Les risques RGPD pour l'entreprise

Demande de conseil
 
Accueil Comprendre le RGPD Les risques pour l'entreprise

Assurer la conformité RGPD de votre entreprise pour limiter les risques

Le RGPD impose de nouvelles obligations aux organismes traitant des données à caractère personnel. 

En France, c'est la CNIL qui est chargée de veiller au respect des dispositions par les organismes. Dotée d’un pouvoir élargi, et d’un pouvoir de sanction, elle représente le premier risque pour les organismes traitant des données à caractère personnel.

RGPD Consulting vous détaille l'ensemble des risques encourus par les entreprises : 

La perte de confiance des consommateurs

Aujourd’hui, personne ne peut ignorer les effets dévastateurs que peut avoir une mauvaise publicité sur internet. Les informations circulent à une vitesse toujours plus importante et les citoyens n’ont jamais été autant connectés.

Les citoyens européens se sont rapidement appropriés le RGPD, et ont saisi l’opportunité que représentait le règlement européen. Plus sensibles aux informations qu’on leur adresse ou à l’utilisation de leurs données à caractère personnel, certaines pratiques se sont rapidement développées au point de devenir la norme.
Ainsi certains internautes s’étonnent lorsqu’ils ne voient pas de bandeau informationnel sur les cookies en entrant sur un site internet, ou se retrouvent dans l’impossibilité de supprimer leur compte client.

Preuve de cette appropriation culturelle, et de l’entrée du RGPD dans les mœurs, le nombre de plaintes déposées auprès de la CNIL a explosé. 

Pour l’année 2018, la CNIL a reçu 11077 plaintes, ce nombre s’est élevé à 14000 plaintes pour l’année 2019, contre seulement 8360 plaintes en 2017, mettant ainsi en avant la prise de conscience des citoyens européens quant à l’importance de la réglementation en vigueur. 

Outre ces plaintes, les rappels à l’ordre et sanctions de la CNIL ont, du fait de leur caractère public, attiré énormément d’attention.
Autorité de contrôle la plus active en Europe, la CNIL est la championne en matière de sanctions financières, notamment avec ses 51,1 millions d’euros d’amendes, chiffre gonflé notamment par l’amende record infligé au géant américain Google.

A titre de comparaison, les autres pays européens sont un peu plus en retrait, c’est le cas en Allemagne et en Autriche où les autorités de contrôle nationales ont infligés respectivement, 24,5 millions et 18 millions d’euros d’amende pour non-respect du RGPD. 

Les publications des remontrances de la CNIL sont devenues une habitude mensuelle. 

Les organismes s’étant vus sanctionner ont subi une perte de leur image très forte et les débats publics qu’ils ont entrainé ont parfois créé des clivages au sein de notre société. L’exemple le plus évocateur est sans doute celui de la décision du 18 décembre 2019 relatif à la vidéo-surveillance dans les établissements scolaires. Les établissements cités se sont vus inondés d’un flot de critiques, et mis au centre du débat public. Les organismes privés ayant subi le même traitement ne manquent pas …

Les citoyens européens ont donc développé une sensibilité particulière aux dispositions du RGPD, et ne manquent plus une occasion de commenter une publication de la CNIL.

La mauvaise publicité entrainée par de tels événements ne saurait être quantifiée, et on ne peut supposer qu’un risque de perte de chiffre d’affaires serait à envisager.

Les risques sociaux 

La perte de confiance des collaborateurs

Si les clients semblent les personnes à protéger au vu du risque évoqué plus tôt, ceci ne représente qu’une partie des problématiques des organismes. Les premières personnes concernées par les traitements de données à caractère personnel organisés par les organismes sont : les collaborateurs.
Le volume de données à caractère personnel collecté sur les collaborateurs est important, et les traitements mis en place ne répondent généralement pas aux dispositions du RGPD.
Les collaborateurs représentent le premier public à informer sur le traitement de leurs données à caractère personnel, mais également à former sur ce sujet.
L’absence de mesures prises par un organisme, ne pourra que renforcer la défiance des collaborateurs jusqu’à un point de rupture non voulu par chacune des parties.

Les risques liés à une erreur ou une faute d’un salarié

Comme évoqué plus tôt, il est important pour les organismes de former ses collaborateurs à la protection des données à caractère personnel et de mettre en place des procédures juridiques, techniques et organisationnelles pour protéger les données à caractère personnel et ainsi éviter d’éventuels détournements.

