Vous êtes avocat ? 👋 Pour rejoindre notre réseau, c'est par ici !
  1. Gestion
  2. Politique de confidentialité - RGPD
  3. RGPD : quelle est la procédure de sanction ?

RGPD : quelle est la procédure de sanction ?

Consulter Me Benhammou
Consulter Me Benhammou

Le règlement général de protection des données (RGPD) est un texte européen qui encadre le traitement des données personnelles sur le territoire de l’Union Européenne. 

Les objectifs du RGPD sont pluriels : renforcer les droits des personnes, responsabiliser les acteurs traitant des données, et renforcer la coopération entre les autorités nationales de protection des données. Une protection bienvenue, à l’heure où le numérique règne en maître. 

Mais que se passe-t-il en cas de non-respect du RGPD ? Quelles sont les sanctions susceptibles d’être prononcées à l’égard des responsables de traitement qui ne respecteraient pas ses dispositions ? Existe-t-il des voies de recours ? 

Me Sarah Benhammou, avocate spécialisée en droit du numérique et des sociétés, répond dans cet article aux questions que vous vous posez.

 

 

Quelle est la procédure de contrôle de la CNIL relative au RGPD ?

 

La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante, chargée de la protection des données personnelles en France. Elle dispose du pouvoir de réaliser des contrôles auprès des organismes disposant d’un établissement en France, ou concernant des personnes résidant en France, qui traitent des données à caractère personnel. Ces organismes peuvent être des entreprises privées, des associations ou encore des organismes publics. S’il est avéré qu’ils ne respectent pas les dispositions du RGPD, la CNIL est fondée à prononcer des sanctions à leur égard. Les contrôles de la CNIL peuvent se dérouler sur place, sur audition, en ligne ou sur pièces. Ils peuvent avoir des origines différentes : 

  • Les réclamations et les signalements : la CNIL peut mener des contrôles suite à la réception de réclamations (plaintes) ou de signalements portant à sa connaissance des faits non conformes aux dispositions relatives à la protection des données personnelles. Ces contrôles visent à vérifier les allégations portées et à s’assurer du respect des dispositions du RGPD. 
  • Les initiatives : des investigations peuvent être menées par la CNIL suite à l’identification par celle-ci de thématiques susceptibles de soulever des enjeux de protection des données personnelles. 
  • Les dispositifs de vidéoprotection : chaque année, la CNIL réserve une partie de son activité de contrôle à la vérification des dispositifs de surveillance qui filment des lieux ouverts au public (musées, centres commerciaux, etc). 
  • Les procédures de contrôle clôturées : des investigations supplémentaires peuvent être menées à la suite d’une procédure de contrôle clôturée, d’une mise en demeure ou d’une sanction, ceci afin de vérifier que les mesures de mise en conformité préconisées par la CNIL ont bien été adoptées par les organismes concernés. 

 

Quelles sont les étapes de la procédure de sanction par la CNIL ?

 

A l’occasion d’un contrôle, la délégation de la CNIL a vocation à relever toute information technique et juridique nécessaire pour apprécier les conditions dans lesquelles les traitements de données sont mis en œuvre. Elle peut ainsi demander à l’organisme contrôlé de lui communiquer tous documents nécessaires à l’exercice de sa mission. Elle peut également s’entretenir avec le personnel susceptible de disposer d’informations utiles (ex : le DPO s’il y en a un, un informaticien…). Ensuite, les contrôleurs peuvent demander la copie de certains contrats (ex : contrats de sous-traitance informatique), de formulaires, de bases de données, etc.

A la suite d’un contrôle révélant une violation du RGPD, la CNIL désigne un rapporteur et saisit la formation restreinte, composée de 5 membres et d’un Président. L’organisme mis en cause en est alors informé. 

 

Avant la séance restreinte

 

Un rapport est rédigé, dans lequel est proposée une des mesures prévues par la loi. Il est notifié à l’organisme, qui peut présenter des observations écrites. Le rapporteur de la CNIL a alors 15 jours pour répondre. Suite à cette réponse, l’organisme peut présenter de nouvelles observations. 

