RGPD
Mise à jour : 04 mai 2022Sur la base du procès-verbal dressé par les agents de contrôle (voir question dédiée), la Cnil décide des suites qu'elle donne au contrôle :
- en l'absence de manquement constaté, la procédure est clôturée par un courrier du Président de la Cnil
- si des manquements sont constatés, mais sont peu significatifs, le Président de la Cnil ajoute à son courrier de clôture des observations en vue d'une régularisation par la personne contrôlée
- en cas de manquements plus significatifs, la Cnil peut décider d'engager une procédure de mise en demeure, consistant à donner un délai au contrevenant pour régulariser les manquements constatés (voir question dédiée). Cette mise en demeure peut être rendue publique
- le cas échéant, la Cnil peut également décider de transmettre le dossier à la formation restreinte de la Cnil, qui a compétence pour prononcer des sanctions (voir question dédiée).
La Cnil a également la possibilité, en dehors de tout contrôle, de prononcer un avertissement, à titre préventif, lorsque des opérations de traitement de données qu'un employeur envisage de mettre en place sont susceptibles de violer le RGPD.
Qu'est-ce qu'un avertissement de la Cnil ?
La Cnil a la possibilité, sans engager de procédure de mise en demeure ou de procédure de sanction, d'agir à titre préventif en notifiant un avertissement, lorsque ses investigations permettent d'identifier que les opérations de traitement de données qu'un employeur envisage de mettre en place sont susceptibles de violer les règles issues du RGPD L. nº 78-17, 6 janv. 1978, art. 20. Il ne s'agit pas d'une sanction.
Comment se déroule la mise en demeure de la Cnil ?
La procédure de mise en demeure de la Cnil a pour but d'obtenir une mise en conformité de l'entreprise L. nº 78-17, 6 janv. 1978, art. 20D. nº 2019-536, 29 mai 2019, art. 38. La Cnil fixe un délai dans lequel la mise en conformité doit intervenir. Il peut s'agir :
- à la suite d'un contrôle, de mettre les opérations de traitement en conformité avec les dispositions applicables
- ou, à la demande des personnes concernées par un traitement, de satisfaire à une demande d'exercice des droits applicables en matière de protection des données
- ou de rectifier, d'effacer des données à caractère personnel, ou de limiter le traitement de ces données
- ou encore de communiquer à la personne concernée une violation de données à caractère personnel.
Le délai pour se mettre en conformité :
- est, en principe, fixé entre dix jours et six mois
- est, en cas d'extrême urgence, de 24 heures
- court à compter de la réception de la mise en demeure par l'employeur.
Dès lors que la mise en conformité intervient dans le délai fixé, la Cnil prononce la clôture de la procédure de mise en demeure. En l'absence de mise en conformité, la Cnil peut décider d'initier une procédure de sanction (voir question dédiée), sans qu'il soit nécessaire de procéder à un nouveau contrôle CE, 6 juin 2018, nº 412589.
Attention
La Cnil peut rendre publiques les mises en demeure qu'elle prononce. Si c'est le cas, la clôture de la procédure de mise en demeure est également rendue publique.
Exemple
Pour des exemples de mises en demeure prononcées par la Cnil, voir le tableau Exemples de mises en demeure de la Cnil
Comment la Cnil agit-elle face à l'urgence ?
La Cnil peut mettre en œuvre une procédure d'urgence en cas d'atteinte à l'identité humaine, aux droits de l'homme, à la vie privée et aux libertés individuelles ou publiques L. nº 78-17, 6 janv. 1978, art. 21D. nº 2019-536, 29 mai 2019.
La procédure est la même que celle préalable à une sanction (voir question dédiée), sauf que l'employeur ne dispose pas d'un mois mais de huit jours pour transmettre ses observations à la suite du rapport de la Cnil. Il est convoqué au plus tard huit jours avant la séance devant la Cnil.