Ces mesures permettent aux organismes de se prémunir contre d’éventuels manquements aux obligations imposées par le RGPD, et donc de s’exposer à de possibles sanctions administratives et/ou pénales. 

La formation des collaborateurs à la protection des données à caractère personnel par les organismes est une obligation du RGPD (article 39 du RGPD). 

Se prémunir contre une faute, ou une maladresse d’un collaborateur constitue la première étape dans l’annihilation des risques potentiels liés au traitement de données à caractère personnel.

bandeau-cabinet

Le risque de cybercriminalité

Le risque pour les organismes d’être victime de cybercriminalité n’est pas propre au RGPD, mais peut entrainer de lourdes conséquences lorsque la cyber-attaque touche aux données à caractère personnel.

L’obligation de mettre en place au sein des organismes traitant des données à caractère personnel, des mesures techniques et organisationnelles peut se voir gravement sanctionner lorsqu’une cyber-attaque pointe du doigt les faiblesses des organismes sur ce sujet.

En effet, des cyberattaques peuvent engendrer une violation de données à caractère personnel pour un organisme, entrainant des effets dévastateurs sur la vie des personnes concernées C’est la raison pour laquelle le RGPD impose aux organismes une obligation de notification des violations de données à l’autorité de contrôle nationale (CNIL) dans un délai de 72 heures au plus tard après avoir pris connaissance de celle-ci (article 33 du RGPD). 

Cette obligation de notification deviendra obligatoire pour l’organisme si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées (article 34 du RGPD). 

En cas de non-respect de l’obligation de notification de la violation de données, l’organisme s’expose à des sanctions administratives pouvant aller jusqu’à 10 millions d’euros d’amende, ou dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires total. À cela s’ajoute la mauvaise publicité que pourra entrainer la publication de la sanction pour l’organisme. 

Le contrôle CNIL

L’autorité de contrôle française, la Commission Nationale de l’Informatique et des Libertés, dit CNIL, est l’autorité chargée de la régulation en matière de protection des données à caractère personnel. 

C’est à ce titre, qu’elle peut décider de contrôler des organismes à la suite des plaintes ou des signalements qu’elle reçoit, ou lorsqu’elle celle-ci estime qu’il est de son devoir de se saisir d’un cas en particulier. 

En cas de manquements constatés au RGPD lors d’un contrôle, la CNIL peut procéder à une mise en demeure ou décider de prononcer différentes mesures et sanctions.

Pour arriver à ces mesures, la CNIL possède un arsenal juridique lui permettant d'obliger les organismes traitant des données à caractère personnel à coopérer.

La simple demande d’information

La CNIL peut s’auto-saisir en fonction de thèmes jugés comme primordiaux à contrôler en matière de protection des données à caractère personnel, ou sur la base de programmes annuels.

Ces contrôles peuvent conduire la CNIL à demander des informations, ou de la documentation, aux organismes traitant des données à caractère personnel.

À cet égard, l’organisme en charge du traitement de données à caractère personnel a une obligation de coopération avec la CNIL (article 31 du RGPD). 

L’organisme pourra alors fournir la documentation nécessaire (registre de traitement, analyse d’impact, stockage de mentions d’informations...) pour prouver sa conformité avec le RGPD.

bandeau-mise-conformite

Les procédures d’enquêtes

En tant que garante de la conformité au RGPD, la CNIL dispose de différents pouvoirs d’enquêtes pour mener des investigations auprès des organismes en charge d’un traitement de données à caractère personnel.

  • Le contrôle sur place :
    Des agents de la CNIL se rendent directement au sein des locaux du Responsable de traitement ou d’un Sous-traitant afin de mener des investigations relatives au traitement de données à caractère personnel
  • Le contrôle en ligne :
    Des agents de la CNIL vérifient à partir d’un service de communication au public en ligne si les données sont librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d’un tiers.
  • Le contrôle sur pièces :
    Les agents de la CNIL adressent un courrier accompagné d’un questionnaire d’évaluation de conformité des traitements mis en œuvre par le Responsable de traitement ou par le sous-traitant. L’organisme concerné doit communiquer à la CNIL ses réponses en y joignant tout document jugé utile permettant de les justifier
  • L’audition sur la base d’une convocation :
    Un courrier est adressé au responsable de traitement ou au sous-traitant afin qu’ils puissent répondre dans les locaux de la CNIL, à une date précise, aux questions portant sur le traitement de données à caractère personnel. 

