Les Responsables de traitement et sous-traitants devront être en conformité avec le RGPD au plus tard le 25 mai 2018. A défaut, ils pourront faire l’objet de sanctions administratives par les autorités de contrôle.

(i) La nature des sanctions pouvant être prononcées

Le RGPD renforce les sanctions pouvant être prises par les autorités de contrôle en cas de manquements du Responsable de traitement ou du sous-traitant.

Les autorités pourront notamment :

  • Avertir ou mettre en demeure le Responsable de traitement ou le sous-traitant de se conformer au RGPD
  • Limiter l’étendue du traitement ou suspendre le flux des données
  • retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification
  • Prononcer des amendes pouvant aller jusqu’à 20 millions d’euros ou, pour une personne morale, 4% du chiffre d’affaires annuel mondial.

(ii) Des sanctions graduées

Afin de fixer le montant des amendes, l’autorité de contrôle devra, dans chaque cas, prendre en compte la situation spécifique, au regard notamment, de la nature, la gravité et la durée du manquement.