Premières sanctions relatives au RGPD – Analyse et tendances

InsightsPublications et événementsÉtudes

Premières sanctions relatives au RGPD

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur depuis plus d’un an, et une majorité d’autorités administratives nationales en charge de la protection des données personnelles a eu l’occasion de se positionner sur les cas de violation du Règlement qui se sont présentés à elles.

Des sanctions financières liées à RGPD

Le RGPD prévoit deux types de sanctions financières en cas de non-respect des obligations : des sanctions pénales prononcées à l’issue d’un jugement par un tribunal et des amendes administratives, prononcées via une décision par une autorité administrative.

Le secteur de l’assurance est particulièrement concerné par le risque de potentielles amendes du fait de la volumétrie de données gérées. Le premier des impératifs nécessaires à la conformité avec le RGPD est de poursuivre les efforts de sécurisation des données, afin d’éviter, ou a minima de limiter, les fuites de données qui pourraient non seulement être passibles de sanctions, mais surtout nuire à l’image et à la réputation de l’entreprise.

Je télécharge l'article

Les décisions rendues par ces autorités, en plus de sanctionner les comportements non-admis, permettent notamment aux acteurs économiques de mieux appréhender l’application opérationnelle du Règlement.

L’analyse de ces différentes sanctions a permis de dégager deux griefs principaux : un manquement à la sécurité des données et un manque de respect des droits des personnes concernées.

Montants des sanctions RGPD

Je télécharge l'article

Le défaut de sécurité des données

La sécurisation des données, dont les modalités sont décrites à l’article 32 du RGPD, permet de minimiser certains risques dont la conséquence est la mise en danger de la confidentialité de données personnelles, tels que :

  • le hacking : piratage informatique, permet l’accès illégal à des données confidentielles ;
  • la fuite de données : résultat d’une mauvaise sécurisation des données, qui sont rendues publiques ou accessibles à des personnes tierces non-prévues lors de la collecte de données.

Parmi les sanctions retenues pour notre étude, 17 résultent de failles dans la sécurisation des données détenues par les entreprises. Nous avons relevé que des sanctions sur ces motifs ont pu être prononcées à l’encontre de grandes entreprises ou mouvements politiques, mais également sur des affaires concernant de petites entreprises et des hôpitaux. Ainsi, tout type de structure est concerné par l’obligation de sécurité des données et le risque de sanction en cas de manquement à cette obligation peut aussi bien concerner les petites mutuelles que les groupes internationaux d’assurance.

Le défaut de respect des droits des personnes

Le second grief récurrent au sein du panel de décisions analysées pour notre étude est le manque de respect des droits des personnes concernées par la collecte et le traitement de données.
Cette notion fait notamment référence à l’obligation de fournir certaines informations précises et déterminées au moment de la collecte des données. La nature des informations à fournir diffère selon que les données sont collectées directement auprès de la personne concernée ou non.

Télécharger l’intégralité de l’article

Couverture Article RGPD

Vous avez des questions et souhaitez être contacté(e) par un collaborateur Mazars ?

Merci de remplir ce formulaire