Retour au thème "RGPD"
L'essentiel Le droit en tableau Les points de vigilance

Sur la base du procès-verbal dressé par les agents de contrôle (voir question dédiée), la Cnil décide des suites qu'elle donne au contrôle :

  • en l'absence de manquements constatés, la procédure est clôturée par un courrier du Président de la Cnil
  • si des manquements sont constatés, mais sont peu significatifs, le Président de la Cnil ajoute à son courrier de clôture des observations en vue d'une régularisation par la personne contrôlée
  • en cas de manquements plus significatifs, la Cnil peut décider d'engager une procédure de mise en demeure, consistant à donner un délai au contrevenant, pour régulariser les manquements constatés (voir question dédiée). Cette mise en demeure peut être rendue publique
  • le cas échéant, la Cnil peut également décider de transmettre le dossier à la formation restreinte de la Cnil, qui a compétence pour prononcer des sanctions (voir question dédiée).

La Cnil a également la possibilité, en dehors de tout contrôle, de prononcer un avertissement, à titre préventif, lorsque des opérations de traitement de données qu'un employeur envisage de mettre en place sont susceptibles de violer le RGPD.

Qu'est-ce qu'un avertissement de la Cnil ?

La Cnil a la possibilité, sans engager de procédure de mise en demeure ou de procédure de sanction, d'agir à titre préventif en notifiant un avertissement, lorsque les investigations de la commission permettent d'identifier que les opérations de traitement de données qu'un employeur envisage de mettre en place sont susceptibles de violer les règles issues du RGPD . Il ne s'agit pas d'une sanction.

Comment se déroule la mise en demeure de la Cnil ?

La procédure de mise en demeure de la Cnil a pour but d'obtenir une mise en conformité de l'entreprise . La Cnil fixe un délai dans lequel la mise en conformité doit intervenir, il peut s'agir :

  • à la suite d'un contrôle, de mettre les opérations de traitement en conformité avec les dispositions applicables
  • ou, à la demande des personnes concernées par un traitement, de satisfaire à une demande d'exercice des droits applicables en matière de protection des données
  • ou, de rectifier, d'effacer des données à caractère personnel ou de limiter le traitement de ces données
  • ou encore de communiquer à la personne concernée une violation de données à caractère personnel.

Le délai pour se mettre en conformité est :

  • en principe, fixé entre dix jours et six mois
  • en cas d'extrême urgence, de 24 heures
  • court à compter de la réception de la mise en demeure par l'employeur.

Dès lors que la mise en conformité intervient dans le délai fixé, la Cnil prononce la clôture de la procédure de mise en demeure. En l'absence de mise en conformité, la Cnil peut décider d'initier une procédure de sanction (voir question dédiée), sans qu'il soit nécessaire de procéder à un nouveau contrôle

Attention
La Cnil peut rendre publiques les mises en demeure qu'elle prononce. Si c'est le cas, la clôture de la procédure de mise en demeure est également rendue publique.
Exemple
Pour des exemples de mises en demeure prononcées par la Cnil en 2019, voir le tableau Exemples de mises en demeure de la Cnil 

Quelles sanctions la Cnil peut-elle prononcer ?

La Cnil peut prononcer les sanctions suivantes :

  • un rappel à l'ordre
  • une injonction de mettre en conformité le traitement avec les obligations résultant du RGPD, ou de satisfaire aux demandes individuelles d'exercice des droits issus du RGPD. Cette injonction peut être assortie d'une astreinte dont le montant ne peut pas dépasser 100 000 € par jour de retard. Le responsable du traitement doit alors justifier des éléments attestant qu'il s'est conformé à l'injonction. Sinon, l'astreinte est liquidée et son montant définitif est fixé
  • la limitation temporaire ou définitive du traitement, son interdiction, ou le retrait d'une autorisation de traitement accordée
  • un retrait de certification, ou une injonction faite à un organisme certificateur de refuser ou de retirer une certification
  • une suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale
  • une suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes
  • une amende administrative dont le montant maximum est de 10 millions d'euros ou, pour les entreprises, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le plafond le plus élevé étant retenu. Ces plafonds peuvent être portés à 20 millions d'euros et 4 % du chiffre d'affaires notamment en cas de violation des principes de base d'un traitement, des droits dont bénéficient les personnes dont les données sont collectées, ou de non-respect d'une injonction.

