Un guide complet pour comprendre les actions d'application du RGPD, des fondamentaux de l'emission des amendes aux sanctions maximales auxquelles les organisations peuvent faire face.

Les fondamentaux

Les amendes RGPD sont des sanctions administratives, et non des decisions judiciaires. Toute violation du reglement peut potentiellement entrainer une amende. Ces sanctions sont prononcees par les autorites de protection des donnees (APD) de chaque Etat membre de l'UE. Point important, les amendes sont distinctes des dommages et interets -- elles servent des objectifs differents et sont appliquees par des organismes differents.

Comment les amendes sont calculees

Plusieurs facteurs influencent le montant d'une amende RGPD : l'ampleur et l'impact de la violation, son caractere intentionnel ou negligent, l'historique de conformite de l'organisation, l'implication ou non de donnees sensibles, et le niveau de cooperation avec l'APD en charge de l'enquete.

La sanction maximale est de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus eleve. Pour les groupes d'entreprises, le chiffre d'affaires peut etre calcule sur l'ensemble du groupe, et pas seulement sur l'entite individuelle ayant commis la violation. La publicite des amendes varie selon les juridictions.

Amendes pour violation de donnees

Les organisations peuvent etre sanctionnees specifiquement pour des violations de donnees si leurs mesures de securite etaient inadequates. Le RGPD exige egalement des organisations qu'elles auto-declarent les violations graves a l'APD competente, et le defaut de declaration peut entrainer des sanctions supplementaires.

Le processus d'application

Les amendes sont generalement prononcees a la suite d'une enquete de l'APD, habituellement declenchee par une plainte. Les organisations peuvent contester les amendes par un recours juridictionnel et, dans certaines juridictions, par des voies de recours administratives.