À l'issue de cette procédure, la Cnil peut prononcer :
- une interruption provisoire de la mise en œuvre du traitement, pour une durée maximale de trois mois
- une limitation du traitement de certaines données personnelles traitées, pour une durée maximale de trois mois
- une suspension provisoire de la certification délivrée au responsable de traitement
- une suspension provisoire de l'agrément délivré à un organisme de certification, ou à un organisme chargé du respect d'un code de conduite
- une suspension d'une autorisation de mise en œuvre d'un traitement
- une injonction de mise en conformité du traitement, pouvant être assortie d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard
- un rappel à l'ordre.
Attention
Comme pour une sanction « classique », la Cnil peut également décider :
- de rendre publique les mesures de sanction qu'elle prend
- d'ordonner une insertion de ces mesures dans des publications, journaux et autres supports, aux frais des personnes sanctionnées
- d'ordonner à l'employeur d'informer individuellement et à ses frais, toutes les personnes concernées par la violation des règles de protection des données personnelles et de la mesure de sanction prononcée L. nº 78-17, 6 janv. 1978, art. 22.
Quelles sanctions la Cnil peut-elle prononcer ?
La Cnil peut prononcer les sanctions suivantes :
- un rappel à l'ordre
- une injonction de mettre en conformité le traitement avec les obligations résultant du RGPD, ou de satisfaire aux demandes individuelles d'exercice des droits issus du RGPD. Cette injonction peut être assortie d'une astreinte dont le montant ne peut pas dépasser 100 000 € par jour de retard. Le responsable du traitement doit alors justifier des éléments attestant qu'il s'est conformé à l'injonction. Sinon, l'astreinte est liquidée et son montant définitif est fixé
- la limitation temporaire ou définitive du traitement, son interdiction, ou le retrait d'une autorisation de traitement accordée
- un retrait de certification ou une injonction faite à un organisme certificateur de refuser ou de retirer une certification
- une suspension des flux de données adressée à un destinataire situé dans un pays tiers ou à une organisation internationale
- une suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes
- une amende administrative dont le montant maximum est de 10 millions d'euros ou, pour les entreprises, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le plafond le plus élevé étant retenu. Ces plafonds peuvent être portés à 20 millions d'euros et 4 % du chiffre d'affaires notamment en cas de violation des principes de base d'un traitement, des droits dont bénéficient les personnes dont les données sont collectées, ou de non-respect d'une injonction.
Le montant de l'amende administrative est fixé en fonction de la nature, de la gravité et de la durée des manquements, ainsi que du comportement du responsable du traitement. Ainsi, la célérité d'un responsable de traitement pour apporter des mesures correctrices aux manquements constatés peut permettre d'obtenir une réduction du montant de l'amende CE, 17 avr. 2019, nº 422575.
Remarque
Le prononcé d'une sanction par la Cnil n'exclut pas, en cas d'infraction, que le juge pénal se prononce sur les mêmes faits ou sur des faits connexes. Le juge pénal peut ordonner que l'amende administrative s'impute sur le montant de l'amende pénale qu'il prononce L. nº 78-17, 6 janv. 1978, art. 22.
Ces sanctions peuvent s'accompagner de la décision de la Cnil :
- de rendre publique les mesures de sanction qu'elle prend. Elle doit dans ce cas préciser la durée du maintien en ligne de cette publication non anonymisée, de deux ans maximum CE, 28 sept. 2016, nº 389448CE, 19 juin 2017, nº 396050
- d'ordonner une insertion de ces mesures dans des publications, journaux et autres supports, aux frais des personnes sanctionnées
- d'ordonner à l'employeur d'informer individuellement et à ses frais toutes les personnes concernées par la violation des règles de protection des données personnelles et de la mesure de sanction prononcée L. nº 78-17, 6 janv. 1978, art. 22.
Exemple
Pour des exemples, voir le Tableau Exemples de sanctions prononcées par la Cnil en 2021
Comment se déroule la procédure de sanction ?
