Pénalités RGPD: il faut s'attendre à ces amendes
Les violations du RGPD peuvent entraîner des sanctions sévères. Dans cet article, nous expliquons à quelles amendes vous pouvez vous attendre.
Sanctions RGPD: de quoi dépendent les amendes?
Le règlement général sur la protection des données est en vigueur depuis mai 2018. Il est censé réglementer la protection des données de manière uniforme dans l'ensemble de l'UE et a en même temps suscité beaucoup de fureur et de peur. Cela n'est pas seulement dû à la réglementation compliquée, mais aussi aux mesures punitives imminentes en cas de violation.
- L'autorité de régulation inflige des amendes. En Allemagne, cette tâche incombe au délégué à la protection des données de l'État fédéral concerné.
- L'autorité de contrôle dispose de pouvoirs d'enquête et de réparation étendus. Il peut ainsi obtenir une image complète du respect du RGPD par les parties responsables et les transformateurs. Il peut également émettre des avertissements et ordonner des mesures, telles que la réparation des violations de la loi ou la prévention du traitement des données.
- Si l'autorité de contrôle inflige des amendes, elle peut le faire à la place ou en plus de ses pouvoirs de réparation.
- Lors de la détermination du montant de la peine, l'autorité de contrôle de la protection des données doit évaluer et prendre en compte certaines circonstances. Il s'agit, par exemple, du type et de la gravité de la violation et de sa durée.
- Il est également important de savoir si des mesures ont déjà été prises pour remédier au problème, à quel point la coopération avec l'autorité de contrôle est bonne et s'il y a déjà eu des violations.
Amendes pour manquement aux obligations du responsable du traitement
La réglementation sur les amendes se trouve à l'article 83 du RGPD. Le principe s'applique que les amendes doivent être effectives, proportionnées et dissuasives.
- En cas de violation des devoirs du responsable ou du sous-traitant, des amendes pouvant aller jusqu'à 10 millions d'euros sont dues ou, pour les entreprises, jusqu'à 2% du chiffre d'affaires mondial de l'année précédente. Le montant le plus élevé compte.
- Il en va de même si les organismes de certification ou les organismes de contrôle violent leurs obligations.
- Par exemple, il n'existe pas de répertoire des activités de traitement, les mesures de sécurité pour le traitement des données sont inadéquates ou le délégué à la protection des données de l'entreprise ne remplit pas correctement ses fonctions.
- Cela comprend également le respect de l'exigence selon laquelle les enfants ne sont autorisés à consentir au traitement des données qu'à partir de 16 ans. Soit dit en passant, cela a également eu un impact sur l'utilisation de Facebook et de WhatsApp.
Violations des principes de traitement des données
Les sanctions sont encore plus sévères en cas de violation des dispositions de base du traitement des données. La question ici est de savoir si les données peuvent être collectées et traitées du tout et si les dispositions en la matière ont été respectées.
- Ceux qui traitent les données, bien qu'ils ne soient pas autorisés à le faire, peuvent s'attendre à des amendes allant jusqu'à 20 millions d'euros ou jusqu'à quatre pour cent du chiffre d'affaires de l'entreprise l'année précédente. Le montant le plus élevé s'applique également ici.
- Quiconque s'oppose à une instruction de l'autorité de contrôle doit s'attendre aux mêmes amendes.
- Des infractions dans cette catégorie existent, par exemple, si les données sont traitées sans le consentement préalable de la personne concernée ou si les droits de la personne concernée sont violés.
- Cela peut déjà être le cas si une entreprise ne respecte pas son obligation de fournir des informations aux personnes concernées par le traitement des données ou s'il n'y a pas de concept de suppression. Les personnes concernées ont le droit d'être oubliées si la finalité du traitement des données ne s'applique plus.
- Les mêmes sanctions sont infligées si des données personnelles sont transférées vers des pays tiers ou des organisations internationales et que les paragraphes du RGPD spécifiquement prévus à cet effet ne sont pas respectés.
Si vous exploitez votre propre site Web, vous devez mettre en œuvre toutes les exigences du RGPD avec un soin particulier. Sinon, vous courez le risque de vous faire prendre dans des entreprises de mauvais avertissement, moins soucieuses de la protection des données que de gagner de l'argent. Lisez ce que vous devez considérer en tant qu'opérateur de site Web dans l'article suivant.