3

La sanction du non-respect des obligations

< Rapport d'information >

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

Les autorités de contrôle peuvent notamment prononcer un avertissement, mettre en demeure l’entreprise, limiter temporairement ou définitivement un traitement, suspendre les flux de données, ordonner de satisfaire aux demandes d’exercice des droits des personnes ou ordonner la rectification, la limitation ou l’effacement des données. S’agissant des nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification.

Mais surtout, l’article 83 du règlement donne aux autorités de contrôle la possibilité de prononcer des amendes administratives en complément ou à la place des mesures correctives. Celles-ci peuvent atteindre, selon la catégorie de l’infraction, 10 à 20 millions d’euros, ou, dans le cas d’une entreprise, de 2 % à 4 % du chiffre d’affaires annuel mondial , le montant le plus élevé étant retenu.

Peuvent faire l’objet d’amendes administratives pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu, la violation des règles détaillées dans le tableau suivant :

DISPOSITIONS DU RÈGLEMENT DONT LA VIOLATION ENTRAÎNERA UNE AMENDE POUVANT S’ÉLEVER JUSQU’À 10 MILLIONS D’EUROS OU 2 % DU CHIFFRE D’AFFAIRES (71)

Obligations incombant au responsable du traitement et au sous-traitant

Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information (article 11)

Protection des données dès la conception et protection des données par défaut (article 25)

Responsables conjoints du traitement (article 26)

Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l’Union (article 27)

Sous-traitant (article 28)

Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant (article 29)

Registre des activités de traitement (article 30)

Coopération avec l’autorité de contrôle (article 31)

Sécurité du traitement (article 32)

Notification à l’autorité de contrôle d’une violation de données à caractère personnel (article 33)

Communication à la personne concernée d’une violation de données à caractère personnel (article 34)

Analyse d’impact relative à la protection des données (article 35)

Consultation préalable (article 36)

Désignation du délégué à la protection des données (article 37)

Fonction du délégué à la protection des données (article 38)

Missions du délégué à la protection des données (article 39)

Certification (article 42)

Organismes de certification (article 43)

Obligations incombant à l’organisme de certification

Certification (article 42)

Organismes de certification (article 43)

Obligations incombant à l’organisme chargé du suivi des codes de conduite

Prise de des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant (article 41)

La violation des règles fondamentales relatives au traitement des données ou aux droits des personnes concernées entraîne des amendes administratives d’un montant plus élevé pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent :

DISPOSITIONS DU RÈGLEMENT DONT LA VIOLATION ENTRAÎNERA UNE AMENDE POUVANT S’ÉLEVER JUSQU’À 20 MILLIONS D’EUROS OU 4 % DU CHIFFRE D’AFFAIRES

Principes de base d’un traitement, y compris les conditions applicables au consentement en application des articles 5 (principes relatifs au traitement des données à caractère personnel), 6 (licéité du traitement), 7 (conditions applicables au consentement) et 9 (traitement portant sur des catégories particulières de données à caractère personnel) du règlement.

Droits dont bénéficient les personnes concernées en application des articles 12 à 22 du règlement (traitement portant sur des catégories particulières de données à caractère personnel, informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée, informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, droit d’accès de la personne concernée, droit de rectification, droit à l’effacement, droit à la limitation du traitement, obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement, droit à la portabilité des données, droit d’opposition, décision individuelle automatisée, y compris le profilage)

Règles relatives aux transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale détaillées aux articles 44 à 49 ;

Obligations découlant du droit des États membres adoptées en application du chapitre IX du règlement

Non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle ou le fait de ne pas accorder l’accès prévu, en violation de l’article 58 du règlement

Ces montants doivent être rapportés au fait que, pour les traitements transnationaux, la sanction sera conjointement adoptée entre l’ensemble des autorités concernées, donc potentiellement sur l’ensemble du territoire de toute l’Union européenne. Dans ce cas, une seule et même décision de sanction décidée par plusieurs autorités de protection sera infligée à l’entreprise.

< Rapport d'information >