Le montant de l'amende administrative est fixé en fonction de la nature, de la gravité et de la durée des manquements, ainsi que du comportement du responsable du traitement : ainsi, la célérité d'un responsable de traitement pour apporter des mesures correctrices aux manquements constatés peut permettre d'obtenir une réduction du montant de l'amende

Remarque
Le prononcé d'une sanction par la Cnil n'exclut pas, en cas d'infraction, que le juge pénal se prononce sur les mêmes faits ou sur des faits connexes. Le juge pénal peut ordonner que l'amende administrative s'impute sur le montant de l'amende pénale qu'il prononce .

Ces sanctions peuvent s'accompagner de la décision :

  • de rendre publique les mesures de sanction qu'elle prend. Elle doit dans ce cas préciser la durée du maintien en ligne de cette publication non anonymisée, de 2 ans maximum
  • d'ordonner une insertion de ces mesures dans des publications, journaux et autres supports, aux frais des personnes sanctionnées
  • d'ordonner à l'employeur d'informer individuellement et à ses frais, toutes les personnes concernées par la violation des règles de protection des données personnelles et de la mesure de sanction prononcée .
Exemple
Tableau Exemples de sanctions prononcées par la Cnil en 2019

Comment se déroule la procédure de sanction ?

Si la Cnil envisage une sanction, une procédure contradictoire L'employeur peut connaître les griefs qui lui sont faits et y répondre est engagée  et à  :

1. La Cnil établit un rapport : pour ce faire, elle peut auditionner toute personne qui lui semble utile. Si l'employeur est auditionné, il peut se faire assister d'un avocat. L'audition donnera lieu à la rédaction d'un procès-verbal.

  • L'employeur peut y répondre dans un délai d'un mois. Une fois fini, le rapport est notifié à l'employeur qui a la possibilité d'y répondre en déposant des observations dans un délai d'un mois. Dans ce cadre, il peut se faire représenter ou assister par un avocat. Il a la possibilité de prendre connaissance et d'avoir une copie des pièces du dossier
  • Le rapporteur de la Cnil dispose de 15 jours pour répondre aux observations de l'employeur
  • L'employeur dispose alors à son tour de 15 jours pour répondre au rapporteur
  • Les délais d'un mois et de 15 jours peuvent être prolongés à la demande du rapporteur ou de l'employeur, lorsque les circonstances ou la complexité du dossier le justifient
  • Lorsque les observations transmises par l'employeur amène l'employeur à modifier son rapport, les délais d'un mois et deux fois 15 jours courent à nouveau, pour que chacun puisse contradictoirement présenter de nouvelles observations.

2. Une séance de la Cnil se tient : après clôture de l'instruction, le dossier est appelé à une séance de la Cnil Il s'agit de la formation restreinte de la Cnil .

  • L'employeur reçoit une convocation au moins un mois avant la date fixée
  • Le rapporteur a la possibilité de présenter des observations orales devant la formation restreinte. L'employeur peut également demander à être entendu, assisté de son avocat. La Cnil peut, en outre, demander à entendre toute personne dont elle estime l'audition utile
  • Après que le commissaire du Gouvernement a donné son avis sur l'affaire, l'employeur ou son conseil reprend la parole en dernier.

3. La décision est notifiée : la décision de sanction prise par la Cnil doit être motivée et énoncer les considérations de droit et de fait sur lesquelles elle est fondée. Elle est notifiée à l'employeur en précisant les voies et délais de recours.

