RGPD & RH : quelles sanctions en cas de non-respect des dispositions légales ?

Publié le : 24 janvier 2022 Dernière mise à jour le : 21 janvier 2022
RGPD & RH : quelles sanctions en cas de non-respect des dispositions légales ?
Sarah Benhammou

Parmi les nombreuses réglementations et obligations qui s’imposent aux employeurs en matière de gestion des RH, celles en lien avec la RGPD peuvent sembler anecdotiques, voire négligeables. Et pourtant, les risques sont bien réels et les conséquences peuvent être extrêmes lourdes pour les entreprises.

En matière de traitement des données personnelles, depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (dit RGPD) le 23 mai 2018 et la révision de la Loi Informatiques et Libertés du 6 janvier 1978, les obligations relatives à la protection des données personnelles sont nombreuses.

Elles peuvent parfois être longues et fastidieuses, comme la tenue d’un registre de traitement régulier, la mise en place d’une analyse d’impact, etc.

Ou coûteuses, dès lors qu’il faut revoir l’intégralité du système de sécurité des données personnelles, sécuriser le matériel informatique, faire appel à des consultants pour mettre notre entreprise aux normes légales et s’assurer de sa conformité.

La tentation peut donc apparaître d’être un peu plus laxiste par moments, de détourner le regard ou de se dire que la Commission Informatiques et Libertés (dite la « CNIL ») n’en saura jamais rien.

Après tout, quel est le pire qui puisse arriver ? Qu’est-ce que je risque vraiment si je n’assure pas cette conformité ?

Pour vous convaincre d’assurer vos obligations légales au sein de l’entreprise, nous ferons dans cet article un petit tour justement du « pire » et des sanctions que risque votre entité en cas de non-conformité aux dispositions légales.

Cadre général

Depuis 1978, le droit à la protection des données à caractère personnel a été institué comme un droit indépendant, fort, qui se distingue du droit à la protection de la vie privée.

On comprendra donc aisément que, comme pour la protection de n’importe quel droit, des sanctions soient applicables en cas de violation de ce droit.

Que dit le RGPD ?

L’article 32 du RGPD rappelle que chaque entité traitant des données personnelles doit garantir un niveau de sécurité adéquat, adapté à ses moyens et à ses besoins. Une obligation non-négligeable quand on sait qu’un nouveau virus serait lancé dans le monde toutes les 15 secondes et qu’en 2017, plus d’un milliard d’attaques informatiques ont été dénombrées !

En outre, le RGPD dispose que « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi » (art. 82). Dans le cas où cette réparation ne serait pas effectuée, c’est aux autorités de contrôle nationales de veiller au respect du RGPD en imposant des amendes administratives (article 83). En France, c’est à la CNIL que revient cette lourde tâche.

À lire également :

Le pouvoir de la CNIL

Cette dernière a tout pouvoir pour imposer des amendes dont le montant dépend de plusieurs critères :

  • La nature et la gravité des faits, ainsi que le niveau de dommage et la nature des données concernées (une violation relative à des données sensibles coûtera plus cher qu’une violation sur des données classiques !).
  • Si la violation a été commise délibérément ou par négligence.
  • Si le responsable de traitement a pris des mesures pour remédier au problème – ainsi que son degré de responsabilité – ou si au contraire, il a laissé les choses en l’état.

Pris tous ensemble, ces critères peuvent donner lieu à l’application d’amendes salées ! Jusqu’à 10 millions d’euros ou jusqu’à 2% du chiffre d’affaires annuel mondial, étant entendu que le montant le plus élevé sera retenu !

Cette amende peut monter à 20 millions d’euros ou 4% du CA annuel mondial si la violation concerne les droits des personnes, un non-respect du consentement ou en cas de transfert non autorisé de données personnelles en dehors de l’Union Européenne.

On ne rigole plus donc, avec nos données personnelles !

La responsabilité pénale

Il n’y a pas qu’en application du RGPD que la responsabilité peut être engagée. D’un point de vue national, tout manquement à la loi Informatique et Libertés peut être punissable sur le plan pénal.

En application des articles 226-16 et suivants du Code pénal, les sanctions en cas d’atteinte aux données personnelles peuvent aller jusqu’à 5 ans d’emprisonnement et 300.000 € d’amende !

On comprend mieux donc la nécessité, notamment pour les services RH traitant au quotidien des données personnelles (et plus particulièrement celles en lien avec les candidatures et l’onboarding), de veiller à l’application des dispositions légales et réglementaires !

Les sanctions de la CNIL

sanctions-CNIL-non-respect-réglementation-RGPD-financière-pénale

Types de sanctions

L’amende ou la condamnation pénale n’est pas forcément la sanction appliquée immédiatement par l’autorité compétente. En la matière la formation restreinte de la CNIL peut prononcer l’une ou plusieurs des mesures suivantes :

  • Un rappel à l’ordre : il s’agit d’un avertissement de la CNIL de prendre les mesures qui s’imposent pour corriger la défaillance.
  • Une injonction de se mettre en conformité, qui peut être assortie d’une astreinte pouvant aller jusqu’à 100.000 € par jour de retard.
  • Une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation (à l’exception des traitements qui concernent la sûreté de l’État).
  • Le retrait d’une certification.
  • La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale.
  • L’amende administrative.

Quelques exemples

Voici quelques exemples d’entreprises ayant reçu une amende administrative pour non-respect des dispositions légales en matière de données personnelles de leurs salariés.

Quel est votre degré de maturité RH ?

Basé sur les résultats d’une enquête menée auprès de 740 leaders RH dans le monde, cet Index de Maturité RH vous permettra de situer votre profil parmi ceux du marché et d’orienter efficacement votre stratégie RH. Une méthodologie inédite, des chiffres exclusifs et des analyses ciblées pour des recommandations concrètes ! Cet index de maturité RH vous est proposé par notre partenaire Cegid.

Je télécharge le guide RH

En 2020, SPARTOO a été condamné au paiement d’une amende de 250.000 euros pour l’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client, sans en avertir ces derniers, et de façon excessive.

En 2019, Union Trad Company a reçu de la CNIL une amende de 20.000 euros pour vidéosurveillance excessive de ses salariés sans que ces derniers en soient informés.

En 2012, une entreprise a reçu une amende de 10.000 € pour refus de l’employer d’accéder à la demande du salarié de lui fournir un accès et de prendre copie de l’ensemble des données le concernant.

En 2017, une entreprise s’est vue prononcer une sanction pécuniaire de 10.000 € pour avoir mis en œuvre illégalement un système biométrique de reconnaissance de l’empreinte digitale à des fins de contrôle des horaires de ses salariés.

À lire également :

Partager l'article

Vous pourriez également être intéressé par

Sarah Benhammou

Avocate au Barreau de Paris, j'interviens aux côtés des jeunes entreprises, start-up, PME et associations dans toutes leurs démarches juridiques en droit des contrats, droit du travail et droit des sociétés. Je suis également spécialisée en Droit des données personnelles et j'assiste les entreprises dans leur mise en conformité avec la Loi Informatique et Liberté et le R.G.P.D.
Voir toutes les actualités