Votre avis nous intéresse ! Aidez-nous à améliorer votre expérience et bénéficiez de -10% sur votre prochaine commande en cliquant ici.
  1. Gestion
  2. Politique de confidentialité - RGPD
  3. RGPD : quelle est la procédure de sanction ?

RGPD : quelle est la procédure de sanction ?

Me Sarah Benhammou
Écrit par Me Sarah Benhammou Avocate au Barreau de Paris, spécialisée en droit des contrats et des sociétés et experte en mise en conformité avec la Loi Informatique et Liberté et le R.G.P.D. 
Droit du numérique
Droit commercial

Le règlement général de protection des données (RGPD) est un texte européen qui encadre le traitement des données personnelles sur le territoire de l’Union Européenne. 

Les objectifs du RGPD sont pluriels : renforcer les droits des personnes, responsabiliser les acteurs traitant des données, et renforcer la coopération entre les autorités nationales de protection des données. Une protection bienvenue, à l’heure où le numérique règne en maître. 

Mais que se passe-t-il en cas de non-respect du RGPD ? Quelles sont les sanctions susceptibles d’être prononcées à l’égard des responsables de traitement qui ne respecteraient pas ses dispositions ? Existe-t-il des voies de recours ? 

Me Sarah Benhammou, avocate spécialisée en droit du numérique et des sociétés, répond dans cet article aux questions que vous vous posez.

 

 

Quelle est la procédure de contrôle de la CNIL relative au RGPD ?

 

La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante, chargée de la protection des données personnelles en France. Elle dispose du pouvoir de réaliser des contrôles auprès des organismes disposant d’un établissement en France, ou concernant des personnes résidant en France, qui traitent des données à caractère personnel. Ces organismes peuvent être des entreprises privées, des associations ou encore des organismes publics. S’il est avéré qu’ils ne respectent pas les dispositions du RGPD, la CNIL est fondée à prononcer des sanctions à leur égard. Les contrôles de la CNIL peuvent se dérouler sur place, sur audition, en ligne ou sur pièces. Ils peuvent avoir des origines différentes : 

  • Les réclamations et les signalements : la CNIL peut mener des contrôles suite à la réception de réclamations (plaintes) ou de signalements portant à sa connaissance des faits non conformes aux dispositions relatives à la protection des données personnelles. Ces contrôles visent à vérifier les allégations portées et à s’assurer du respect des dispositions du RGPD. 
  • Les initiatives : des investigations peuvent être menées par la CNIL suite à l’identification par celle-ci de thématiques susceptibles de soulever des enjeux de protection des données personnelles. 
  • Les dispositifs de vidéoprotection : chaque année, la CNIL réserve une partie de son activité de contrôle à la vérification des dispositifs de surveillance qui filment des lieux ouverts au public (musées, centres commerciaux, etc). 
  • Les procédures de contrôle clôturées : des investigations supplémentaires peuvent être menées à la suite d’une procédure de contrôle clôturée, d’une mise en demeure ou d’une sanction, ceci afin de vérifier que les mesures de mise en conformité préconisées par la CNIL ont bien été adoptées par les organismes concernés. 

 

Quelles sont les étapes de la procédure de sanction par la CNIL ?

 

A l’occasion d’un contrôle, la délégation de la CNIL a vocation à relever toute information technique et juridique nécessaire pour apprécier les conditions dans lesquelles les traitements de données sont mis en œuvre. Elle peut ainsi demander à l’organisme contrôlé de lui communiquer tous documents nécessaires à l’exercice de sa mission. Elle peut également s’entretenir avec le personnel susceptible de disposer d’informations utiles (ex : le DPO s’il y en a un, un informaticien…). Ensuite, les contrôleurs peuvent demander la copie de certains contrats (ex : contrats de sous-traitance informatique), de formulaires, de bases de données, etc.

A la suite d’un contrôle révélant une violation du RGPD, la CNIL désigne un rapporteur et saisit la formation restreinte, composée de 5 membres et d’un Président. L’organisme mis en cause en est alors informé. 

 

Avant la séance restreinte

 

Un rapport est rédigé, dans lequel est proposée une des mesures prévues par la loi. Il est notifié à l’organisme, qui peut présenter des observations écrites. Le rapporteur de la CNIL a alors 15 jours pour répondre. Suite à cette réponse, l’organisme peut présenter de nouvelles observations. 

