Les sanctions de la CNIL contre l'employeur : amende, RGPD...
La CNIL peut prononcer plusieurs sanctions, notamment des amendes, contre les entreprises ne respectant pas le RGPD. L'employeur s'expose aussi à des sanctions pénales.
La CNIL et son guide employeur
En raison du recours grandissant aux outils informatiques, les entreprises peuvent accumuler par inadvertance de très nombreuses données personnelles relatives à leurs salariés. Ce qui place l’employeur en situation délicate vis-à-vis des normes mises en place par la CNIL et par le RGPD. Sachant que toute violation ou divulgation desdites données peut entraîner des sanctions administratives voire pénales, il est primordial pour les entreprises de se familiariser au plus vite avec les règles à respecter en matière de vie privée et de traitements d’informations personnelles.
Pour les accompagner, la CNIL propose un guide employeur qui explicite le cadre d’utilisation des données, leur durée de conservation maximale, et les limites à ne pas dépasser dans chaque situation. Sont abordées notamment les questions de recrutement, de gestion RH, de géolocalisation, de vidéosurveillance, d’accès aux locaux et aux outils informatiques, et d’écoute des appels. Dans les sociétés comptant plus de 250 salariés, la CNIL précise par ailleurs que la création d’un poste de délégué à la protection des données (DPD) est obligatoire pour piloter tous les fichiers et systèmes de traitement.
Divulgation de données personnelles par l'employeur
L’entreprise peut récolter les données personnelles de ses salariés, parfois avec ou sans leur consentement en fonction de la nature desdites informations. En contrepartie, elle est tenue d’informer ses équipes des traitements mis en place, ainsi que d’assurer la sécurité et confidentialité des données par toute mesure technique ou organisationnelle nécessaire, et de tenir un registre des traitements de données en cas de contrôle par la CNIL.
Lors de toute brèche de sécurité entraînant une violation ou une divulgation des données personnelles, l’employeur est tenu d’en informer la CNIL dans les 72 heures, puis les personnes concernées dans les plus brefs délais. De leur côté, les salariés peuvent également porter réclamation à la CNIL s’ils estiment que leur entreprise ne respecte pas les normes prévues par le règlement sur la protection des données (RGPD), afin de faire respecter leurs droits.
La CNIL et l'entreprise
En cas de manquement avéré de la part de l’entreprise, la CNIL prononce des « mesures correctrices » variant selon la situation : simple avertissement, mise en demeure de l’employeur, ordre de mettre un terme à un traitement, obligation de rectification ou d’effacement, etc. En supplément de ces mesures, la CNIL peut prononcer des amendes administratives contre l’entreprise, dont certaines s’avèrent lourdes si l’employeur s’obstine à refuser d’appliquer les injonctions de l’autorité administrative. Un contentieux tenace peut donner lieu à des amendes records atteignant 10 à 20 millions d’euros, ou 2 % à 4 % du chiffre d’affaires, mais cela arrive rarement toutefois !
Des sanctions pénales (300 000 € d’amendes et 5 ans d’emprisonnement) sont prévues pour les violations les plus graves. Par exemple, un détournement par l’employeur de la finalité des données personnelles, ou encore la collecte à grande échelle par des « moyens frauduleux ou illicites ».