GDPR – Quid si on n’est pas conforme ?

Quid si on n’est pas conforme ?

Ne pas se conformer est un pari risqué :

Ne pas se préparer aux nouvelles contraintes imposées par le règlement serait un mauvais calcul pour 3 raisons :

  1. La question n’est pas de savoir si vous aurez une fuite de données un jour mais quand elle aura lieu et ce que vous ferez pour y remédier. Ce jour-là, vous devrez être capable de répondre aux questions et de démontrer que vous avez fait le nécessaire.
  2. Les régulateurs ont reçu des moyens de contrôle accrus de la part des états, tant en dotation financière qu’en pouvoirs juridiques. Des contrôles anticipatifs (contrôles sectoriels ciblés), sur plaintes ou sur demande de régulateurs d’autres pays de l’UE sont déjà annoncés.
  3. La GDPR permet le recours collectif (class action) : cela pourrait toucher votre secteur d’activité et vous atteindre de plein fouet.

Se préparer est donc le meilleur moyen d’anticiper les problèmes car aucune société n’est pas à l’abri d’une plainte ou d’une fuite.

Les pouvoirs des régulateurs sont sensiblement renforcés

En cas de traitement contraire au règlement, la CNPD luxembourgeoise et la CPVP belge ont le pouvoir d’ordonner l’effacement ou la destruction des données ou encore l’interdiction temporaire ou définitive d’un traitement (mesures correctrices). En d’autres termes, les régulateurs peuvent stopper vos activités jusqu’à ce que vous soyez conformes.

Les régulateurs ont en outre le pouvoir d’imposer des amendes administratives allant jusqu’à 20.000.000 € ou 4% du chiffre d’affaire annuel mondial.

Le droit des personnes concernées est important

Attention, s’il y a une violation du règlement, les personnes concernées disposent aussi:

  • D’un droit à un recours juridictionnel effectif en cas d’atteinte à leurs droits, tant contre le responsable du traitement que contre le sous-traitant ;
  • D’un droit de réparation du préjudice matériel ou immatériel pouvant être obtenu du responsable du traitement ou du sous-traitant.

Le bon sens doit rester de mise

Sachant que GDPR est le nouveau cadre auquel votre entreprise doit se conformer, le contexte dans lequel vous évoluez reste important et va déterminer les moyens que vous devez mettre en œuvre. On comprend aisément qu’un artisan travaillant seul ou avec un employé devra implémenter des mesures moins importantes qu’une entreprise évoluant dans le secteur de la santé ou de la surveillance par exemple. La notion de gestion de risque pour les droits et libertés des personnes concernées est donc le critère majeur qui détermine la difficulté de mise en conformité et les moyens à prévoir.

GDPR, c’est quoi ?
Pour qui ?
Quelques définitions à connaitre
Se conformer ?