Tous ceux qui s'occupent de la protection des données conformément au RGPD craignent l'amende encourue en cas d'infraction. En revanche, les autres sanctions prévues par le RGPD n'attirent guère l'attention.

Obtenez ici un aperçu des sanctions possibles et de la manière dont elles peuvent être dangereuses pour votre entreprise.

Mesures prises par les autorités de contrôle

Les Länder allemands règlent eux-mêmes le contrôle de la protection des données. Les commissaires respectifs à la protection des données et à la liberté d'information contrôlent tous les organismes privés du Land et tous les organismes publics du Land. Les organismes publics fédéraux sont à leur tour soumis au contrôle du commissaire fédéral à la protection des données.

Pour protéger efficacement la protection des données, les autorités compétentes peuvent prendre des mesures appropriées. Ces possibilités d'action existent vis-à-vis des responsables du traitement et des sous-traitants et sont régies par l'article 58 du RGPD.

Demander des informations

Chaque autorité de contrôle peut ordonner au responsable du traitement, au sous-traitant et, le cas échéant, au représentant du responsable du traitement ou du sous-traitant de fournir toutes les informations nécessaires à l'exécution de ses tâches (principalement le contrôle) (art. 58 I let. a RGPD). Il est donc possible que l'autorité de contrôle envoie des questionnaires que le responsable ou d'autres doivent remplir ou que des prises de position soient demandées.

Enquêtes, vérifications et conseils

Les autorités de contrôle peuvent procéder à des vérifications de la protection des données, ainsi qu'à des vérifications des certifications accordées en vertu de l'article 42 VII du RGPD (article 58 I, lettres b, c du RGPD).

En outre, ils peuvent attirer expressément l'attention des responsables du traitement et des sous-traitants sur des violations présumées du RGPD (article 58 I, lettre d du RGPD).

Demander l'accès

Si cela est nécessaire à l'accomplissement de ses tâches, l'autorité de contrôle peut même demander l'accès à toutes les données et informations personnelles nécessaires (art. 58 I let. e RGPD). L'accès aux locaux, y compris à toutes les installations et à tous les appareils de traitement des données, du responsable du traitement et du sous-traitant peut également être exigé (art. 58 I let. f RGPD).

(Avertissement) et instruction

L'autorité de contrôle peut avertir un responsable du traitement ou un sous-traitant que les opérations de traitement envisagées sont susceptibles d'enfreindre le RGPD (art. 58 II let. a RGPD). Il s'agit d'un avertissement préventif lorsqu'une planification du responsable est susceptible d'enfreindre la législation sur la protection des données.

Si une violation a déjà été commise, l'autorité de contrôle peut adresser un avertissement en conséquence (article 58 II, point b) du RGPD) et ordonner de faire droit aux demandes des personnes concernées concernant les droits des personnes concernées (article 58 II, point c)).

Si les procédures ne sont pas conformes au RGPD, l'autorité de contrôle peut ordonner de remédier à cette situation dans un délai donné (article 58 II, point e) du RGPD) et d'informer les personnes concernées en conséquence (article 58 II, point e) du RGPD).

Interdiction, révocation et suspension de la transmission

Les autorités de contrôle peuvent même limiter ou interdire temporairement ou définitivement le traitement, révoquer (ou faire révoquer) ou ne pas délivrer les certifications et ordonner la suspension du transfert vers des pays tiers (article 58 II lettres f, h, j du RGPD).

Rectification, effacement et limitation

En outre, les autorités de contrôle peuvent obtenir la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement et l'information des destinataires auxquels ces données à caractère personnel ont été divulguées (article 58 II, lettre g du RGPD).

Amendes et mesures individuelles

Enfin, l'article 58 II, point i) du RGPD mentionne la mesure la plus connue : l'amende. Mais en même temps, il est également stipulé que les autorités de contrôle peuvent prendre l'amende en plus ou à la place des mesures mentionnées à l'article 58 II RGPD. Une combinaison est donc possible.

Résumé

En cas de violation de la protection des données, l'amende prévue par le RGPD n'est de loin pas le seul risque. La liste des mesures possibles des autorités de contrôle est très longue et comparable à cet article. Les risques économiques et immatériels ne sont pas non plus pris en compte ici : Atteinte à l'image de marque, perte de confiance, perte de chiffre d'affaires, etc.

Une bonne gestion de la protection des données permet de faire face efficacement à ces risques. Intégrez un délégué à la protection des données dans votre entreprise et assurez-vous ainsi que les traitements sont effectués conformément à la loi, qu'ils sont surveillés et que toutes les personnes concernées peuvent toujours être conseillées par des experts.

Vous êtes toujours à la recherche d'un délégué à la protection des données externe ? N'hésitez pas à nous contacter !

fr_FRFrançais