Celui qui, aujourd'hui, ne respecte pas aux pieds ou enfreint la loi vie privée, risque une amende pénale de 800 à 800 000 euros. À partir du 25 mai 2018, la Commission vie privée pourra imposer des sanctions et des amendes administratives beaucoup plus lourdes. Pas de panique !
Notre Commission vie privée belge peut exercer des contrôles plus stricts, mais toute infraction ne sera pas immédiatement sanctionnée. De plus, le montant de la sanction dépendra de l'intention du contrevenant (volontairement, de bonne foi, persévérer dans l'infraction, récidive...) Autrement dit, il existe des circonstances atténuantes pour les entreprises ou organisations qui traitent toutes les données à caractère personnel d'une manière correcte et qui peuvent le prouver.
sanctions en cas d'infraction ou en cas de data breach (fuite de données) ?
Lorsque le sous-traitant (processor) ou le responsable du traitement (controller) ne gèrent pas correctement les données recueillies, ne signalent pas une fuite de données importante ou si l'entreprise n'organise pas d'analyse des risques… la Commission vie privée peut, en fonction de la gravité de la chose, choisir parmi une longue liste de sanctions : un avertissement ou une réprimande. Exiger que vous mettiez le traitement au point ou que vous rectifiiez les erreurs, ou que vous informiez la personne concernée. La commission peut aussi faire effacer des données ou même imposer une interdiction de traitement.
Sanction ou amende ? La Commission vie privée décide de la gravité de l'infraction.
Si le sous-traitant (processor) ou le responsable du traitement (controller) n'exécutent pas leurs « activités » dans les règles de l'art, ou ne gèrent pas correctement une fuite de données, ils risquent une amende jusqu'à 10 millions d'euros ou deux pour cent du chiffre d'affaires mondial annuel si cette somme est plus élevée. En cas de transgressions graves (pas de respect pour les principes généraux ou les droits de la personne concernée), ce montant peut aller jusqu'à 20 millions d'euros ou quatre pour cent du chiffre d'affaires mondial annuel si cette somme est plus élevée.
que faire en cas de fuite de données?
En cas de fuite de données ou data breach, la protection des données a échoué. Des données à caractère personnel ont dès lors été perdues, détruites, modifiées ou sont tombées dans de mauvaises mains. Par accident ou illégalement. Dans tous les cas, vous devez :
- Prévenir la Commission vie privée dans les 72 heures après avoir été informé de la fuite ;
- prévenir également les personnes concernées si l'infraction constitue un risque important pour leurs droits et libertés.
Vos collaborateurs savent-ils quoi faire en cas de fuite des données ?
soyez prêts !
Veillez à pouvoir réagir vite en cas de fuites de données. Plus longtemps vous serez dans l'ignorance, plus élevés seront les dommages potentiels (et plus élevé sera le coût pour les réparer). Préparez-vous et :
- veillez à ce que vos collaborateurs comprennent bien ce qu'est une fuite de données ;
- désignez un responsable qui doit contrôler et rapporter toute infraction ;
- mettez en place un système de détection réalisable ;
- rédigez un document type pour signaler les infractions.
Lisez également les cinq autres articles dans notre série sur la nouvelle loi européenne stricte relative à la protection des données à caractère personnel.
- l'objectif et l'application des règles plus sévères en matière de protection de la vie privée
- la responsabilité et l'obligation de rendre des comptes des entreprises
- le rôle du Data Protection Officer (le Délégué à la Protection des données)
- gestion de vos fournisseurs et entreprises de traitement de données
- amendes élevées en cas de fuites de données ou d'infraction
- quid en cas de transfert de données en dehors de l'UE