Ne pas répondre, ou mal répondre, à un citoyen exerçant l’un de ses droits issus du RGPD, peut entraîner un contrôle de la CNIL.
Subir une violation de données, c’est-à-dire qu’une personne non autorisée y ait accès, peut nécessiter d’en informer la CNIL et les personnes concernées. Dans une telle situation, si les données n’étaient pas suffisamment protégées, la CNIL pourrait décider d’effectuer un contrôle complet.
Suite à un piratage, ou à une sanction de la CNIL rendue publique, l’image de marque de l’organisation pourrait être considérablement impactée.
Le critère « conformité RGPD » est de plus en plus observé par les acheteurs dans le cadre d’appels d’offres publics comme privés. Cette pression vient des citoyens toujours plus soucieux du sort de leurs données personnelles. Aux yeux des clients, être en conformité avec le règlement est un réel avantage concurrentiel.
Les contrôles de la CNIL sont majoritairement des contrôles en ligne. Les agents de l’autorité peuvent contrôler un site internet ou tenter d’accéder à des réseaux privés d’entreprises. Ces contrôles peuvent résulter d’une plainte d’un citoyen. Les contrôles non satisfaisants peuvent engendrer un contrôle sur pièces, voire sur site.
La CNIL peut ordonner de mettre en conformité un traitement, ou encore ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte.
L’autorité peut limiter temporairement ou définitivement un traitement, ou encore suspendre les flux de données impactant l’activité, et l’image de marque, de la structure.
La CNIL peut infliger des amendes administratives. Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros, ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.