Si le Règlement général sur la protection des données (RGPD) – dont nous avons déjà présenté divers aspects dans nos précédentes news – fait couler autant d’encre, c’est certainement, en partie, en raison du montant des amendes administratives potentielles qu’il prévoit.
Ces dernières peuvent s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total du groupe dont fait partie l’entreprise en infraction. Ce montant peut être doublé en cas de concours d’infractions.
Nul doute, ces amendes ont d’ores et déjà joué leur rôle en persuadant les entreprises à prendre ce nouveau règlement au sérieux.
D’organe d’avis …
La Commission de la Protection de la Vie Privée avait essentiellement une compétence d’avis. La nouvelle Autorité de protection des données (APD) dispose désormais de compétences bien plus étendues. À côté de sa compétence d’avis qu’elle conserve, l’APD se mue en véritable autorité de contrôle. Elle peut ainsi enquêter, poursuivre et sanctionner. Penchons-nous sur la procédure de sanction par l’APD.
… à autorité de contrôle…
L’APD peut mener des enquêtes d’initiative, à la suite de la notification d’une violation de données ou encore sur la base d’une plainte (si par exemple une demande d’effacement est refusée). 148 plaintes ont ainsi déjà été déposées les 6 premiers mois de l’entrée en vigueur du RGPD.
Les pouvoirs d’enquête conférés à l’APD sont larges. Ceux-ci incluent notamment la descente dans les locaux de l’entreprise et l’audition de personnes. L’APD peut également ordonner la consultation des systèmes informatiques et la copie des données qu’ils contiennent.
L’entité qui fait l’objet du contrôle a bien évidemment intérêt à collaborer dès ce stade avec l’APD. Elle peut y faire valoir ses éléments d’explication et éventuellement les changements qu’elle envisage pour mettre fin à une situation que l’APD critique.
… et de sanction
Si, au terme de cette enquête, l’APD estime que des manquements ont été commis, elle peut entamer une procédure de sanction administrative.
L’entreprise poursuivie pourra à nouveau faire valoir à ce stade ses éléments de défense oralement ou par écrit.
Quelles sanctions au terme de la procédure ?
Parmi l’éventail des sanctions à sa disposition, l’APD peut se limiter à formuler un avertissement, à privilégier la voie transactionnelle, voire décider de classer la plainte sans suite.
Elle peut toutefois imposer des sanctions plus lourdes telles qu’ordonner une mise en conformité du traitement, le gel, la limitation ou l’interdiction temporaire ou définitive du traitement. Enfin, elle peut prononcer des astreintes ou amendes administratives.
Quel(s) recours ?
La décision de l’APD peut naturellement faire l’objet d’un recours. Celui-ci ne suspendra toutefois pas pour autant l’exigibilité des amendes, qui devront être payées dans les 30 jours.
La décision pourra ainsi être attaquée dans les 30 jours de sa notification devant la Cour des marchés. Le délai actuel pour obtenir une décision est de plus de 400 jours. C’est donc le délai qu’il faudra attendre pour espérer voir réformer la décision et le remboursement des amendes contestées !
Our advice:
Il est primordial pour les entreprises de se conformer au RGPD, afin de ne pas commettre d’infraction, et de garder en tête que l’Autorité de protection des données peut effectuer une enquête à tout moment.
Si tel est le cas, il est important de collaborer et de se faire assister dès que l’APD débute son enquête, afin d’éviter au maximum qu’elle ne débouche sur une procédure de sanction administrative.