Questions les plus fréquemment posées - Responsabilité et sanctions

Aux termes de l’article 83 du RGPD, les violations des obligations incombant au responsable de traitement et au sous-traitant en vertu des articles 37, 38 et 39 relatifs au délégué à la protection des données font l’objet d’amendes administratives pouvant s’élever jusqu’à 10.000.000 EUR ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaire mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

En cas de défaut d’information des personnes (articles 13 et 14 du RGPD) sur les coordonnées du délégué, le plafond de ces amendes administratives est porté à 20.000.000 et 4% du chiffre d’affaire mondial total de l’exercice précédent.

De manière générale, ces amendes administratives ne sont pas la seule forme de sanctions administratives pouvant être imposées par les autorités de protection des données. D’autres mesures sont à la disposition de l’autorité de protection des données dans le cadre de l’exercice de ses pouvoirs correctifs (art. 58.2) : avertissement, rappel à l’ordre, injonction etc.

A ajouter ultérieurement :

  • La communication des coordonnées du délégué à l’autorité de protection des données : laquelle ?
  • Quel formulaire et avec quel contenu ?

Le responsable de traitement ou le sous-traitant demeurent responsable de la conformité avec la règlementation en matière de protection des données et doivent être en mesure de démontrer cette conformité. Le délégué n’est pas responsable de cette conformité. Ce sont également les responsables de traitement et les sous-traitant qui peuvent être sanctionnés pour violation du nouveau règlement, en ce compris se voir infliger des amendes administratives.

Source : page 4 des lignes directrices du Groupe 29 sur le délégué à la protection des données