Attention
Si la Cnil décide de publier la décision, elle peut le faire dès la notification de la sanction, sans qu'un recours puisse avoir d'effet suspensif sur cette publication.
Exemple
tableau Exemples de sanctions prononcées par la Cnil en 2019

Comment la Cnil agit-elle face à l'urgence ?

La Cnil peut mettre en œuvre une procédure d'urgence en cas d'atteinte à l'identité humaine, aux droits de l'homme, à la vie privée et aux libertés individuelles ou publiques .

La procédure est la même que celle préalable à une sanction (voir question dédiée), sauf que l'employeur ne dispose pas d'un mois mais de 8 jours pour transmettre ses observations suite au rapport de la Cnil. Il est convoqué au plus tard 8 jours avant la séance devant la Cnil.

À l'issue de cette procédure, la Cnil peut prononcer une :

  • interruption provisoire de la mise en œuvre du traitement, pour une durée maximale de trois mois
  • limitation du traitement de certaines données personnelles traitées, pour une durée maximale de trois mois
  • suspension provisoire de la certification délivrée au responsable de traitement
  • suspension provisoire de l'agrément délivré à un organisme de certification, ou à un organisme chargé du respect d'un code de conduite
  • suspension d'une autorisation de mise en œuvre d'un traitement
  • injonction de mise en conformité du traitement, pouvant être assortie d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard
  • rappel à l'ordre.
Attention
Comme pour une sanction « classique », la Cnil peut également décider :
  • de rendre publique les mesures de sanction qu'elle prend
  • d'ordonner une insertion de ces mesures dans des publications, journaux et autres supports, aux frais des personnes sanctionnées
  • d'ordonner à l'employeur d'informer individuellement et à ses frais, toutes les personnes concernées par la violation des règles de protection des données personnelles et de la mesure de sanction prononcée .
  • Comment fonctionnent les injonctions assorties d'astreintes ?

    La Cnil peut, lorsqu'elle prononce une injonction, assortir celle-ci d'une astreinte .

    Lorsque tel est le cas, un délai est fixé à l'employeur pour transmettre à la formation restreinte les éléments attestant qu'il s'est conformé à l'injonction qui a été prononcée.

    S'il ne justifie pas de ces éléments ou le fait tardivement, la formation restreinte peut procéder à la liquidation de l'astreinte :

    • pour fixer le montant de l'astreinte, elle tient compte des éléments qui lui ont été, ou non, transmis, du comportement de l'employeur et des difficultés qu'il a éventuellement rencontrées, ce qui permet de prendre en considération toute cause étrangère aux capacités de mise en conformité qui pourrait expliquer une inexécution ou un retard d'exécution
    • avant de liquider l'astreinte, la Cnil transmet à l'employeur les motifs de la liquidation envisagée et son montant. Celui-ci dispose de 15 jours pour transmettre ses observations écrites.

    Quelles sont les voies de recours contre les décisions de la Cnil ?

    La décision rendue par la Cnil peut faire l'objet d'un recours devant le Conseil d'État dans un délai de deux mois à compter de la notification ou de la publication de la décision .

    Astuce
    Le recours devant le Conseil d'Etat n'étant pas suspensif, il peut s'avérer nécessaire d'envisager un référé-suspension devant le juge administratif, en parallèle du recours au fond . Il faut pour cela justifier d'une situation d'urgence, ainsi que d'un moyen propre à créer un doute sérieux quant à la légalité de la décision attaquée.
    Pour afficher ce contenu :
    créez votre compte gratuitement !

