RGPD : renforcement des contrôles de la CNIL

BLOG / Droit des affaires et des sociétés
Le RGDP est entré en application le 25 mai 2018. Quel sont les changements à prévoir en termes de contrôle de l'utilisation des données personnelles ? Les pouvoirs de la CNIL et ses possibilités d'actions ont été renforcés par le réglement européen. Un point de procédure s'impose.

CNIL : les 4 types de contrôles a postériori renforcés

Le renforcement des pouvoirs de la CNIL concernent directmment les 4 types de contôle a posteriori :
  • Le contrôle sur place ;
  • Le contrôle en ligne ;
  • Le contrôle sur convocation ou audition ;
  • Le contrôle sur pièce.

Un renforcement des contrôles conjoints entre autorités de contrôle européennes

Lorsque le responsable de traitement ou le sous-traitant est établi dans plusieurs États membres ou si un nombre important de personnes concernées dans plusieurs États membres sont susceptibles d'être sensiblement affectées par un traitement, l'autorité de contrôle « chef de file » invite l'autorité de contrôle de chacun de ces États membres à prendre part aux contrôles conjoints et donne suite sans tarder à toute demande d'une autorité de contrôle souhaitant y participer.

Quelles sont les actions de mise en conformité ?

  • Un process de gestion des plaintes de clients auprès de la CNIL ;
  • Un process de gestion des contrôles des autorités de contrôle (la CNIL en France) ;
  • La sensibilisation des directions opérationnelles de l’entité aux dispositions du RGPD.
Texte de référence : Règlement (UE) 2016/679 du 27 avril 2016, art. 62

Le renforcement des sanctions de la CNIL

Les mesures correctrices de la CNIL

Le RGPD introduit des mesures correctrices de l’autorité de contrôle (la CNIL en France) à l’encontre d’un responsable de traitement ou d’un sous-traitant :
  • avertissement du fait que le traitement envisagé est susceptible de violer les dispositions du RGPD ;
  • rappel à l'ordre lorsque le traitement a entraîné une violation du RGPD ;
  • ordre de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits ;
  • ordre de mettre le traitement en conformité dans un délai déterminé (astreinte de 100 000 euros max par jour de retard dans le projet de loi adopté le 14 mai 2018) ;
  • ordre au responsable du traitement de communiquer à la personne concernée une faille de sécurité impactant des données personnelles ;
  • imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement ;
  • ordre de rectifier ou effacer les données ou limiter le traitement ;
  • retrait d’une certification ou ordre à l'organisme de certification de retirer une certification ;
  • imposer une amende administrative en complément ou à la place des autres mesures correctrices ;
  • ordre de suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale ;
  • suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes (BCR) (projet de loi adopté le 14 mai 2018).
Réf. Règlement (UE) 2016/679 du 27 avril 2016, art. 58

Création d'une Sanction pécuniaire de l’autorité de contrôle (CNIL)

Le RGPD distingue le montant de la sanction pécuniaire en fonction du manquement (violation) constaté.
  • Sanction pouvant s’élever à 10 millions d’euros ou 2% du chiffre d’affaire mondial de l’entreprise en cas de :
  1. Non-respect des obligations incombant au responsable de traitement et du sous-traitant ;
  2. Non-respect des obligations incombant à l’organisme de certification ;
  3. Non-respect des obligations incombant à l’organisme chargé du suivi des codes de conduite.
  • ​Sanction pouvant s’élever à 20 millions d’euros ou 4 % du chiffre d’affaire mondial de l’entreprise en cas de :​
  1. Non-respect des droits des personnes (information, droit d’accès, rectification, opposition, portabilité) ;
  2. Non-respect des principes de base d’un traitement y compris les conditions applicables au consentement ;
  3. Non-respect des obligations relatives aux transferts de données hors UE ;
  4. Non-respect des traitements de données particulières (ex NIR) ;
  5. Non-respect d’une injonction, d’une limitation de traitement ou de la suspension des flux de données hors UE ordonnées par une autorité de contrôle (la CNIL).

Eléments d’appréciation du montant de la sanction

Sont notamment pris en compte par la CNIL pour déterminer le montant de la sanction :
  • la nature de la violation au RGPD,
  • sa gravité,
  • la durée de la violation,
  • le nombre de personnes concernées,
  • le niveau de dommage subi ,
  • le fait que la violation a été commise délibérément ou par négligence,
  • le degré de responsabilité du responsable de traitement ou du sous-traitant,
  • toute violation pertinente commise précédemment par le responsable de traitement ou le sous-traitant, 
  • le degré de coopération établi avec la CNIL, 
  • les catégories de données personnelles concernées, 
  • la manière dont la CNIL a eu connaissance de la violation notamment s’il y a eu notification de la violation, 
  • le respect des précédentes mesures correctrices ordonnées par la CNIL, 
  • l’application de codes de conduite ou de mécanismes de certification approuvés 
  • et toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce.
 Réf. Règlement (UE) 2016/679 du 27 avril 2016, art. 83

Renforcement de la coopération entre les autorités de contrôle européennes

Découvrez les étapes de la prise d’une décision conjointe de sanction en cas de traitement transfrontalier
  • Etape 1 : l’autorité de contrôle « chef de file » propose une sanction.
  • Etape 2 : les autres autorités de contrôle européennes concernées par le traitement ont 4 semaines pour se prononcer : approuver la décision de sanction ou émettre une objection.
  • Etape 3 : en cas d’objection, si celle-ci n’est pas suivie, le point est transmis pour avis au Comité européen de la protection des données (ancien G29) ;
  • Etape 4 : la décision de sanction est prise par l’autorité « chef de file ».

Découvrez notre offre de formation sur le thème Risques et conformité de l'entreprise.
 
Actualité sociale 2018

Agréé auprès du ministère du Travail
pour les informations CE (arrêté n°99-469 du 29/03/99)

Agréé auprès du Préfet de Région pour
les formations CHSCT (arrêté n°2003-2254 du 28/10/03)

Consultants en formations certifiés
Kirkpatrick four levels°niveau bronze