Ravis de vous revoir ! Votre démarche a été enregistrée 🚀 Reprendre ma démarche
  1. Ressources
  2. Gestion
  3. Politique de confidentialité - RGPD
  4. RGPD : quelle est la procédure de sanction ?

RGPD : quelle est la procédure de sanction ?

Me Sarah Benhammou
Me Sarah Benhammou Avocate, spécialisée en RGPD et droit des contrats Relu par Clémence Bonnet, Diplômée de l'École des Avocats

Le règlement général de protection des données (RGPD) est un texte européen qui encadre le traitement des données personnelles sur le territoire de l’Union Européenne. 

Les objectifs du RGPD sont pluriels : renforcer les droits des personnes, responsabiliser les acteurs traitant des données, et renforcer la coopération entre les autorités nationales de protection des données. Une protection bienvenue, à l’heure où le numérique règne en maître. 

Mais que se passe-t-il en cas de non-respect du RGPD ? Quelles sont les sanctions susceptibles d’être prononcées à l’égard des responsables de traitement qui ne respecteraient pas ses dispositions ? Existe-t-il des voies de recours ? 

Me Sarah Benhammou, avocate spécialisée en droit du numérique et des sociétés, répond dans cet article aux questions que vous vous posez.

 

 

Quelle est la procédure de contrôle de la CNIL relative au RGPD ?

 

La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante, chargée de la protection des données personnelles en France. Elle dispose du pouvoir de réaliser des contrôles auprès des organismes disposant d’un établissement en France, ou concernant des personnes résidant en France, qui traitent des données à caractère personnel. Ces organismes peuvent être des entreprises privées, des associations ou encore des organismes publics. S’il est avéré qu’ils ne respectent pas les dispositions du RGPD, la CNIL est fondée à prononcer des sanctions à leur égard. Les contrôles de la CNIL peuvent se dérouler sur place, sur audition, en ligne ou sur pièces. Ils peuvent avoir des origines différentes : 

  • Les réclamations et les signalements : la CNIL peut mener des contrôles suite à la réception de réclamations (plaintes) ou de signalements portant à sa connaissance des faits non conformes aux dispositions relatives à la protection des données personnelles. Ces contrôles visent à vérifier les allégations portées et à s’assurer du respect des dispositions du RGPD. 
  • Les initiatives : des investigations peuvent être menées par la CNIL suite à l’identification par celle-ci de thématiques susceptibles de soulever des enjeux de protection des données personnelles. 
  • Les dispositifs de vidéoprotection : chaque année, la CNIL réserve une partie de son activité de contrôle à la vérification des dispositifs de surveillance qui filment des lieux ouverts au public (musées, centres commerciaux, etc). 
  • Les procédures de contrôle clôturées : des investigations supplémentaires peuvent être menées à la suite d’une procédure de contrôle clôturée, d’une mise en demeure ou d’une sanction, ceci afin de vérifier que les mesures de mise en conformité préconisées par la CNIL ont bien été adoptées par les organismes concernés. 

 

Quelles sont les étapes de la procédure de sanction par la CNIL ?

 

A l’occasion d’un contrôle, la délégation de la CNIL a vocation à relever toute information technique et juridique nécessaire pour apprécier les conditions dans lesquelles les traitements de données sont mis en œuvre. Elle peut ainsi demander à l’organisme contrôlé de lui communiquer tous documents nécessaires à l’exercice de sa mission. Elle peut également s’entretenir avec le personnel susceptible de disposer d’informations utiles (ex : le DPO s’il y en a un, un informaticien…). Ensuite, les contrôleurs peuvent demander la copie de certains contrats (ex : contrats de sous-traitance informatique), de formulaires, de bases de données, etc.

A la suite d’un contrôle révélant une violation du RGPD, la CNIL désigne un rapporteur et saisit la formation restreinte, composée de 5 membres et d’un Président. L’organisme mis en cause en est alors informé. 

 

Avant la séance restreinte

 

Un rapport est rédigé, dans lequel est proposée une des mesures prévues par la loi. Il est notifié à l’organisme, qui peut présenter des observations écrites. Le rapporteur de la CNIL a alors 15 jours pour répondre. Suite à cette réponse, l’organisme peut présenter de nouvelles observations. 

 

Lors de la séance 

 

Le rapporteur, puis l’organisme (qui a été convoqué au moins 1 mois avant la séance) présentent des observations orales, basées sur les écrits qu’ils ont produits. Ils répondent ensuite aux questions des membres de la formation restreinte. Le commissaire du gouvernement, qui est présent, peut également donner son avis. L’organisme prend la parole en dernier. 

A l’issue de la séance, après délibération à huis clos des membres de la formation restreinte, la décision est notifiée à l’organisme mis en cause. Si sanction il y a, celle-ci peut être non-pécuniaire ou pécuniaire, en fonction de la gravité des faits constatés. 

Les sanctions non-pécuniaires peuvent être constituées : 

  • d’un rappel à l’ordre ; 
  • d’une injonction de se mettre en conformité avec le RGPD, pouvant être assortie d’une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard ;
  • du retrait d'une certification ;
  • de la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale. 

 

Les sanctions pécuniaires sont constituées : 

  • D’une amende administrative dont le montant ne peut excéder 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial de l’entreprise. Pour les manquements les plus graves, le montant de l’amende peut s'élever jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial. Cette sanction peut s’accompagner, dans les cas les plus graves, d’une dénonciation au Parquet. 

 

A noter : les sanctions prononcées par la CNIL peuvent être rendues publiques, notamment par la publication d’un communiqué sur legifrance.fr ou sur le site de la CNIL. 

