1. Accueil
  2. Actualités
  3. Quels sont les risques en cas de non-conformité au RGPD ?

Quels sont les risques en cas de non-conformité au RGPD ?

Si le Règlement général sur la protection des données (RGPD) fait couler autant d’encre, c’est certainement en raison du montant des amendes potentielles qu’il prévoit. 20.000.000 EUR est évidemment une somme qui retient l’attention, même celle des plus grands acteurs mondiaux. Ces amendes ont d’ores et déjà joué leur rôle en convainquant les entreprises de prendre ce nouveau règlement au sérieux.

La question mérite cependant que l’on regarde plus loin que l’épouvantail que constitue ce chiffre, afin que les entreprises connaissent réellement les enjeux de la mise en conformité avec le RGPD et puissent donc apprécier le budget à y consacrer.

gdpr_lesrisques-artikel_v2

Contrôles

Les infractions aux RGPD seront sanctionnées à la suite d’enquêtes opérées par la future Autorité de protection des Données (APD), actuelle Commission de protection de la vie privée. Elles pourront avoir lieu sur la base d’une plainte, à la suite de la notification d’une violation de données ou encore d’initiative. L’APD pourrait par exemple s’étonner de ne pas avoir été avertie du nom du délégué à la protection des données d’une société qui traite de façon notable et à grande échelle des données médicales.

Ces investigations ne seront pas limitées au point bien précis ayant initié l’enquête, mais pourront viser l’ensemble de le mise en conformité avec le RGPD.

Les pouvoirs d’enquête conférés à l’APD incluent la descente dans les locaux de l’entreprise, la consultation du registre, l’audition de personnes et la saisie de matériel informatique. Il ne s’agira donc pas simplement pour l’entreprise sous le feu de l’enquête de charger son délégué à la protection des données de répondre calmement par écrit à une demande de renseignements de l’APD. Les équipes, réceptionniste y compris, doivent dès lors être conscientisées et formées.

Charge de la preuve

Lors de ces contrôles, l’APD ne devra pas démontrer la faute du responsable de traitement ou du sous-traitant. Au contraire, c’est aux entreprises qu’il appartiendra de démontrer qu’elles respectent le RGPD. Ce retournement de la charge de la preuve est communément dénommé sous le vocable anglais d’accountability, qui implique pour les entreprises de « rendre compte » de leur conformité.

Procédure

Si, au terme de cette enquête, l’APD estime que des manquements ont été commis, la Chambre contentieuse pourra poursuivre l’entreprise fautive L’APD pourra infliger elle-même la sanction et ne dépendra plus du bon vouloir du Parquet comme c’est le cas sous l’empire de la loi du 8 décembre 1992.

L’entreprise poursuivie aura l’occasion de faire valoir les éléments qu’elle souhaite, oralement et par écrit.

Elle pourra donc tenter de démontrer qu’aucun manquement n’a été commis, ou encore de solliciter la clémence de l’APD dans la fixation de la sanction. L’attention de l’APD pourra ainsi être attirée sur les mesures prises pour limiter les dommages, la coopération dont l’entreprise a fait preuve, le fait que l’entreprise a elle-même porté l’incident à la connaissance de l’APD, ou tout autre élément énuméré par l’article 83(2) du RGPD.

Sanctions

Parmi la palette de mesures à sa disposition, plutôt qu’une amende, l’APD pourra choisir d’infliger un avertissement ou d’ordonner la cessation du traitement litigieux et l’effacement de données.

Si par contre elle se dirige vers une amende administrative, deux plafonds seront applicables :

Le plus « faible » (10.000.000 EUR ou 2 % du chiffre d’affaires annuel mondial) concerne les manquements aux obligations formelles du RGPD.

L’amende la plus élevée (20.000.000 EUR ou 4 % du chiffre d’affaires annuel mondial) sera par contre applicable si le manquement concerne les principes de base applicables aux traitements de données à caractère personnel ou les droits des personnes concernées

En cas de concours d’infractions, l’APD pourra monter jusqu’au double du montant de l’amende la plus lourde applicable aux infractions commises.

Recours

La décision de l’APD pourra naturellement faire l’objet d’un recours, mais ce recours ne suspendra pas pour autant l’exigibilité des amendes, qui devront être payées dans les 30 jours.

La décision pourra ainsi être attaquée dans les 30 jours de sa notification devant la Cour des marchés, faisant partie de la Cour d’appel de Bruxelles. Le délai moyen de traitement des affaires devant cette chambre est de 419 jours. C’est donc le temps qu’il faudra attendre avant d’espérer se voir rembourser tout ou partie des amendes versées, en cas de réformation.

Indemnisation

À côté de l’enquête effectuée par l’APD, les victimes d’une violation du RGPD pourraient également se tourner vers la justice pour réclamer la cessation d’un traitement illégal ou l’indemnisation de leur préjudice.

Si les montants habituellement accordés par les juridictions belges dans ce domaine restent symboliques, il y a fort à parier que les entreprises aient plus à craindre les répercussions médiatiques de telles actions sur leur image.

Conséquences sur l’image de l’entreprise

En effet, l’enjeu financier pour les entreprises n’est pas tant d’éviter des sanctions financières que d’éviter d’être épinglées comme mauvais élève.

Ces derniers temps, l’attention du grand public a été attirée sur la protection des données à caractère personnel et les consommateurs sont de plus en plus attentifs à ce respect de leur vie privée.

Les entreprises auront donc à cœur d’éviter toute mauvaise publicité et au contraire de tirer un argument commercial de leur mise en conformité avec le RGPD.

 

 

Fanny COTON

fanny-coton

Fanny COTON est une collaboratrice senior du cabinet d’avocat LEXING. Avocate du barreau de Liège depuis 2006, elle est spécialiste en droit de la vie privée. Elle conseille couramment des entreprises et des administrations au sujet de traitements de données à caractère personnel. Elle est l’auteur de nombreux articles dans ce domaine et intervient fréquemment dans des séminaires au sujet du Règlement général sur la protection des données.

 

 

  1571