LES SANCTIONS

Les sanctions peuvent monter jusqu’à :

  • 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu pour notamment:
    • Défaut de consentement de la personne concernée lorsqu’il est requis ;
    • Défaut de rendre anonyme des données personnelles en fin de traitement ;
    • Défaut de documentation (privacy by default, contrat de sous-traitant, registre, etc…) ;
    • Défaut de sécurité ou de documentation sur la sécurité ;
    • Défaut d’analyse d’impact lorsque nécessaire ;

 

  • 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé pour notamment :
    • Violation des principes de base du GDPR ;
    • Violation des droits des personnes concernées ;
    • Un transfert vers un pays non conforme au GDPR ;
    • Non-respect d’une injonction de l’autorité de protection des données personnelles.

De plus, la France prendra probablement des mesures supplémentaires (certainement pénales) en complément de ces sanctions administratives.