Se conformer au règlement général sur la protection des données (RPGD) est contraignant et le chantier peut être long. Cependant, il n'est pas vain et il limite les risques pour l'organisme qui l'a mis en oeuvre.
Le RGPD fait partie des incoutournables à prendre en compte dans la gestion des risques.
Quels sont ces risques ?
1 - Risque financier
Le risque d'amende administrative est élevé au regard du montant maximum qui peut être adressé par les autorités de contrôle. En effet, le montant peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d'affaires mondial dans la limite du plus élevé en fonction des manquements retenus (le non respect des grands principes principalement).
En France, c'est la Commission nationale de l'informatique et des libertés (CNIL) qui est en charge d'adresser les amendes.
Certains manquements relatifs aux obligations de formalisme et à la sécurité des données sont sanctionnés dans un maximum de 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
Le RGPD a apporté une nouveauté sur ce sujet par le mécanisme du guichet unique.
Alors qu'auparavant, l'autorité de contrôle de chaque pays européen pouvait sanctionner une entreprise multinationale sur les mêmes faits, dorénavant, une seule autorité de contrôle sera en charge du dossier (autorité dite chef de file).
Les amendes administratives ne sont pas les seules. Des actions de groupe peuvent être menées aux fins d’indemnisation des préjudices subis par les personnes concernées (par exemple, le préjudice dans le cas d’une violation de données), dont les montants peuvent rapidement être importants.
Des dommages et intérêts peuvent également être recherchées devant les tribunaux civils en cas de non respect des dispositions du RGPD.
Enfin, des amendes pénales peuvent également être prononcées en cas de manquement aux dispositions du code pénal.
DASTRA vous permet de réduire les risques de non conformité au RGPD de manière simple et guidée. Découvrez notre solution sur ce lien.
2 - Risque d’exploitation
Le non respect des règles peut entrainer une interdiction administrative de la mise en oeuvre des traitements de données à caractère personnel considérés illicites ce qui peut conduire à suspendre l’activité de l’entreprise qui repose sur ces traitements.
Parfois, la simple demande de mise en conformité d'une entreprise peut entrainer une extinction de l'activité de l'entreprise.
Par ailleurs, à la suite d'un vol ou d'une perte de données, l’activité de l’entreprise peut être suspendue voire anéantie.
3 - Risque commercial
Le RGPD est à destination des organisations, des entreprises, des collectivités et du marché. Il assure la libre circulation des données. Ainsi, les acteurs économiques doivent respecter ses règles pour travailler avec des données personnelles.
Une absence de conformité au RGPD peut entraîner une perte de marché ou une perte de contrat dans le cadre d'un appel d'offres par exemple. En effet, des obligations spécifiques existent à destinatation des sous-traitants. Un sous-traitant qui ne présenterait pas de garanties de conformité au RGPD (notamment dans son contrat par exemple) pourrait se voir refuser un marché au profit d'un autre plus vertueux.
4 - Risque d’image
C'est probablement le risque le plus important, car il peut avoir des retombées économiques sur le long terme et est difficile à anticiper. Un article dans la presse, une fuite de données de mal gérée peut apporter autant de fantasmes que d'inquiétudes. Ce qui est en cause, c'est la réputation de l'entreprise !
Le RGPD est un corpus de règles à destination des organisations conçu pour rééquilibrer leur rapport de force avec les personnes concernées dans la mise en oeuvre des traitements.
Un manquement aux règles essentielles peut être facilement vécu comme une trahison et générer de la perte de confiance.
Par ailleurs, n'oublions pas que les sanctions et mises en demeure de la CNIL peuvent être rendues publiques.
5 - Risque juridique
Les traitements de donnés personnelles servent pour beaucoup à titre de preuve dans des contentieux en droit social ou commercial. Ces éléments de preuve peuvent être jugés irrecevables s’ils sont fondés sur un traitement illicite ou déloyal.
6 - Risque pénal
Les manquements au règles de protection des données font pratiquement tous l’objet de sanctions pénales pouvant aller jusqu’à 5 ans de prison et 300 000 euros d’amende pour les dirigeants et 1 500 000 euros d’amende pour la personne morale.
7 - Risque de conformité
Une plainte ou demande d'exercice d'un droit d’un salarié ou d’un client mal gérée peut générer des alertes auprès des autorités de contrôle et contraindre l'organisation dans un processus de contrôle.
Demandez nous une démo tout simplement sur ce lien.