 

Lors de la séance 

 

Le rapporteur, puis l’organisme (qui a été convoqué au moins 1 mois avant la séance) présentent des observations orales, basées sur les écrits qu’ils ont produits. Ils répondent ensuite aux questions des membres de la formation restreinte. Le commissaire du gouvernement, qui est présent, peut également donner son avis. L’organisme prend la parole en dernier. 

A l’issue de la séance, après délibération à huis clos des membres de la formation restreinte, la décision est notifiée à l’organisme mis en cause. Si sanction il y a, celle-ci peut être non-pécuniaire ou pécuniaire, en fonction de la gravité des faits constatés. 

Les sanctions non-pécuniaires peuvent être constituées : 

  • d’un rappel à l’ordre ; 
  • d’une injonction de se mettre en conformité avec le RGPD, pouvant être assortie d’une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard ;
  • du retrait d'une certification ;
  • de la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale. 

 

Les sanctions pécuniaires sont constituées : 

  • D’une amende administrative dont le montant ne peut excéder 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial de l’entreprise. Pour les manquements les plus graves, le montant de l’amende peut s'élever jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial. Cette sanction peut s’accompagner, dans les cas les plus graves, d’une dénonciation au Parquet. 

 

A noter : les sanctions prononcées par la CNIL peuvent être rendues publiques, notamment par la publication d’un communiqué sur legifrance.fr ou sur le site de la CNIL. 

 

Des exemples de sanction ayant été prononcées en 2020 

 

En France, Carrefour a été condamné à une amende de 3 millions d’euros pour avoir utilisé les données personnelles des clients souscrivant à la carte Pass de sa filiale bancaire, et imposé des traceurs de navigation (cookies) aux internautes, avant que ceux-ci aient pu donner leur consentement. 

Les magasins H&M ont été condamnés à 35 millions d’euros d’amende pour surveillance illégale de leurs employés, via la collecte de données personnelles relatives à leur vie privée et à leur état de santé. 

Enfin, la boutique de chaussures en ligne Spartoo a été condamnée à 250 000 euros d’amende pour collecte illégale de données. Elle avait notamment enregistré et conservé les coordonnées bancaires de certains clients sans leur consentement, et collecté illégalement la copie de la carte “santé” de ses clients italiens. 

 

Au-delà de la sanction : les issues possibles 

 

Une plainte reçue par la CNIL ou un contrôle effectué par celle-ci n’appellent pas nécessairement une sanction. En dehors des sanctions, plusieurs réponses peuvent ainsi y être apportées : 

  • La clôture de la procédure de contrôle, sans observations particulières ; 
  • La clôture de la procédure de contrôle, assortie d’observations et de recommandations ;
  • La mise en demeure de l’organisme d’adopter des mesures dans un délai imparti.  

 

La mise en demeure est une injonction du Président de la CNIL, adressée à un organisme ou à un sous-traitant, de cesser le ou les manquements constatés dans un délai particulier. Elle ne constitue pas une sanction. 

Le délai pour répondre à une mise en demeure varie ; il est fixé entre 10 jours et 6 mois, renouvelable une fois. En cas d'urgence et suivant la gravité des faits, il peut être réduit à 24 heures. 

 

Quelles sont les voies de recours ? 


À partir de la date de notification de la décision rendue par la CNIL, l'organisme mis en cause dispose d'un délai de deux mois pour former un recours devant le Conseil d'État. Ce délai est porté à 4 mois dans le cas d'un organisme situé à l'étranger. 

Il s’agit d’un recours en premier et dernier ressort, c’est-à-dire qu’il ne peut pas faire l’objet d’un appel. Par ailleurs, il convient de noter que la décision de la CNIL est exécutoire dès sa notification et que le recours formé devant le Conseil d’État n’a pas d’effet suspensif : le responsable de traitement doit donc se conformer à la décision (ou à la sanction) de la CNIL dans l’attente que son recours soit examiné. 

Enfin, l’organisme mis en cause peut déposer une requête en référé-suspension pour demander au juge des référés de suspendre l’exécution de la décision, ou certains de ses effets, dans l’attente d’un verdict du juge du fond. 

Attention : cette procédure doit être justifiée par l’urgence (par exemple, en raison de la publicité de la sanction prononcée), et un doute sérieux doit subsister quant à la légalité de la décision rendue. 