Ces procédures d’enquêtes peuvent être complémentaires les unes des autres et peuvent évoluer en fonction des réponses données à la CNIL.

Les sanctions encourues en cas de condamnation par la CNIL

Afin de mieux garantir le respect des droits et libertés des personnes concernées, le RGPD met en place des moyens permettant à la CNIL de sanctionner plus sévèrement et efficacement les organismes qui ne seraient pas conformes.  

Plusieurs types de sanctions sont prévus :

  • Le rappel à l’ordre 
  • L’injonction de mettre le traitement à caractère personnel en conformité 
  • La limitation temporaire ou définitive du traitement 
  • La suspension des flux de données à caractère personnel adressés à un destinataire situé dans un pays hors Union européenne 
  • L’ordre de satisfaire aux demandes d’exercice des droits des personnes concernées par le traitement
  • Le retrait d’une certification 
  • Des amendes administratives 

S'agissant des amendes administratives : avant l’entrée en vigueur du RGPD, la CNIL, pouvait infliger aux entreprises qui n’étaient pas en conformité avec les recommandations légales relatives à la gestion des données à caractère personnel, des amendes pouvant aller jusqu’à 150 000 euros.

Mais depuis l’entrée en vigueur du RGPD, des sanctions financières plus lourdes sont prévues : 

  • Une amende administrative pouvant s’élever jusqu’à 10 millions d’euros ; ou jusqu’à 2% du chiffre d’affaires annuel mondial total de l’entreprise, en cas de violation des obligations générales à la sécurité des données à caractère personnel, de l’obligation d’analyse d’impact ou de la désignation d’un délégué à la protection des données (article 83.4 du RGPD)
  • Une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ; ou jusqu’à 4% du chiffre d’affaires annuel mondial total de l’entreprise, en cas par exemple, de violation des droits des personnes ou du non-respect d’une injonction émise par la CNIL (article 83.5 du RGPD) 

À titre d’exemples, la CNIL a déjà sanctionné plusieurs responsables de traitement pour un manquement aux obligations imposées par le RGPD et prononcé : 

  • 50 millions d’euros d’amende à l’encontre de Google, pour manquement à son obligation de transparence et de clarté dans le contexte de création d’un compte Google
  • 250 000 euros d’amende à l’encontre d’Optical Center, soit 0,11% de son chiffre d’affaires total pour avoir exposé 2 085 données dites sensibles de ses clients 
  • 400 000 euros d’amende à l’encontre d’Uber France, soit 0,78% de son chiffre d’affaires total pour avoir rendu public plus de 1,4 millions de données à caractère personnel 

Les organismes doivent donc prendre très au sérieux les condamnations prononcées par la CNIL et se préoccuper davantage de leur mise en conformité avec le RGPD. 

dpo-externalise_1

Les risques juridiques

D’une manière générale, toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du Responsable de traitement ou de son Sous-traitant réparation du préjudice subi (article 82 du RGPD). 

Ainsi toute entreprise ou organisme en charge du traitement de données à caractère personnel sera considéré comme responsable du dommage causé par le traitement qui constitue une violation de l’une des dispositions du RGPD et engagera sa responsabilité civile

Néanmoins si l’entreprise ou l’organisme agit en la qualité de Sous-traitant , il ne sera responsable que : 

  • Du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le RGPD qui lui incombent spécifiquement 
  • Ou s’il agit en dehors des instructions licites du Responsable du traitement ou contrairement à celles-ci.

Dès lors, d’éventuels dommages et intérêts seront versés par l’entreprise à la personne concernée si elle a fait un recours juridictionnel.

En parallèle, un risque d’ordre pénal pèse sur les entreprises qui ne respecteraient pas le RGPD. En effet, le nouveau texte européen prévoit la possibilité pour les États membres de l’Union européenne de mettre en place des sanctions supplémentaires en cas de violation du texte (article 84 du RGPD).

En France, le Code pénal consacre tout un panel d’infractions en matière d’atteintes aux droits des personnes résultant des fichiers ou traitements informatiques (articles 226-16 à 226-24 du Code pénal).
Par exemple : le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite, ou encore le fait de conserver des données à caractère personnel au-delà de la durée légale ou réglementaire.

Attention : le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq d’emprisonnement et de 300 000 euros d’amende (article 226-18 du Code pénal).