L’Autorité de protection des données (APD), gardienne de l’application du RGPD en Belgique, se montre aujourd’hui de plus en plus active et n’hésite plus à utiliser pleinement son pouvoir de sanction.
Le point de départ
Une entreprise ou organisation peut rapidement être impliquée dans une procédure devant l’APD, notamment à la suite d’un dépôt d’une plainte (ce processus étant simple d’accès et entièrement gratuit).
Une telle plainte peut émaner, par exemple, d’un ancien employé mécontent, d’un client ou d’un prospect estimant être destinataire d’un nombre excessif de communications promotionnelles, ou plus généralement de toute personne considérant que le traitement de ses données à caractère personnel n’est pas conforme aux exigences du RGPD.
Par ailleurs, l’APD dispose également de la faculté d’initier une procédure de sa propre initiative lorsqu’elle constate l’existence d’indices de violation, notamment à la suite d’informations rendues publiques, telles qu’un article de presse décrivant les traitements de données mis en œuvre par une entreprise.
De lourdes conséquences pour l’organisation mise en cause
Dans ce contexte, les risques pour les organisations sont loin d’être négligeables.
L’APD dispose d’un large éventail de sanctions à sa disposition :
- un avertissement,
- un rappel à l’ordre (réprimande),
- des injonctions de mise en conformité, imposant au responsable du traitement ou au sous-traitant d’adapter ses pratiques dans un délai déterminé,
- l’injonction de satisfaire aux droits des personnes concernées, par exemple en répondant à une demande d’accès, d’effacement ou d’opposition,
- la limitation temporaire ou définitive d’un traitement, ou son interdiction totale,
- la suspension des flux de données, notamment vers des destinataires situés en dehors de l’Union européenne,
- l’imposition d’amendes administratives, pouvant atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’entreprise, le montant le plus élevé étant retenu,
- la publication de la décision, ce qui peut entraîner un impact réputationnel significatif pour l’entreprise concernée.
Au-delà de la sanction elle-même, une procédure devant l’APD mobilise des ressources importantes pour l’organisation. Répondre aux questions successives du Service d’Inspection et se défendre devant la Chambre Contentieuse demande beaucoup de temps, l’intervention de conseils spécialisés et représente un coût financier significatif.
À cela s’ajoutent les efforts souvent conséquents nécessaires pour se mettre (ou se remettre) en conformité, sans oublier les risques réputationnels pour l’entreprise, qui peuvent avoir un impact durable sur la confiance des clients, partenaires et collaborateurs.
En conclusion
La conformité avec le RGPD constitue non seulement une obligation légale mais également une mesure de gestion des risques, puisqu’elle permet de réduire considérablement la probabilité d’une procédure devant l’Autorité.
La compliance RGPD constitue également un véritable argument de vente pour l’entreprise, en renforçant la confiance des clients tout en améliorant la sécurité des données, ce qui bénéficie directement à sa performance et à sa réputation.
Notre conseil :
Face à ces enjeux et à ces risques, il est essentiel pour les organisations de porter une attention particulière à leur conformité RGPD et d’adopter une approche proactive.
N’hésitez pas à consulter notre équipe pour vous assister dans votre mise en conformité en matière de protection des données ainsi que pour vous accompagner et vous défendre en cas de procédure devant l’Autorité de protection des données.
Pour davantage de conseils, visionnez la vidéo du webinaire et les slides sur la meilleure façon de se préparer à un contrôle de l’APD : earlegal #10 – Comment se préparer à un contrôle de l’Autorité de protection des données.