    Exemples de mises en demeure publiées par la Cnil en 2019

    Date

    Motif de la mise en demeure

    08/10/2018

    Absence de consentement au traitement de données de géolocalisation à des fins

    de ciblage publicitaire (procédure close en février 2019 suite à mise en conformité)

     

    04/12/2019

    Garantie de la sécurité et de la durée de conservation des données personnelles

    collectées par les radars-tronçons

     

    05/11/2019

    Vidéosurveillance excessive des salariés (procédure close en avril 2020 suite à mise

    en conformité)

     

    18/12/2019

    Non-conformité du dispositif de vidéosurveillance

     

    11/02/2020

    Non-respect de certaines conditions de recueil du consentement concernant les données

    des compteurs communicants, et durée de conservation excessive des données

     

    Exemples de sanctions prononcées par la Cnil en 2019

    Date

    Nom ou type d'organisme

    Manquements principaux/Thèmes

    Décision adoptée

    21/01/2019

    Moteur de recherche

     

    Manque de transparence, information insatisfaisante et absence de consentement

    valable

    Sanction pécuniaire de

    50 000 000 €

    31/01/2019

    Moteur de recherche

    Déréférencement

     

    Abandon des poursuites

    31/01/2019

    Société de gestion immobilière

    Sécurité et durées de conservation des

    données personnelles

    Abandon des poursuites

     

    31/01/2019

    Établissement public national à

    caractère administratif

     

    Défaut de sécurité des données personnelles

     

    Injonctions sous astreintes

     

    28/05/2019

    Société de gestion immobilière

     

    Défaut de sécurité des données personnelles

    et non-respect des durées de

    conservation

     

    Sanction pécuniaire

    de 400 000 €

     

    13/06/2019

    Société de traduction de documents

     

    Données non adéquates et excessives,

    non-pertinence, information insatisfaisante,

    défaut de sécurité des données personnelles. Vidéosurveillance

     

     

    Sanction pécuniaire de

    20 000 € et injonction

    sous astreinte

     

    18/07/2019

    Société intermédiaire en assurance

     

    Défaut de sécurité des données personnelles

    Sanction pécuniaire de

    180 000 €

     

    10/10/2019

    Société de photographies liées à

    la petite enfance

    Non-respect du droit d'accès, non-respect

    du droit à l'effacement, défaut de sécurité

    et de confidentialité des données

     

    Sanction pécuniaire et

    injonction sous astreinte

     

    21/11/2019

    Société d'installation d'équipements

    d'isolation

     

    Non-adéquation, non-pertinence et caractère

    excessif des données, défaut d'information

    des personnes, non-respect du

    droit d'opposition, non-coopération avec

    l'autorité de contrôle, transfert non encadré

    de données hors de l'UE

     

    Sanction pécuniaire de

    500 000 € et injonction

    sous astreinte

     

    30/12/2019

    Société d'aide à domicile des

    personnes âgées et handicapées

     

    Manquement au principe de limitation de la

    durée de conservation, défaut d'information

    des personnes, manquement à l'obligation

    d'assurer la sécurité des données traitées

    par un sous-traitant

     

    Sanction pécuniaire et

    injonction sous astreinte

     

    Pour afficher ce contenu :
    créez votre compte gratuitement !
    Attention

    La Cnil peut rendre publiques les mises en demeure qu'elle prononce. Si c'est le cas, la clôture de la procédure de mise en demeure est également rendue publique.

    Comme pour une sanction « classique », la Cnil peut également décider :

  • de rendre publique les mesures de sanction qu'elle prend
  • d'ordonner une insertion de ces mesures dans des publications, journaux et autres supports, aux frais des personnes sanctionnées
  • d'ordonner à l'employeur d'informer individuellement et à ses frais, toutes les personnes concernées par la violation des règles de protection des données personnelles et de la mesure de sanction prononcée .
  • Si la Cnil décide de publier la décision, elle peut le faire dès la notification de la sanction, sans qu'un recours puisse avoir d'effet suspensif sur cette publication.

    Astuce

    Le recours devant le Conseil d'Etat n'étant pas suspensif, il peut s'avérer nécessaire d'envisager un référé-suspension devant le juge administratif, en parallèle du recours au fond . Il faut pour cela justifier d'une situation d'urgence, ainsi que d'un moyen propre à créer un doute sérieux quant à la légalité de la décision attaquée.

    Retour au thème "RGPD"