Absence désignation DPO
DPO

Absence de désignation d’un DPO

Le RGPD est entré en vigueur en 2018 et il existe encore des structures quoi n’ont pas désigné de DPO contrairement à leurs obligations d’Absence de désignation d’un DPO

Le RGPD donne les information sur l’obligation de désignation d’un DPO

L’absence de désignation d’un DPO lorsque cela est obligatoire vous expose à des sanctions :

1.     Sanctions financières 

Le montant des sanctions accordé à la CNIL et prévu par la loi du 6 janvier 1978 dite « Informatique et libertés » ne pouvait excéder 150.000 euros pour un premier manquement. En cas de récidive dans les cinq ans à compter de la date du prononcé de la sanction devenue définitive, le montant ne pouvait excéder 300.000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300.000 euros.

La loi pour une République numérique du 7 octobre 2016 est déjà venue renforcer le pouvoir de sanction de la CNIL en hissant le montant du plafond de 150.000 euros (plafond datant de la loi « Informatique et libertés » du 6 janvier 1978) à 3 millions d’euros. Ce réhaussement était un premier pas pour préparer doucement mais sûrement le plafond, encore largement supérieur, des montants fixés par le RGPD, applicable, rappelons-le, dès le 25 mai 2018.

Le RGPD prévoit en effet des sanctions particulièrement sévères :

·      Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default, en matière de PIA, etc. ;

·      Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).

Dans chacun des cas, le montant le plus élevé est celui pris en compte. Ces sanctions pourront être appliquées dès l’entrée en vigueur du RGPD, soit le 25 mai 2019, la CNIL n’entend pas faire preuve de la moindre tolérance ou du moindre délai sur le sujet. Etre dès aujourd’hui dans la mise en place pour être prêt le jour J n’a donc rien de farfelu.

De telles amendes pourraient avoir des conséquences mortifères sur la santé de certaines entreprises, voire signer définitivement leur fin.

Au-delà du risque amendable, il est évident que les consommateurs sont aujourd’hui de plus en plus regardants sur l’éthique des entreprises et sur la protection de leurs données personnelles. De récents scandales n’ont pas manqué de les alerter et de les rendre bien plus méfiants qu’auparavant.

En plus de la sanction financière qui peut tomber sans mise en demeure préalable (en cas de manquement ne pouvant faire l’objet d’une mise en conformité), la CNIL a désormais le pouvoir d’une sanction que l’on pourrait taxer de « publicitaire » puisque cette dernière peut obliger les entreprises, à leurs frais, à faire part de la sanction subie à toutes les personnes impactées par le manquement constaté et sanctionné.

2. Des sanctions administratives ET pénales

On parle volontiers des sanctions administratives et financières mais ce que l’on entend moins, c’est que des sanctions pénales n’ont pas été négligées. Un article du RGPD (l’article 84-1°) prévoit en effet de laisser libre chaque Etat du choix des sanctions applicables en cas de manquement aux obligations.

En France, les sanctions pénales en cas de violation des règles en matière de protection des données sont déjà prévues par les articles 226-16 à 226-24 du Code pénal. Elles peuvent être résumées dans le tableau suivant :

De quoi faire frissonner les entreprises qui tarderaient à se mettre en conformité et les obliger à se soumettre à ce nouveau règlement sans traîner. Et il reste peu de temps pour justifier de la conformité de ses traitements, de la mise en place d’un registre, de la désignation d’un DPO, de la mise en place d’outils efficaces permettant aux personnes d’exercer leurs droits, ou encore de la mise en place des mesures organisationnelles et techniques nécessaires à la sécurisation des fichiers.

C’est pourquoi nous nous tenons à votre disposition dès aujourd’hui pour vous épauler dans la mise en conformité du traitement de vos données. Anticiper c’est la clé de votre sérénité.

Absence de désignation d’un DPO : DPO Partage vous propose, gratuitement, de savoir si vous devez désigner un DPD / DPO au 07 56 94 70 90 | ou par notre formulaire de contact