Si la Cnil envisage une sanction, une procédure contradictoire L'employeur peut connaître les griefs qui lui sont faits et y répondre est engagée L. nº 78-17, 6 janv. 1978, art. 20 et 22D. nº 2019-536, 29 mai 2019 :
1. La Cnil établit un rapport : pour ce faire, elle peut auditionner toute personne. Si l'employeur est auditionné, il peut se faire assister d'un avocat. L'audition donnera lieu à la rédaction d'un procès-verbal.
- L'employeur peut y répondre dans un délai d'un mois. Une fois fini, le rapport est notifié à l'employeur, qui a la possibilité d'y répondre en déposant ses observations dans un délai d'un mois. Dans ce cadre, il peut se faire représenter ou assister par un avocat. Il a la possibilité de prendre connaissance et d'avoir une copie des pièces du dossier
- Le rapporteur de la Cnil dispose de 15 jours pour répondre aux observations de l'employeur
- L'employeur dispose alors à son tour de 15 jours pour répondre au rapporteur
- Les délais d'un mois et de 15 jours peuvent être prolongés à la demande du rapporteur ou de l'employeur, lorsque les circonstances ou la complexité du dossier le justifient
- Lorsque les observations transmises par l'employeur amènent l'employeur à modifier son rapport, les délais d'un mois et deux fois 15 jours courent à nouveau, pour que chacun puisse contradictoirement présenter de nouvelles observations.
2. Une séance de la Cnil se tient : après clôture de l'instruction, le dossier est appelé à une séance de la Cnil Il s'agit de la formation restreinte de la Cnil .
- L'employeur reçoit une convocation au moins un mois avant la date fixée
- Le rapporteur a la possibilité de présenter des observations orales devant la formation restreinte. L'employeur peut également demander à être entendu, assisté de son avocat. La Cnil peut, en outre, demander à entendre toute personne dont elle estime l'audition utile
- Après que le commissaire du Gouvernement a donné son avis sur l'affaire, l'employeur ou son conseil reprend la parole en dernier.
3. La décision est notifiée : la décision de sanction prise par la Cnil doit être motivée et énoncer les considérations de droit et de fait sur lesquelles elle est fondée. Elle est notifiée à l'employeur, en précisant les voies et délais de recours.
Attention
Si la Cnil décide de publier la décision, elle peut le faire dès la notification de la sanction, sans qu'un recours puisse avoir d'effet suspensif sur cette publication.
Exemple
Pour des exemples, voir le tableau Exemples de sanctions prononcées par la Cnil en 2021
Quelles sont les voies de recours contre les décisions de la Cnil ?
La décision rendue par la Cnil peut faire l'objet d'un recours devant le Conseil d'État dans un délai de deux mois à compter de la notification ou de la publication de la décision CJA, art. R. 311-1CJA, art. R. 421-1.
Astuce
Le recours devant le Conseil d'État n'étant pas suspensif, il peut s'avérer nécessaire d'envisager un référé-suspension devant le juge administratif, en parallèle du recours au fond CJA, art. L. 521-1. Il faut pour cela justifier d'une situation d'urgence, ainsi que d'un moyen propre à créer un doute sérieux quant à la légalité de la décision attaquée.
Comment fonctionnent les injonctions assorties d'astreintes ?
La Cnil peut, lorsqu'elle prononce une injonction, assortir celle-ci d'une astreinte L. nº 78-17, 6 janv. 1978, art. 20D. nº 2019-536, 29 mai 2019, art. 44.
Lorsque tel est le cas, un délai est fixé à l'employeur pour transmettre à la formation restreinte les éléments attestant qu'il s'est conformé à l'injonction qui a été prononcée.
S'il ne justifie pas de ces éléments ou le fait tardivement, la formation restreinte peut procéder à la liquidation de l'astreinte :
- pour fixer le montant de l'astreinte, elle tient compte des éléments qui lui ont été ou non transmis, du comportement de l'employeur et des difficultés qu'il a éventuellement rencontrées, ce qui permet de prendre en considération toute cause étrangère aux capacités de mise en conformité qui pourrait expliquer une inexécution ou un retard d'exécution
- avant de liquider l'astreinte, la Cnil transmet à l'employeur les motifs de la liquidation envisagée et son montant. Celui-ci dispose de 15 jours pour transmettre ses observations écrites.
créez votre compte gratuitement !