 

Lors de la séance 

 

Le rapporteur, puis l’organisme (qui a été convoqué au moins 1 mois avant la séance) présentent des observations orales, basées sur les écrits qu’ils ont produits. Ils répondent ensuite aux questions des membres de la formation restreinte. Le commissaire du gouvernement, qui est présent, peut également donner son avis. L’organisme prend la parole en dernier. 

A l’issue de la séance, après délibération à huis clos des membres de la formation restreinte, la décision est notifiée à l’organisme mis en cause. Si sanction il y a, celle-ci peut être non-pécuniaire ou pécuniaire, en fonction de la gravité des faits constatés. 

Les sanctions non-pécuniaires peuvent être constituées : 

  • d’un rappel à l’ordre ; 
  • d’une injonction de se mettre en conformité avec le RGPD, pouvant être assortie d’une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard ;
  • du retrait d'une certification ;
  • de la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale. 

 

Les sanctions pécuniaires sont constituées : 

  • D’une amende administrative dont le montant ne peut excéder 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial de l’entreprise. Pour les manquements les plus graves, le montant de l’amende peut s'élever jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial. Cette sanction peut s’accompagner, dans les cas les plus graves, d’une dénonciation au Parquet. 

 

A noter : les sanctions prononcées par la CNIL peuvent être rendues publiques, notamment par la publication d’un communiqué sur legifrance.fr ou sur le site de la CNIL. 

 

Des exemples de sanction ayant été prononcées en 2020 

 

En France, Carrefour a été condamné à une amende de 3 millions d’euros pour avoir utilisé les données personnelles des clients souscrivant à la carte Pass de sa filiale bancaire, et imposé des traceurs de navigation (cookies) aux internautes, avant que ceux-ci aient pu donner leur consentement. 

Les magasins H&M ont été condamnés à 35 millions d’euros d’amende pour surveillance illégale de leurs employés, via la collecte de données personnelles relatives à leur vie privée et à leur état de santé. 

Enfin, la boutique de chaussures en ligne Spartoo a été condamnée à 250 000 euros d’amende pour collecte illégale de données. Elle avait notamment enregistré et conservé les coordonnées bancaires de certains clients sans leur consentement, et collecté illégalement la copie de la carte “santé” de ses clients italiens. 

 

Au-delà de la sanction : les issues possibles 

 

Une plainte reçue par la CNIL ou un contrôle effectué par celle-ci n’appellent pas nécessairement une sanction. En dehors des sanctions, plusieurs réponses peuvent ainsi y être apportées : 

  • La clôture de la procédure de contrôle, sans observations particulières ; 
  • La clôture de la procédure de contrôle, assortie d’observations et de recommandations ;
  • La mise en demeure de l’organisme d’adopter des mesures dans un délai imparti.  

 

La mise en demeure est une injonction du Président de la CNIL, adressée à un organisme ou à un sous-traitant, de cesser le ou les manquements constatés dans un délai particulier. Elle ne constitue pas une sanction. 

Le délai pour répondre à une mise en demeure varie ; il est fixé entre 10 jours et 6 mois, renouvelable une fois. En cas d'urgence et suivant la gravité des faits, il peut être réduit à 24 heures. 

 

Quelles sont les voies de recours ? 


À partir de la date de notification de la décision rendue par la CNIL, l'organisme mis en cause dispose d'un délai de deux mois pour former un recours devant le Conseil d'État. Ce délai est porté à 4 mois dans le cas d'un organisme situé à l'étranger. 

Il s’agit d’un recours en premier et dernier ressort, c’est-à-dire qu’il ne peut pas faire l’objet d’un appel. Par ailleurs, il convient de noter que la décision de la CNIL est exécutoire dès sa notification et que le recours formé devant le Conseil d’État n’a pas d’effet suspensif : le responsable de traitement doit donc se conformer à la décision (ou à la sanction) de la CNIL dans l’attente que son recours soit examiné. 

Enfin, l’organisme mis en cause peut déposer une requête en référé-suspension pour demander au juge des référés de suspendre l’exécution de la décision, ou certains de ses effets, dans l’attente d’un verdict du juge du fond. 

