Article mise à jour le 15/12/2022
Nous commençons par les sanctions car si vous visité cette page c’st que vous devez probablement désigner un DPO.
Sommaire
Les sanctions de l’absence de désignation d’un DPO
1. Sanctions financières
Le montant des sanctions accordé à la CNIL et prévu par la loi du 6 janvier 1978 dite « Informatique et libertés » ne pouvait excéder 150.000 euros pour un premier manquement. En cas de récidive dans les cinq ans à compter de la date du prononcé de la sanction devenue définitive, le montant ne pouvait excéder 300.000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300.000 euros.
La loi pour une République numérique du 7 octobre 2016 est déjà venue renforcer le pouvoir de sanction de la CNIL en hissant le montant du plafond de 150.000 euros (plafond datant de la loi « Informatique et libertés » du 6 janvier 1978) à 3 millions d’euros. Ce réhaussement était un premier pas pour préparer doucement mais sûrement le plafond, encore largement supérieur, des montants fixés par le RGPD, applicable, rappelons-le, dès le 25 mai 2018.
Le RGPD prévoit en effet des sanctions particulièrement sévères :
· Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default, en matière de PIA, etc. ;
· Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).
Dans chacun des cas, le montant le plus élevé est celui pris en compte. Ces sanctions pourront être appliquées dès l’entrée en vigueur du RGPD, soit le 25 mai 2019, la CNIL n’entend pas faire preuve de la moindre tolérance ou du moindre délai sur le sujet. Etre dès aujourd’hui dans la mise en place pour être prêt le jour J n’a donc rien de farfelu.
De telles amendes pourraient avoir des conséquences mortifères sur la santé de certaines entreprises, voire signer définitivement leur fin.
Au-delà du risque amendable, il est évident que les consommateurs sont aujourd’hui de plus en plus regardants sur l’éthique des entreprises et sur la protection de leurs données personnelles. De récents scandales n’ont pas manqué de les alerter et de les rendre bien plus méfiants qu’auparavant.
En plus de la sanction financière qui peut tomber sans mise en demeure préalable (en cas de manquement ne pouvant faire l’objet d’une mise en conformité), la CNIL a désormais le pouvoir d’une sanction que l’on pourrait taxer de « publicitaire » puisque cette dernière peut obliger les entreprises, à leurs frais, à faire part de la sanction subie à toutes les personnes impactées par le manquement constaté et sanctionné.
2. Des sanctions administratives ET pénales
On parle volontiers des sanctions administratives et financières mais ce que l’on entend moins, c’est que des sanctions pénales n’ont pas été négligées. Un article du RGPD (l’article 84-1°) prévoit en effet de laisser libre chaque Etat du choix des sanctions applicables en cas de manquement aux obligations.
En France, les sanctions pénales en cas de violation des règles en matière de protection des données sont déjà prévues par les articles 226-16 à 226-24 du Code pénal. Elles peuvent être résumées dans le tableau suivant :
De quoi faire frissonner les entreprises qui tarderaient à se mettre en conformité et les obliger à se soumettre à ce nouveau règlement sans traîner. Et il reste peu de temps pour justifier de la conformité de ses traitements, de la mise en place d’un registre, de la désignation d’un DPO, de la mise en place d’outils efficaces permettant aux personnes d’exercer leurs droits, ou encore de la mise en place des mesures organisationnelles et techniques nécessaires à la sécurisation des fichiers.
Qui doit désigner un DPO
L’obligation de désigner un DPO (Délégué à la Protection des Données) dépend de la nature et de l’ampleur des activités de traitement de données personnelles de l’organisation. Selon les dispositions du RGPD (Règlement Général sur la Protection des Données), les organisations suivantes sont soumises à l’obligation de désigner un DPO :
- Les autorités publiques et les organismes publics : les autorités publiques et les organismes publics ont l’obligation de désigner un DPO si leur activité principale consiste à traiter des données personnelles ou si le traitement de ces données implique des risques pour les droits et libertés des personnes concernées.
