L’application du règlement européen sur la protection des données à caractère personnel (RGPD) prévue le 28 mai 2018 se rapproche à grands pas.
Pour autant, le choix de son Data protection officer (DPO) ne doit pas être précipité. Car celui-ci aura le rôle déterminant de poser les fondements de l’organisation nouvelle de l’entreprise, qu’il concevra au regard des nouvelles exigences réglementaires.
Ainsi, plus la désignation du DPO sera pertinente, moins le responsable de traitement et le sous-traitant -soit le plus souvent des entreprises- seront exposés aux risques de sanctions particulièrement dissuasives prévues par le RGPD.
En effet, en cas de violation de ses dispositions, le RGPD prévoit un éventail de sanctions de nature administrative, pénale, et civile. La Commission Nationale de l’Informatique et des Libertés (CNIL) aura le pouvoir de prononcer des amendes administratives dont le montant peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise concernée. Elle aura également et notamment la possibilité d’épingler les entreprises, en leur adressant un avertissement public. L’entreprise défaillante devra également répondre civilement des dommages matériels ou moraux causés par la violation du règlement. Enfin, les sanctions pénales seront déterminées par le droit interne. Dans ces conditions, le responsable de traitement et le sous-traitant devront apporter un soin particulier à la nomination de leur DPO.
Veuillez télécharger le PDF pour lire la suite de l’article :