Exemples de sanctions prononcées par la Cnil en 2021
Date | Nom ou type d'organisme | Manquements principaux/Thèmes | Décision adoptée |
06/01/2021 | Commerce de détail d'optique | Non-respect de l'exercice des droits des personnes Défaut de sécurité des données | Sanction pécuniaire de 250 000 € et injonction sous astreinte |
11/01/2021 | Société de développement de solutions informatiques | Défaut de sécurité des données
| Sanction pécuniaire de 75 000 € |
12/01/2021 | Ministère | Licéité du traitement Absence d'étude d'impact Défaut d'information des personnes | Rappel à l'ordre et injonction |
03/06/2021 | Société d'édition et de logiciels applicatifs
| Manquement à l'obligation de traiter des données de manière licite
| Sanction pécuniaire de 10 000 € |
14/06/2021 | Société éditant un site de ventes privées dédié au bricolage, au jardinage et à l'aménagement de la maison
| Durées de conservation Défaut d'information des personnes Non-respect des demandes d'effacement des données Défaut de sécurité des données Consentement pour la prospection commerciale
| Sanction pécuniaire de 500 000 € et injonctions
|
20/07/2021 | Assurance
| Durée de conservation Défaut d'information des personnes | Sanction pécuniaire de 1 750 000 €
|
26/07/2021 | Société spécialisée dans les biotechnologies agricoles
| Défaut d'information des personnes Obligation d'encadrer les relations avec un sous-traitant | Sanction pécuniaire de 400 000 €
|
27/07/2021 | Presse | Consentement des personnes (cookies)
| Sanction pécuniaire de 50 000 €
|
15/09/2021 | Société régie publicitaire | Non respect des demandes de rectification des données Non respect des demandes d'effacement Absence de registre des activités de traitement Coopération avec les services de la CNIL | Sanction pécuniaire de 3000 €
|
24/09/2021 | Ministère
| Licéité du traitement Durée de conservation Exactitude des données Défaut de sécurité des données Défaut d'information des personnes
| Rappel à l'ordre et injonction
|
21/10/2021 | Notaire | Coopération avec les services de la CNIL | Sanction pécuniaire de 3000 € et injonction |
28/10/2021 | Organisme privé | Absence de conformité à la suite d'une injonction prononcée | Liquidation de l'astreinte de 65 000 € |
29/10/2021 | Établissement public à caractère industriel et commercial | Non respect des principes de minimisation des données et de responsabilité Durée de conservation Défaut de sécurité des données | Sanction pécuniaire de 400 000 € |
28/12/2021 | Établissement de paiement | Obligation d'encadrer les relations avec les sous-traitants Défaut de sécurité des données Obligation de communication aux personnes d'une violation de données | Sanction pécuniaire de 180 00 € |
28/12/2021 | Opérateur de téléphone | Non respect du droit d'accès Non respect du droit de rectification Non respect du droit d'opposition Obligation de protéger les données dès la conception Défaut de sécurité des données | Sanction pécuniaire de 300 000 € |
30/12/2021 | Vente de mobilier sur internet et en magasin | Durée de conservation Défaut d'information des personnes Non respect des demandes d'effacement Obligation d'encadrer les relations avec les sous-traitants Défaut de sécurité des données | Sanction pécuniaire de 120 000 € |
31/12/2021 | Services internet (moteur de recherche, plateforme de vidéos, etc.) | Modalités de refus des cookies | Sanction pécuniaire de 150 000 000€ et injonction |
31/12/2021 | Réseau social | Modalités de refus des cookies Information des personnes | Sanction pécuniaire de 60 000 000 € et injonction |
Exemples de mises en demeure publiées par la Cnil
Date | Motif de la mise en demeure |
08/10/2018 | Absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire (procédure close en février 2019 suite à mise en conformité)
|
04/12/2019 | Garantie de la sécurité et de la durée de conservation des données personnelles collectées par les radars-tronçons
