Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.
Les autorités de protection peuvent notamment :
- Prononcer un avertissement ;
- Mettre en demeure l’entreprise ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
- Ordonner la rectification, la limitation ou l’effacement des données.
S’agissant des nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification.
S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Ce montant doit être rapporté au fait que, pour les traitements transnationaux, la sanction sera conjointement adoptée entre l’ensemble des autorités concernées, donc potentiellement pour le territoire de toute l’Union européenne.
Dans ce cas, une seule et même décision de sanction décidée par plusieurs autorités de protection sera infligée à l’entreprise.