 

Des exemples de sanction ayant été prononcées en 2020 

 

En France, Carrefour a été condamné à une amende de 3 millions d’euros pour avoir utilisé les données personnelles des clients souscrivant à la carte Pass de sa filiale bancaire, et imposé des traceurs de navigation (cookies) aux internautes, avant que ceux-ci aient pu donner leur consentement. 

Les magasins H&M ont été condamnés à 35 millions d’euros d’amende pour surveillance illégale de leurs employés, via la collecte de données personnelles relatives à leur vie privée et à leur état de santé. 

Enfin, la boutique de chaussures en ligne Spartoo a été condamnée à 250 000 euros d’amende pour collecte illégale de données. Elle avait notamment enregistré et conservé les coordonnées bancaires de certains clients sans leur consentement, et collecté illégalement la copie de la carte “santé” de ses clients italiens. 

 

Au-delà de la sanction : les issues possibles 

 

Une plainte reçue par la CNIL ou un contrôle effectué par celle-ci n’appellent pas nécessairement une sanction. En dehors des sanctions, plusieurs réponses peuvent ainsi y être apportées : 

  • La clôture de la procédure de contrôle, sans observations particulières ; 
  • La clôture de la procédure de contrôle, assortie d’observations et de recommandations ;
  • La mise en demeure de l’organisme d’adopter des mesures dans un délai imparti.  

 

La mise en demeure est une injonction du Président de la CNIL, adressée à un organisme ou à un sous-traitant, de cesser le ou les manquements constatés dans un délai particulier. Elle ne constitue pas une sanction. 

Le délai pour répondre à une mise en demeure varie ; il est fixé entre 10 jours et 6 mois, renouvelable une fois. En cas d'urgence et suivant la gravité des faits, il peut être réduit à 24 heures. 

 

Quelles sont les voies de recours ? 


À partir de la date de notification de la décision rendue par la CNIL, l'organisme mis en cause dispose d'un délai de deux mois pour former un recours devant le Conseil d'État. Ce délai est porté à 4 mois dans le cas d'un organisme situé à l'étranger. 

Il s’agit d’un recours en premier et dernier ressort, c’est-à-dire qu’il ne peut pas faire l’objet d’un appel. Par ailleurs, il convient de noter que la décision de la CNIL est exécutoire dès sa notification et que le recours formé devant le Conseil d’État n’a pas d’effet suspensif : le responsable de traitement doit donc se conformer à la décision (ou à la sanction) de la CNIL dans l’attente que son recours soit examiné. 

Enfin, l’organisme mis en cause peut déposer une requête en référé-suspension pour demander au juge des référés de suspendre l’exécution de la décision, ou certains de ses effets, dans l’attente d’un verdict du juge du fond. 

Attention : cette procédure doit être justifiée par l’urgence (par exemple, en raison de la publicité de la sanction prononcée), et un doute sérieux doit subsister quant à la légalité de la décision rendue. 

 

Les points à retenir 

 

  • La CNIL est l’autorité administrative indépendante en charge de la protection des données personnelles en France. Dans ce cadre, elle a la possibilité de réaliser des contrôles auprès des organismes traitant des données à caractère personnel.
  • Les contrôles de la CNIL peuvent être d’origines diverses (réclamation, signalement, initiative de la CNIL…). 
  • A la suite d’un contrôle, la CNIL peut clôturer la procédure si elle ne détecte aucun manquement au RGPD, mettre en demeure l’organisme ou saisir la formation restreinte qui a le pouvoir de prononcer des sanctions. Ces dernières peuvent être non-pécuniaires ou pécuniaires, selon le degré de gravité des manquements relevés. 
  • Toutes les sanctions prononcées par la CNIL peuvent être rendues publiques.
  • L'organisme mis en cause a la possibilité de former un recours devant le Conseil d’Etat. Il dispose pour cela d'un délai de deux mois à compter de la date de notification de la décision rendue par la CNIL. Il peut également déposer une requête en référé-suspension. 

 

Une question ? Laissez votre commentaire

Vos coordonnées sont obligatoires afin que l’on puisse vous répondre

Besoin d'échanger avec un avocat ?
Consulter Me Benhammou
Me Sarah Benhammou

Avocate au Barreau de Paris, spécialisée en RGPD et droit des contrats, Me Sarah Benhammou intervient aux côtés des jeunes entreprises, start-up, PME et associations dans toutes leurs démarches juridiques. En tant que DPO, elle assiste les entreprises dans leur mise en conformité avec la Loi Informatique et Liberté ainsi que le RGPD : audit, mise en conformité, tenue du registre de traitement, mise en conformité de site internet.

Relu par Clémence Bonnet

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Quelles sont les thématiques prioritaires de contrôle de la CNIL en 2022 sur les sites internets ?
5 min
Quelles sont les thématiques prioritaires de contrôle de la CNIL en 2022 sur les sites internets ?
Les limites de la protection des données personnelles du salarié
4 min
Les limites de la protection des données personnelles du salarié
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
7 min
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
Startup et RGPD : les 5 questions les plus posées
8 min
Startup et RGPD : les 5 questions les plus posées
Violation de données personnelles en entreprise : comment réagir ?
9 min
Violation de données personnelles en entreprise : comment réagir ?
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
6 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
Déclarations CNIL : quel est l'impact du nouveau règlement ?
2 min
Déclarations CNIL : quel est l'impact du nouveau règlement ?
Formation de DPO : vraiment utile pour être conforme au RGPD ?
2 min
Formation de DPO : vraiment utile pour être conforme au RGPD ?
Guide de la gestion d'entreprise : pilotez votre succès de A à Z
5 min
Guide de la gestion d'entreprise : pilotez votre succès de A à Z
CGV conformes au RGPD : quelles sont les modifications à apporter ?
4 min
CGV conformes au RGPD : quelles sont les modifications à apporter ?