 

Les points à retenir 

 

  • La CNIL est l’autorité administrative indépendante en charge de la protection des données personnelles en France. Dans ce cadre, elle a la possibilité de réaliser des contrôles auprès des organismes traitant des données à caractère personnel.
  • Les contrôles de la CNIL peuvent être d’origines diverses (réclamation, signalement, initiative de la CNIL…). 
  • A la suite d’un contrôle, la CNIL peut clôturer la procédure si elle ne détecte aucun manquement au RGPD, mettre en demeure l’organisme ou saisir la formation restreinte qui a le pouvoir de prononcer des sanctions. Ces dernières peuvent être non-pécuniaires ou pécuniaires, selon le degré de gravité des manquements relevés. 
  • Toutes les sanctions prononcées par la CNIL peuvent être rendues publiques.
  • L'organisme mis en cause a la possibilité de former un recours devant le Conseil d’Etat. Il dispose pour cela d'un délai de deux mois à compter de la date de notification de la décision rendue par la CNIL. Il peut également déposer une requête en référé-suspension. 

 

Me Sarah Benhammou
Écrit par Me Sarah Benhammou
Droit du numérique
Droit commercial
Me Sarah Benhammou, avocate au Barreau de Paris, intervient aux côtés des jeunes entreprises, start-up, PME et associations dans toutes leurs démarches juridiques en droit des contrats et droit des sociétés. En tant que DPO, elle assiste également les entreprises dans leur mise en conformité avec la Loi Informatique et Liberté et le R.G.P.D. 
Vous avez encore des questions ? 🤔
Image des coach CaptainContrat
Posez-les gratuitement à l’un de nos coachs entrepreneuriaux.
Parler à un coach

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
Le rapport d'activité d'association : définition et fonctionnement

L’une des obligations du gérant d'association réside dans la tenue d’une assemblée générale annuelle, pendant laquelle le rapport d’activité de l’association est présenté.

5 min
Sous traitants et RGPD : comment être conforme ?

Le RGPD ne fait pas uniquement peser des obligations sur les responsables de traitement des données : il met aussi en place des obligations particulières pour les sous-traitants.

4 min
Changement du bureau de l'association : la procédure

Le changement de bureau d'une association implique le respect d'une certaine procédure : convocation des adhérent, réunion en assemblée générale et organisation de nouvelles élections. Me Benhammou vous accompagne

3 min
Bureau de l'association : composition, rôle et fonctionnement

Bureau d'association : Découvrez tout ce qu'il y a à savoir de la composition, des rôles et fonctionnement du bureau d'association.

4 min
DPO RGPD : quelles sont ses missions ?

Le DPO (Délégué à la protection des données personnelles, ou Data Protection Officer en anglais) joue un rôle clé dans le cadre du RGPD. Mais quelles sont ses missions ? Sa nomination est-elle obligatoire ? Qui peut être DPO ? Me Benhammou décrypte le sujet

5 min
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?

Vous collectez et traitez les données personnelles de citoyens européens ? Vous êtes donc soumis à l'obligation de conformer votre entreprise au RGPD. Quelles sont les étapes à mettre en place ? Me Benhammou vous accompagne tout au long de votre procédure.

5 min
Consentement RGPD : comment l'obtenir ?

Pour être conforme, le consentement RGPD répond à une multitude de critères de validité. Comment demander ce consentement, le recueillir, le stocker, le retirer le cas échéant ? Me Benhammou vous accompagne dans votre mise en conformité RGPD.

5 min
L'association d'intérêt général : définition et fonctionnement

Vous souhaitez créer votre association d'intérêt général ? Cela passe par la création au préalable d'une association loi 1901. D'autres conditions devront être remplies afin d'obtenir l'agrément d'intérêt général. Me Benhammou vous guide.

5 min
Comment créer une association humanitaire ?

Passionné d'humanitaire vous souhaitez créer votre association ? Mais quel est le rôle d'une association humanitaire ? Comment la créer ? Comment la financer ? Me Benhammou vous accompagne

5 min
L'association transparente : définition et fonctionnement

Les associations peuvent être utilisées par l'État, les collectivités. Qu'est-ce qu'une association transparente ? Comment est-elle caractérisée ? Quelles sont les conséquences de cette qualification ? Me Sarah Benhammou décrypte le sujet et vous accompagne dans la création de votre association et des partenariats que vous allez nouer.

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier