Protection des données Tech & Data

Application du RGPD : premiers constats et sanctions à plusieurs milliers d’euros !

Le Règlement européen général sur la protection des données (RGPD) est applicable depuis le 25 mai 2018. Comme expliqué précédemment ici, ce Règlement peut s’appliquer également aux sociétés suisses.


Pour les entreprises concernées, tant européennes que suisses, diverses mesures devaient être mises en place jusqu’au 25 mai dernier. Il s’agissait par exemple de nommer un DPO (data protection officer), ajouter un bandeau sur son site web, adapter la politique de confidentialité et les conditions générales d’utilisation, créer une page cookies, adapter son formulaire de contact, informer les destinataires de sa newsletter, vérifier la sécurité du parc informatique, former son personnel et adopter des règles internes, analyser les contrats conclus et conclure des avenants le cas échéant.


Dans le cadre de nos activités, nous avons constaté qu’un grand nombre d’entreprises n’avaient, en date du 25 mai 2018, pas encore mis en place les mesures idoines. Certaines se sont à ce jour contentées d’adopter des mesures que nous qualifierons d’« urgentes », à savoir l’insertion du bandeau, la création d’une page cookies et l’adaptation de la politique de confidentialité.


Nous soulignons toutefois le fait que la seule adoption des mesures dites urgentes n’est pas suffisante pour être en conformité avec le RGPD. Les sanctions qui peuvent être ordonnées sont conséquentes, puisqu’elles peuvent aller jusqu’à la limitation définitive des traitements de données et/ou l’amende administrative jusqu’à EUR 20 millions ou 4% du chiffre d’affaires annuel mondial (83 RGDP).


Il est donc primordial de poursuivre ce travail de longue haleine qu’est la mise en conformité de la société concernée si ses activités tombent dans le champ d’application du RGPD.


Des premières sanctions sont d’ailleurs d’ores et déjà intervenues. En France, la formation restreinte de la CNIL a prononcé récemment une sanction de EUR 75’000.- à l’encontre de l’Association pour le Développement des Foyers (ADEF) en raison d’une défaillance dans la protection des données des utilisateurs de son site internet. Cette formation restreinte a également prononcé une sanction à l’encontre de la société OPTICAL CENTER à hauteur de EUR 250’000.-, estimant que la société avait manqué à son obligation de sécurité des données personnelles, En effet, il était possible en manipulant l’URL d’accéder à des centaines de factures de clients de la société qui contenaient des données telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées.


Dans ces deux cas, compte tenu de l’ampleur des données concernées et du caractère particulièrement intime et complet, la formation restreinte a décidé de rendre publique sa décision. Il doit toutefois être précisé que la CNIL avait, préalablement aux décisions précitées, alerté les intéressés sur la défaillance de leur système et leur avait demandé d’y remédier, sans succès.


WILHELM Avocats SA –  2 Juillet 2018

Vous avez des questions par rapport à la problématique abordée dans cet article ?

Dernières actualités de Wilhelm Gilliéron Avocats

image_pdf