Toute personne ayant subi un préjudice du fait d'un mauvais usage de ses données personnelles ou des droits qui leur sont attachés, peut porter son affaire devant l'autorité de contrôle administrative et / ou devant le juge.
D'ailleurs, si la CNIL ne répond pas dans les trois mois, le plaignant peut former un recours juridictionnel et demander au juge civil ou pénal d'instruire et condamner l'organisation, le cas échéant.
Le RGPD a ajouté une clause de responsabilité particulière qui est la responsabilité in solidum qui engage indifféremment le responsable de traitement ou son sous-traitant, laissant le choix au requérant d'attaquer l'organisation la plus à même de réparer financièrement le dommage.
1) Sanctions administratives
La CNIL dispose d'une capacité à sanctionner qui peut se définir suivant deux niveaux :
- Les amendes de niveau 1 (plafond égal à 2% du chiffre d'affaires ou 10 millions d'euros) sanctionnent des manquements à des obligations générales (irrespect des principes généraux du RGPD, sécurité insuffisante des données, absence de DPO ou d'analyse d'impact...)
- Les amendes de niveau 2 (plafond égal à 4% du chiffre d'affaires ou 20 millions d'euros) sanctionnent des manquements plus graves (incapacité des personnes concernées à exercer leurs droits, refus d'obtempérer à une injonction, ne pas accorder l'accès à un traitement...)
2) Sanctions pénales
Il est également possible de porter l'affaire au pénal. La tableau ci-dessous illustre sans exhaustivité quelques cas :
תגובות