- Les entreprises et les organisations privées : les entreprises et les organisations privées ont l’obligation de désigner un DPO si
– le traitement des données personnelles est une activité principale de l’organisation (par exemple, dans le cas des entreprises de services en ligne ou des entreprises de traitement de données),
– si le traitement de ces données implique des risques pour les droits et libertés des personnes concernées (par exemple, dans le cas des organisations qui traitent des données sensibles ou des données de mineurs, médicales …) ou,
– si l’organisation traite des données personnelles à grande échelle (par exemple, dans le cas des grandes entreprises ou des groupes d’entreprises).
Les traitements détaillés ne sont pas chiffré, il est compliqué de savoir quand désigner un DPO est obligatoire. La grande échelle n’a pas de nombre, mais plus de 20.000 pourrait être pris en compte. Les données personnelles sensibles sont celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les données génétiques et biométriques et médicales. Ces données sont soumises à des règles strictes en matière de protection des données personnelles et doivent être traitées avec prudence et respect des droits et libertés des personnes concernées.
Un DPO en CDI ou un DPO Partagé ?
Voici quelques avantages et inconvénients à prendre en compte lors de la décision de choisir un DPO partagé plutôt qu’un DPO en CDI (contrat à durée indéterminée) :
Avantages d’un DPO partagé :
- Moins coûteux : un DPO partagé est généralement moins cher qu’un DPO en CDI, car il est partagé entre plusieurs organisations et les coûts sont répartis entre elles.
- Plus d’expertise : un DPO partagé peut avoir une expertise plus large et plus approfondie dans différents domaines du traitement des données personnelles, car il travaille pour plusieurs organisations.
- Meilleure disponibilité : un DPO partagé peut être plus disponible pour répondre aux demandes des utilisateurs et des autorités de contrôle, car il n’est pas limité par les horaires et les jours de travail d’une seule organisation.
C’est pourquoi nous nous tenons à votre disposition dès aujourd’hui pour vous épauler dans la mise en conformité du traitement de vos données. Anticiper c’est la clé de votre sérénité.
Absence de désignation d’un DPO : DPO Partage vous propose, gratuitement, de savoir si vous devez désigner un DPD / DPO au 01 83 64 42 98 | ou par notre formulaire de contact
Vous n’avez pas désigner de DPO
Si vous n’avez pas désigné de DPO (Délégué à la Protection des Données) dans votre organisation, vous courez plusieurs risques en plus des sanctions vues au début de cet article :
- Non-conformité avec les exigences du RGPD : le RGPD impose aux organisations de désigner un DPO si elles traitent des données personnelles à grande échelle, si le traitement de ces données est une activité principale de l’organisation ou si le traitement de ces données implique des risques pour les droits et libertés des personnes concernées. Si vous ne désignez pas de DPO et que vous êtes soumis à ces obligations, vous risquez de ne pas être en conformité avec les exigences du RGPD et de vous exposer à des sanctions.
- Manque de compétences en matière de protection des données personnelles : le DPO est chargé de veiller à ce que l’organisation respecte les exigences en matière de protection des données personnelles, notamment en ce qui concerne la gestion des données personnelles, l’application des mesures de sécurité, l’évaluation des risques, etc. Si vous n’avez pas de DPO, vous pouvez manquer de compétences et de connaissances en matière de protection des données personnelles, ce qui peut entraîner des erreurs et des omissions dans la gestion des données personnelles, ainsi que des risques pour les droits et libertés des personnes concernées.
- Manque de légitimité auprès des utilisateurs et des autorités de contrôle : le DPO est le point de contact de l’organisation avec les autorités de contrôle et les utilisateurs en matière de protection des données personnelles. Si vous n’avez pas de DPO, vous pouvez avoir du mal à gérer les éventuelles plaintes ou réclamations des utilisateurs et à répondre aux demandes d’information ou de vérification des autorités de contrôle. Cela peut nuire à votre image et à votre réputation auprès des utilisateurs et des autorités de contrôle, et peut entraîner des sanctions en cas de non-conformité.
Sources : Le RGPD donne les information sur l’obligation de désignation d’un DPO