|
05/11/2019 | Vidéosurveillance excessive des salariés (procédure close en avril 2020 suite à mise en conformité)
|
18/12/2019 | Non-conformité du dispositif de vidéosurveillance
|
11/02/2020 | Non-respect de certaines conditions de recueil du consentement concernant les données des compteurs communicants, et durée de conservation excessive des données
|
15 juillet 2020 | Manquements concernant l'historique de contact, manque d'informations concernant notamment les obligations du sous-traitant, analyse d'impact incomplète sur le traitement des données relative à la sécurité de l'application StopCovid (procédure close en septembre 2020 suite à mise en conformité) |
08/2020 | Collecte excessive de données par des dispositifs de contrôle des horaires qui collectaient, au moyen de badgeuses photos, la photographie des salariés à chaque pointage |
05/2021, | Les cookies de plusieurs acteurs de l'économie numérique étaient plus difficiles à refuser qu'à accepter (procédure close en juin 2020 suite à mise en conformité) |
06/2021 et 07/2021 | Les cookies de plusieurs acteurs de l'économie numérique étaient plus difficiles à refuser qu'à accepter |
04/10/2021 | Violation de données de santé par un site qui traite des données de santé pour des pharmacies (procédure close en janvier 2022 suite à la mise en conformité) |
26/11/2021 | Traitement illicite de données personnelles et absence de prise en compte satisfaisante et effective des droits des personnes notamment concernant le droit d'accès à leurs données par une société qui collectait et commercialisait des photographies et des vidéos sur internet |
02/2022 | Transfert de données vers les Etats-Unis d'un outil permettant de disposer de statistiques de fréquentation de sites web |
04/2022 | Transmission de données personnelles sans information ou recueil du consentement des personnes dans le cadre de prospections commerciales |
créez votre compte gratuitement !
La Cnil peut rendre publiques les mises en demeure qu'elle prononce. Si c'est le cas, la clôture de la procédure de mise en demeure est également rendue publique.
Comme pour une sanction « classique », la Cnil peut également décider :
- de rendre publique les mesures de sanction qu'elle prend
- d'ordonner une insertion de ces mesures dans des publications, journaux et autres supports, aux frais des personnes sanctionnées
- d'ordonner à l'employeur d'informer individuellement et à ses frais, toutes les personnes concernées par la violation des règles de protection des données personnelles et de la mesure de sanction prononcée L. nº 78-17, 6 janv. 1978, art. 22.
Si la Cnil décide de publier la décision, elle peut le faire dès la notification de la sanction, sans qu'un recours puisse avoir d'effet suspensif sur cette publication.
Le recours devant le Conseil d'État n'étant pas suspensif, il peut s'avérer nécessaire d'envisager un référé-suspension devant le juge administratif, en parallèle du recours au fond CJA, art. L. 521-1. Il faut pour cela justifier d'une situation d'urgence, ainsi que d'un moyen propre à créer un doute sérieux quant à la légalité de la décision attaquée.
Codes, lois et réglementation
L. nº 78-17 du 6 janv. 1978 (informatique, fichiers et libertés), Art. 20. -
L. nº 78-17 du 6 janv. 1978 (informatique, fichiers et libertés), Art. 21. -
L. nº 78-17 du 6 janv. 1978 (informatique, fichiers et libertés), Art. 22. -
Code de justice administrative, Article L. 521-1
Code de justice administrative, Article R. 311-1
Code de justice administrative, Article R. 421-1
Jurisprudence
Conseil d'État, Chambres réunies, Décision nº 389448 du 28 septembre 2016
Conseil d'État, Chambres réunies, Décision nº 396050 du 19 juin 2017
Conseil d'État, Chambres réunies, Décision nº 412589 du 6 juin 2018
Conseil d'État, Chambres réunies, Décision nº 422575 du 17 avril 2019