1:
Les entreprises et organismes doivent :
- Garantir la sécurité maximale des données personnelles
- Demander en aval le consentement des personnes concernées
- Etre transparente dans le traitement des données – c.à.d. une obligation d’information et de conseil des personnes concernées
- Respecter les droits de la personne concernée lors du traitement des données
- Tenir un registre des traitements de données – ce registre est obligatoire quand le volume d’une entreprise dépasse les 250 personnes
- Nommer un délégué à la protection des données (DPO)
- Effectuer des Analyses d’impact préalable aux traitements des données personnelles permettant de gérer au préalable les risques éventuels lors du traitement (une fuite des données par exemple)
2:
"Le considérant 24 du RGPD rapproche quant à lui la notion de profilage de celle de suivi du comportement des personnes concernées en précisant que « Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d’établir si les personnes physiques sont suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit. »"
3:
"Si la Cour de Justice de l’Union Européenne (CJUE) a reconnu la nature juridique de donnée à caractère personnel à l’adresse IP depuis plusieurs années, depuis un arrêt du 24 novembre 2011[2], la jurisprudence française écartait, dans les années 2000, cette qualification. Les juridictions répressives en particulier ne considéraient pas l’adresse IP comme une donnée personnelle, suivies en cela par certaines Cour d’appel[3] et la chambre criminelle de la Cour de cassation elle-même[4]. Ces divergences n’existent plus aujourd’hui, avec la réaffirmation ou l’affirmation en fin d’année dernière, tant par la Cour de Justice de l’Union Européenne que par la Cour de cassation, qu’une adresse IP est effectivement une donnée à caractère personnel."
4:
Les infractions sont donc sanctionnées graduellement et en fonction de leur gravité :
- Etape 1 : Avertissement ou une mise en demeure de l’entreprise fautive avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD
- Etape 2 : Injonction de cesser la violation
- Etape 3 (dans certains cas) : Limitation ou suspension temporaire des traitements de données
- Etape 4 : Sanctions administratives en cas de non-respect aux règles du RGPD après injonction vaine de l’autorité de contrôle
Bon à savoir ! Les sanctions prévues dans le RGPD ne sont donc en réalité que les ultimes sanctions auxquelles les organismes s’exposent s’ils ne suivent pas les injonctions de la CNIL Ces sanctions sont lourdes de conséquences. Elles ne sont pas à prendre à la légère malgré leur caractère « d’ultime recours ».
5:
Selon la gravité du dysfonctionnement constaté et lié au RGPD, notamment lorsqu’il s’agit d’un des manquements aux obligations suivantes, une
amende d’un montant de 2% du chiffre d’affaires mondial pour les entreprises ou 10 millions d’euros d’amende peut être appliqué :
- les obligations incombant au responsable du traitement et au sous-traitant
- les obligations incombant à l’organisme de certification
- les obligations incombant à l’organisme chargé du suivi des codes de conduite.
Exemples : l’absence de tenue d’un registre des traitements ou l’absence d’analyse d’impact préalable aux traitements des données personnelles.
Dans le cas d’infractions plus graves liées à la mauvaise application ou au non-respect du RGPD, une
amende qui correspond à 4 % du chiffre d’affaires mondial s’agissant des entreprises ou 20 millions d’euros d’amende. Les infractions en question doivent concerner les dispositions suivantes :
- L’obligation de consentement de la personne concernée avant collecte, traitement ou stockage des données personnelles
- Les autres droits des personnes concernées
- Les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale
- Toutes les obligations découlant du droit des Etats membres
- Le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle.
Exemples : le défaut de consentement de la personne concernée par le traitement des données personnelles d’une entreprise, refus de coopérer avec la CNIL après injonctions de celle-ci (exemple : avertissement et mise en demeure de mise en conformité d’un traitement de données au RGPD) ou manque de sécurité et de prudence lors d’un transfert transfrontalier des données personnelles.
6:
On peut aller jusqu'à des sanctions pénales mais osef dans notre cas je pense