Le 25 mai prochain entrera en vigueur le règlement général sur la protection des données (RGPD). Il reste trois mois aux entreprises françaises pour se conformer aux nouvelles obligations européennes sous peine de se voir infliger de lourdes sanctions.
En janvier dernier, la Commission nationale de l’informatique et des libertés (Cnil) annonçait avoir infligé une amende de 100 000 euros à Darty (groupe Fnac-Darty) pour ne pas avoir protégé les données personnelles de certains clients de son service après-vente. Lors d’un contrôle en ligne réalisé en mars 2017, les équipes de la Cnil avaient, en effet, pu constater qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des données personnelles renseignées par les clients de la société. Les informations figuraient dans un formulaire d’inscription en ligne du service après-vente, développé par un prestataire. «Cette sanction peut paraître sévère, observe Fabrice Naftalski, avocat au cabinet EY, société d’avocats. Toutefois, Darty peut s’estimer heureux que les faits se soient déroulés avant l’entrée en vigueur du règlement européen sur la protection des données (RGPD).»
En effet, après le 25 mai prochain, date d’application en France du RGPD, la sanction aurait pu être beaucoup plus lourde. «Le montant des sanctions infligé par la Cnil ne pouvait excéder 150 000 euros pour un premier manquement, indique Gérard Haas, avocat chez Haas avocats.Or, le RGPD prévoit jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour des manquements de conformité à la réglementation, ou jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour les manquements aux droits des personnes (droit d’accès, droit à l’oubli…).»
Pour échapper à de telles amendes, les entreprises devront se conformer aux diverses dispositions du règlement européen, qui entraînent d’importants changements.
Une charge de la preuve inversée
D’abord, la...
