Je me suis senti obligé, à ce stade précoce, de commencer par alerter ceux qui collectent et traitent des données personnelles (contrôleurs de données) des conséquences du non-respect de leurs obligations en vertu du règlement général sur la protection des données du Royaume-Uni (le règlement). Le non-respect du « Règlement » peut entraîner de graves conséquences pour une entreprise/un contrôleur de données.
Il est important de noter que la responsabilité de se conformer au « Règlement » incombe à la fois à l’organisation et aux individus au sein d’une organisation.
Voici quelques exemples de certaines des conséquences qui peuvent s’abattre sur une entreprise ainsi que sur ses employés qui enfreignent le règlement :
Pénalité financière
La loi prend au sérieux le devoir de se conformer au règlement. Cela explique pourquoi le régulateur a le pouvoir d’imposer une amende maximale de 17,5 millions de livres sterling ou 4 % du chiffre d’affaires mondial (la valeur la plus élevée étant retenue) à une organisation qui manque à ses obligations au titre du RGPD.
Poursuites pénales
Voici quelques exemples de poursuites qui peuvent être engagées contre des individus à part entière ou contre des dirigeants d’une organisation.
Obtention illégale, etc. de données personnelles
Cette infraction consiste à obtenir, divulguer ou obtenir sciemment ou imprudemment des données personnelles sans le consentement du responsable du traitement.
Un exemple de cette infraction est lorsqu’un employé a accédé au dossier de santé d’un patient sans raison légitime pour le faire.
Un autre exemple pourrait être lorsqu’un employé travaillant dans un service RH est vu accéder, sans raison légitime, à plusieurs fichiers appartenant à d’autres employés.
Faire une fausse déclaration en réponse à un avis d’information
Cette infraction est commise lorsqu’une organisation, en réponse à un avis d’information du Bureau du commissaire à l’information, fait ou fait imprudemment une déclaration qu’elle sait être fausse sur un point important. Par exemple, une organisation peut être invitée à produire des documents qu’elle a en sa possession par le régulateur mais faire une fausse déclaration quant à leur existence.
Détruire ou falsifier des informations et des documents, etc.
Constitue une infraction le fait pour une personne de détruire ou de disposer de toute autre manière, de dissimuler, de bloquer ou, (le cas échéant), de falsifier tout ou partie d’une information, d’un document, d’un équipement ou d’un matériel. Par exemple, il peut être demandé à une organisation, pour des raisons juridiques, de produire des documents qui la mettent en cause, puis de les détruire pour éviter leur divulgation.
- Possibilité d’un « recours collectif »
En cas de violation de données personnelles, les avocats peuvent approcher les victimes de la violation de données en vue d’agir en leur nom en tant que groupe ou entité unique. Il est normal que les avocats traitent de tels cas sur la base du principe « aucun gain, aucun frais ». Dans ce scénario, les victimes de la violation de données n’ont rien à payer à l’avocat à moins que celui-ci ne gagne leur procès contre une entreprise.
Dommage à la réputation
Une organisation qui viole les données personnelles risque de nuire à la réputation de sa marque.
Le Bureau du commissaire à l’information publie, dans certaines circonstances, les détails des organisations qui ne respectent pas leurs obligations en vertu du RGPD. Lorsque cela se produit, la réputation de l’organisation en question peut être endommagée, voire irréparable.
EN RELATION : Article d’introduction sur le règlement général sur la protection des données et la loi sur la protection des données du Royaume-Uni, 2018
Conclusion
En conclusion, les faits ci-dessus parlent d’eux-mêmes quant aux conséquences qui peuvent arriver à une organisation qui manque à ses responsabilités en vertu du UKGDPR. Les données personnelles sont des données réglementées et le non-respect de la loi a des conséquences.
Dans mon prochain article, j’examinerai pourquoi il a été jugé nécessaire de réglementer les données personnelles.
En attendant la prochaine fois, efforcez-vous de renforcer vos responsabilités au titre du RGPD, car les données personnelles sont des données réglementées !
À propos de l’auteur :
George Chawawa est consultant RGPD. Il a étudié le droit à l’université avant de procéder à à la Inns of Court School of Law de Londres. Il est titulaire d’un certificat d’études supérieures en droit de la protection des données et en gouvernance de l’information. Il a auparavant travaillé comme professeur de droit et conseiller juridique interne, ainsi que comme responsable de la protection des données/responsable de la conformité pour certaines entreprises nationales et internationales du Royaume-Uni. Son expérience comprend les enquêtes sur les violations de données, la réalisation d’audits RGPD, la réalisation d’évaluations des risques et l’organisation de séminaires de formation RGPD. George accueille favorablement les occasions de parler du règlement général sur la protection des données du Royaume-Uni et de la loi sur la protection des données de 2018 lors de diverses conférences et événements professionnels.
Clause de non-responsabilité: Les articles apparaissant dans « GEORGE’S GDPR CORNER » sont uniquement destinés à des informations générales et sont destinés à sensibiliser au règlement général sur la protection des données du Royaume-Uni et à la loi sur la protection des données de 2018. Cela signifie qu’ils ne sont ni destinés à être, ni ne doivent être invoqués. en tant que conseil juridique professionnel. Si les lecteurs ont besoin de conseils spécifiques sur le règlement général britannique sur la protection des données et sur la loi sur la protection des données de 2018 et sur la manière dont ils s’appliquent à leur situation spécifique, ils doivent demander des conseils juridiques indépendants à leurs propres avocats plutôt que de prendre des mesures après avoir lu les articles « GEORGE’S GDPR CORNER » sur UKGDPR.
