Nouvelles sanctions

Le nouveau règlement vient renforcer les sanctions pouvant être prononcées en cas de non-respect des dispositions relatives au traitement et à la protection des données personnelles. Il prévoit des amendes administratives, qui pourront être prononcées seules ou en tant que sanction complémentaire, par exemple en plus d’une limitation temporaire d’un traitement.

Afin d’encadrer la détermination du montant des amendes, le règlement énonce plusieurs critères qui devront être pris en considération, à savoir par exemple la nature, la gravité et la durée de la violation ou encore son caractère délibéré ou non.

Le règlement fixe des plafonds maximums d’amendes, en prévoyant pour chaque violation le montant maximal encouru:

• des amendes administratives pouvant aller jusqu’à 10.000.000 d’euros, ou pour une entreprise jusqu’à 2% de son chiffre d’affaires annuel mondial total pour l’exercice précédent (le montant le plus élevé des deux étant retenu), par exemple pour non respect de l’obligation de notification d’une violation de données ;
• des amendes administratives pouvant s’élever jusqu’à 20.000.000 d’euros, ou pour une entreprise jusqu’à 4% de son chiffre d’affaires annuel mondial total pour l’exercice précédent (le montant le plus élevé étant retenu), par exemple pour non respect du droit d’opposition d’une personne sur ses données.