreuses obligations. Mais les organismes ont aussi la responsabilité de s’assurer que le sous-traitant dispose de moyens suffisants pour respecter le cadre de la RGPD.

Un contrat doit être contracté entre l’organisme et son sous-traitant ; des exemples de clauses sont publiées par la CNIL dans le guide du sous-traitant.

Le sous-traitant est ainsi soumis à quatre types d’obligations :

Transparence et traçabilité

Le sous-traitant doit :

  • Consigner par écrit les instructions de son client sur le traitement des données afin de pouvoir prouver qu’il agit “sur instruction documentée du responsable de traitement” ;
  • Demander l’autorisation de son client en cas de sous-traitance ultérieure ;
  • De plus, il faut mettre à la disposition du client toutes les informations nécessaires à la vérification du respect de la protection ;
  • Tenir un registre qui recense les traitements qu’il effectue pour ses clients.

Sécurité des données traitées

Le sous-traitant a l’obligation de :

  • Soumettre tous ses employés à une obligation de confidentialité ;
  • Prendre des mesures de sécurité adaptées aux risques encourus par les personnes en cas de violation ;
  • Notifier aux clients toute violation de leurs données ;
  • Supprimer les données ou les renvoyer à son client après l’exécution de la prestation ;
  • Détruire les copies existantes des données sauf en cas d’obligation légale. Toutes ces obligations doivent donc être détaillées précisément dans le contrat.

Encadrement de la sous-traitance ultérieure

Pour faire appel à son tour à un sous-traitant, le sous-traitant doit avoir une autorisation écrite générale ou spécifique de la part du responsable du traitement.

S’il s’agit d’une autorisation générale, il sera alors nécessaire d’informer le responsable à chaque fois qu’on sollicite un sous-traitant.

Tous les sous-traitants ultérieurs devront être soumis aux mêmes exigences que le sous-traitant d’origine.

Accompagnement du responsable de traitement

Le sous-traitant doit accompagner le responsable du traitement pour :

  • Les demandes des personnes exerçant leur droit d’accès ;
  • La sécurisation des données ;
  • L’analyse d’impact du traitement sur la vie privée et les libertés ;
  • Les notifications des violations de données.

Tout comme l’organisme, le sous-traitant doit tenir un registre des activités et désigner un responsable.

Les sanctions et voie de recours

La CNIL a mis en place des moyens pour sanctionner les organismes qui ne respectent pas la RGPD. Chaque paragraphe du règlement comprend les règles à respecter, mais aussi des sanctions en cas d’irrégularité.

Ces moyens facilitent l’exercice de leurs droits par les personnes concernant leurs données personnelles.

Cela permet de rééquilibrer les rapports de force entre la personne et l’organisme. La CNIL prend ses sujets très au sérieux. Elle est en droit de réaliser des contrôles réguliers pour constater de l’application du RGPD.

Les différents types de sanctions prévus sont :

  • Un rappel à l’ordre ;
  • Une injonction de mettre le traitement en conformité, sous le coup d’une possible astreinte ;
  • Une limitation temporaire ou définitive du traitement ;
  • Mais aussi une suspension des flux de données adressées à un destinataire dans un pays tiers ;
  • Un ordre de satisfaire aux demandes des personnes concernées, y compris sous astreinte ;
  • Un retrait d’une certification ;
  • Une amende administrative ;
  • En cas du non-respect des dispositions sur le DPO : 10 millions d’euros ou 2 % du chiffre d’affaires mondial ;
  • En cas du non-respect des principes fondamentaux ou des droits des personnes : 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Voie de recours pour les personnes concernées

Toute personne estimant le non-respect de la gestion des données personnelles, peut faire appel à une autorité de contrôle ou les juridictions de l’état membre.

Il peut s’agir de l’autorité de l’état membre :

  • De sa résidence habituelle ;
  • De son lieu de travail ;
  • Du lieu où la violation a été commise.

La personne victime d’une violation peut également se faire représenter par un organisme, une organisation ou une association à but non lucratif.

Réparation effective

L’un des objectifs de la RGPD est de prévoir une réparation.

La responsabilité du préjudice sera portée par l’acteur responsable : responsable de traitement, co-responsable et sous-traitant.

Si le préjudice est à l’origine de plusieurs responsables, chacun est tenu responsable de l’entière responsabilité. Les co-responsable s’entendront ultérieurement pour répartir la part de responsabilité.

À savoir : Le CEPD (Comité Européen de la Protection des Données) encadre également le principe de RPGD. Son enjeu présent et majeur est de veiller à la bonne application du règlement. Si vous avez un DPO (Délégué à la Protection des Données) en interne, il peut rentrer en contact avec le CEPD pour avoir des informations complémentaires.

Il est essentiel de garantir les droits des internautes. Une entreprise se doit d’être en conformité avec les dispositions légales du règlement de protection des données à caractère personnel.
Tous les services de la société sont concernés, une formation interne peut être nécessaire afin d’assurer le respect de la loi. Son effet étant déjà en place sur le territoire européen (et donc français), il ne faut plus attendre et faire de ce sujet une priorité.

Nous vous invitons à parcourir le site de la CNIL afin d’en savoir. Dans chaque paragraphe concernant le traitement de la donnée est présent les finalités pour être conforme. Les acteurs se doivent de s’y référer.

Soan, la solution de gestion financière qui vous accompagne au quotidien.

Merci d’avoir pris le temps de lire notre article ! N’hésitez pas à visiter notre blog et notre FAQ 🙂

Rendez-vous sur le blog Soan ou abonnez-vous à nos réseaux sociaux : LinkedIn, Facebook ou Youtube.

Lire plus d'articles
Soan
Entreprise éco responsable : La planète vous dit merci !
7/9/2023
4 min
Soan
Soan lève 3.2 millions d'euros pour continuer son développement !
7/9/2023
5 min
Soan
Les 8 commandements du RGPD pour être aux normes
7/9/2023
4 min

Des conseils des salariés de chez Soan et l'actualité économique autour du paiement dans votre boite mail.

Merci ! Votre demande a été reçue !
Oups ! Un problème est survenu lors de la soumission du formulaire.
À PROPOS
Nous contacterComparatifBlogSécuritéLexiquePresseNos partenairesAvis clientsNous rejoindre
LIEN UTILES
Politique de confidentialitéMentions légalesLa RGPD chez SoanTutos vidéoCGUVFAQGérer les cookies
ADRESSE
51 Quai Lawton 33300 Bordeaux+33 5 54 54 05 06

Un produit du Groupe

Fait avec des kilos d’amour 💛, des heures de labeur 🕐 et des litres de sueur à Bordeaux.
La société Soan, société par actions simplifiée est enregistrée auprès de MANGOPAY, société anonyme agissant en tant qu’établissement de monnaie électronique agréé, auprès de la CSSF (Commission de Surveillance du Secteur Financier) sous la numéro B173459, en tant qu’agent prestataire de services de paiement.

© Soan 2023