Attention : cette procédure doit être justifiée par l’urgence (par exemple, en raison de la publicité de la sanction prononcée), et un doute sérieux doit subsister quant à la légalité de la décision rendue. 

 

Les points à retenir 

 

  • La CNIL est l’autorité administrative indépendante en charge de la protection des données personnelles en France. Dans ce cadre, elle a la possibilité de réaliser des contrôles auprès des organismes traitant des données à caractère personnel.
  • Les contrôles de la CNIL peuvent être d’origines diverses (réclamation, signalement, initiative de la CNIL…). 
  • A la suite d’un contrôle, la CNIL peut clôturer la procédure si elle ne détecte aucun manquement au RGPD, mettre en demeure l’organisme ou saisir la formation restreinte qui a le pouvoir de prononcer des sanctions. Ces dernières peuvent être non-pécuniaires ou pécuniaires, selon le degré de gravité des manquements relevés. 
  • Toutes les sanctions prononcées par la CNIL peuvent être rendues publiques.
  • L'organisme mis en cause a la possibilité de former un recours devant le Conseil d’Etat. Il dispose pour cela d'un délai de deux mois à compter de la date de notification de la décision rendue par la CNIL. Il peut également déposer une requête en référé-suspension. 

 

Besoin d'échanger avec un avocat ?
Consulter Me Benhammou

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Quelles sont les thématiques prioritaires de contrôle de la CNIL en 2022 sur les sites internets ?
5 min
Quelles sont les thématiques prioritaires de contrôle de la CNIL en 2022 sur les sites internets ?

L'utilisation des sites internet et l'échange de données personnelles ne cessent de croitre. Dans ce contexte les dérives se font plus nombreuses. La CNIL a dévoilé les thématiques prioritaires sur lesquelles ses contrôles porteront en 2022 sur les site internet. Me Znaty fait le point pour vous.

Violation de données personnelles en entreprise : comment réagir ?
5 min
Violation de données personnelles en entreprise : comment réagir ?

Votre entreprise fait face à une violation de données personnelles ? Une faille ? Comment faire ? Me Benjamin Znaty vous livre les étapes à respecter pour identifier, corriger et notifier ces failles.

La sensibilisation de l'entreprise au RGPD : une étape obligatoire
5 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire

La majorité des entreprises sont concernées par les obligations du RGPD depuis 2018. Cette mise en conformité ne s'improvise pas : process internes, collaborateurs, équipes techniques... Me Sarah Benhammou vous accompagne pour votre conformité

Qu’est-ce qu’une charte/politique de confidentialité ?
5 min
Qu’est-ce qu’une charte/politique de confidentialité ?

Une politique de confidentialité expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs.

Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
5 min
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?

Vous collectez et traitez les données personnelles de citoyens européens ? Vous êtes donc soumis à l'obligation de conformer votre entreprise au RGPD. Quelles sont les étapes à mettre en place ? Me Benhammou vous accompagne tout au long de votre procédure.

Comment conformer ses mentions légales au RGPD
5 min
Comment conformer ses mentions légales au RGPD

Captain Contrat fait le point avec vous sur les étapes à effectuer pour conformer ses mentions légales au RGPD.

Les limites de la protection des données personnelles du salarié
4 min
Les limites de la protection des données personnelles du salarié

Quelles sont les limites à la protection des données personnelles du salarié ? Sous quelle conditions l'employeur peut-il collecter ces informations ?

Accountability RGPD : définition et fonctionnement
5 min
Accountability RGPD : définition et fonctionnement

L'accountability implique deux missions pour le responsable de traitement : la mise en conformité avec le RGPD et sa capacité à justifier cette conformité auprès des autorités.

Comment trouver un avocat en RGPD à Paris ?
3 min
Comment trouver un avocat en RGPD à Paris ?

Vous êtes à Paris et souhaitez vous mettre à jour sur les sujets RGPD ? Faites appel à un avocat spécialiste du RGPD ! Celui-ci vous accompagne à tous les stades du processus de mise en conformité.

CGV conformes au RGPD : quelles sont les modifications à apporter ?
4 min
CGV conformes au RGPD : quelles sont les modifications à apporter ?

Vous êtes concernés par le RGPD mais n'avez pas encore pris les mesures pour vous mettre en conformité ? La première étape consiste à mettre à jour vos CGV. Le point dans cet article

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier