L'essentiel Le droit en tableau Les points de vigilance

Sur la base du procès-verbal dressé par les agents de contrôle (), la Cnil décide des suites qu'elle donne au contrôle :

  • en l'absence de manquement constaté, la procédure est clôturée par un courrier du Président de la Cnil
  • si des manquements sont constatés, mais sont peu significatifs, le Président de la Cnil ajoute à son courrier de clôture des observations en vue d'une régularisation par la personne contrôlée
  • en cas de manquements plus significatifs, la Cnil peut décider d'engager une procédure de mise en demeure, consistant à donner un délai au contrevenant pour régulariser les manquements constatés (). Cette mise en demeure peut être rendue publique
  • le cas échéant, la Cnil peut également décider de transmettre le dossier à la formation restreinte de la Cnil, qui a compétence pour prononcer des sanctions ().

La Cnil a également la possibilité, en dehors de tout contrôle, de prononcer un avertissement, à titre préventif, lorsque des opérations de traitement de données qu'un employeur envisage de mettre en place sont susceptibles de violer le RGPD.

Qu'est-ce qu'un avertissement de la Cnil ?

La Cnil a la possibilité, sans engager de procédure de mise en demeure ou de procédure de sanction, d'agir à titre préventif en notifiant un avertissement, lorsque ses investigations permettent d'identifier que les opérations de traitement de données qu'un employeur envisage de mettre en place sont susceptibles de violer les règles issues du RGPD . Il ne s'agit pas d'une sanction.

Comment se déroule la mise en demeure de la Cnil ?

La procédure de mise en demeure de la Cnil a pour but d'obtenir une mise en conformité de l'entreprise . La Cnil fixe un délai dans lequel la mise en conformité doit intervenir. Il peut s'agir :

  • à la suite d'un contrôle, de mettre les opérations de traitement en conformité avec les dispositions applicables
  • ou, à la demande des personnes concernées par un traitement, de satisfaire à une demande d'exercice des droits applicables en matière de protection des données
  • ou de rectifier, d'effacer des données à caractère personnel, ou de limiter le traitement de ces données
  • ou encore de communiquer à la personne concernée une violation de données à caractère personnel.

Le délai pour se mettre en conformité :

  • est, en principe, fixé entre dix jours et six mois
  • est, en cas d'extrême urgence, de 24 heures
  • court à compter de la réception de la mise en demeure par l'employeur.

Dès lors que la mise en conformité intervient dans le délai fixé, la Cnil prononce la clôture de la procédure de mise en demeure. En l'absence de mise en conformité, la Cnil peut décider d'initier une procédure de sanction (), sans qu'il soit nécessaire de procéder à un nouveau contrôle

Attention

La Cnil peut rendre publiques les mises en demeure qu'elle prononce. Si c'est le cas, la clôture de la procédure de mise en demeure est également rendue publique.

Exemple

Pour des exemples de mises en demeure prononcées par la Cnil, voir le tableau  

Quelles sanctions la Cnil peut-elle prononcer ?

La Cnil peut prononcer les sanctions suivantes :

  • un rappel à l'ordre
  • une injonction de mettre en conformité le traitement avec les obligations résultant du RGPD, ou de satisfaire aux demandes individuelles d'exercice des droits issus du RGPD. Cette injonction peut être assortie d'une astreinte dont le montant ne peut pas dépasser 100 000 € par jour de retard. Le responsable du traitement doit alors justifier des éléments attestant qu'il s'est conformé à l'injonction. Sinon, l'astreinte est liquidée et son montant définitif est fixé
  • la limitation temporaire ou définitive du traitement, son interdiction, ou le retrait d'une autorisation de traitement accordée
  • un retrait de certification ou une injonction faite à un organisme certificateur de refuser ou de retirer une certification
  • une suspension des flux de données adressée à un destinataire situé dans un pays tiers ou à une organisation internationale
  • une suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes
  • une amende administrative dont le montant maximum est de 10 millions d'euros ou, pour les entreprises, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le plafond le plus élevé étant retenu. Ces plafonds peuvent être portés à 20 millions d'euros et 4 % du chiffre d'affaires notamment en cas de violation des principes de base d'un traitement, des droits dont bénéficient les personnes dont les données sont collectées, ou de non-respect d'une injonction.

Le montant de l'amende administrative est fixé en fonction de la nature, de la gravité et de la durée des manquements, ainsi que du comportement du responsable du traitement. Ainsi, la célérité d'un responsable de traitement pour apporter des mesures correctrices aux manquements constatés peut permettre d'obtenir une réduction du montant de l'amende

Remarque

Le prononcé d'une sanction par la Cnil n'exclut pas, en cas d'infraction, que le juge pénal se prononce sur les mêmes faits ou sur des faits connexes. Le juge pénal peut ordonner que l'amende administrative s'impute sur le montant de l'amende pénale qu'il prononce .

Ces sanctions peuvent s'accompagner de la décision de la Cnil :

  • de rendre publique les mesures de sanction qu'elle prend. Elle doit dans ce cas préciser la durée du maintien en ligne de cette publication non anonymisée, de deux ans maximum
  • d'ordonner une insertion de ces mesures dans des publications, journaux et autres supports, aux frais des personnes sanctionnées
  • d'ordonner à l'employeur d'informer individuellement et à ses frais toutes les personnes concernées par la violation des règles de protection des données personnelles et de la mesure de sanction prononcée .

Comment la Cnil agit-elle face à l'urgence ?

La Cnil peut mettre en œuvre une procédure d'urgence en cas d'atteinte à l'identité humaine, aux droits de l'homme, à la vie privée et aux libertés individuelles ou publiques .

La procédure est la même que celle préalable à une sanction (), sauf que l'employeur ne dispose pas d'un mois mais de huit jours pour transmettre ses observations à la suite du rapport de la Cnil. Il est convoqué au plus tard huit jours avant la séance devant la Cnil.

À l'issue de cette procédure, la Cnil peut prononcer :

  • une interruption provisoire de la mise en œuvre du traitement, pour une durée maximale de trois mois
  • une limitation du traitement de certaines données personnelles traitées, pour une durée maximale de trois mois
  • une suspension provisoire de la certification délivrée au responsable de traitement
  • une suspension provisoire de l'agrément délivré à un organisme de certification, ou à un organisme chargé du respect d'un code de conduite
  • une suspension d'une autorisation de mise en œuvre d'un traitement
  • une injonction de mise en conformité du traitement, pouvant être assortie d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard
  • un rappel à l'ordre.

Attention

Comme pour une sanction « classique », la Cnil peut également décider :

  • de rendre publique les mesures de sanction qu'elle prend
  • d'ordonner une insertion de ces mesures dans des publications, journaux et autres supports, aux frais des personnes sanctionnées
  • d'ordonner à l'employeur d'informer individuellement et à ses frais, toutes les personnes concernées par la violation des règles de protection des données personnelles et de la mesure de sanction prononcée .

Comment se déroule la procédure de sanction ?

Si la Cnil envisage une sanction, une procédure contradictoire L'employeur peut connaître les griefs qui lui sont faits et y répondre est engagée et  :

1. La Cnil établit un rapport : pour ce faire, elle peut auditionner toute personne. Si l'employeur est auditionné, il peut se faire assister d'un avocat. L'audition donnera lieu à la rédaction d'un procès-verbal.

  • L'employeur peut y répondre dans un délai d'un mois. Une fois fini, le rapport est notifié à l'employeur, qui a la possibilité d'y répondre en déposant ses observations dans un délai d'un mois. Dans ce cadre, il peut se faire représenter ou assister par un avocat. Il a la possibilité de prendre connaissance et d'avoir une copie des pièces du dossier
  • Le rapporteur de la Cnil dispose de 15 jours pour répondre aux observations de l'employeur
  • L'employeur dispose alors à son tour de 15 jours pour répondre au rapporteur
  • Les délais d'un mois et de 15 jours peuvent être prolongés à la demande du rapporteur ou de l'employeur, lorsque les circonstances ou la complexité du dossier le justifient
  • Lorsque les observations transmises par l'employeur amènent l'employeur à modifier son rapport, les délais d'un mois et deux fois 15 jours courent à nouveau, pour que chacun puisse contradictoirement présenter de nouvelles observations.

2. Une séance de la Cnil se tient : après clôture de l'instruction, le dossier est appelé à une séance de la Cnil Il s'agit de la formation restreinte de la Cnil .

  • L'employeur reçoit une convocation au moins un mois avant la date fixée
  • Le rapporteur a la possibilité de présenter des observations orales devant la formation restreinte. L'employeur peut également demander à être entendu, assisté de son avocat. La Cnil peut, en outre, demander à entendre toute personne dont elle estime l'audition utile
  • Après que le commissaire du Gouvernement a donné son avis sur l'affaire, l'employeur ou son conseil reprend la parole en dernier.

3. La décision est notifiée : la décision de sanction prise par la Cnil doit être motivée et énoncer les considérations de droit et de fait sur lesquelles elle est fondée. Elle est notifiée à l'employeur, en précisant les voies et délais de recours.

Attention

Si la Cnil décide de publier la décision, elle peut le faire dès la notification de la sanction, sans qu'un recours puisse avoir d'effet suspensif sur cette publication.

Comment fonctionnent les injonctions assorties d'astreintes ?

La Cnil peut, lorsqu'elle prononce une injonction, assortir celle-ci d'une astreinte .

Lorsque tel est le cas, un délai est fixé à l'employeur pour transmettre à la formation restreinte les éléments attestant qu'il s'est conformé à l'injonction qui a été prononcée.

S'il ne justifie pas de ces éléments ou le fait tardivement, la formation restreinte peut procéder à la liquidation de l'astreinte :

  • pour fixer le montant de l'astreinte, elle tient compte des éléments qui lui ont été ou non transmis, du comportement de l'employeur et des difficultés qu'il a éventuellement rencontrées, ce qui permet de prendre en considération toute cause étrangère aux capacités de mise en conformité qui pourrait expliquer une inexécution ou un retard d'exécution
  • avant de liquider l'astreinte, la Cnil transmet à l'employeur les motifs de la liquidation envisagée et son montant. Celui-ci dispose de 15 jours pour transmettre ses observations écrites.

Quelles sont les voies de recours contre les décisions de la Cnil ?

La décision rendue par la Cnil peut faire l'objet d'un recours devant le Conseil d'État dans un délai de deux mois à compter de la notification ou de la publication de la décision .

Astuce

Le recours devant le Conseil d'État n'étant pas suspensif, il peut s'avérer nécessaire d'envisager un référé-suspension devant le juge administratif, en parallèle du recours au fond . Il faut pour cela justifier d'une situation d'urgence, ainsi que d'un moyen propre à créer un doute sérieux quant à la légalité de la décision attaquée.

Pour afficher ce contenu :
créez votre compte gratuitement !

Exemples de sanctions prononcées par la Cnil en 2021

Date

Nom ou type d'organisme

Manquements principaux/Thèmes

Décision adoptée

06/01/2021

Commerce de détail d'optique

Non-respect de l'exercice des droits des personnes

Défaut de sécurité des données

Sanction pécuniaire de 250 000 € et injonction sous astreinte

11/01/2021

Société de développement de solutions informatiques

Défaut de sécurité des données

 

Sanction pécuniaire de 75 000 €

12/01/2021

Ministère

Licéité du traitement

Absence d'étude d'impact

Défaut d'information des personnes

Rappel à l'ordre et injonction

03/06/2021

Société d'édition et de logiciels applicatifs

 

Manquement à l'obligation de traiter des données de manière licite

 

Sanction pécuniaire de 10 000 €

14/06/2021

Société éditant un site de ventes privées dédié au bricolage, au jardinage et à l'aménagement de la maison

 

Durées de conservation

Défaut d'information des personnes

Non-respect des demandes d'effacement des données

Défaut de sécurité des données

Consentement pour la prospection commerciale

 

Sanction pécuniaire de 500 000 € et injonctions

 

20/07/2021

Assurance

 

Durée de conservation

Défaut d'information des personnes

Sanction pécuniaire de 1 750 000 €

 

26/07/2021

Société spécialisée dans les biotechnologies agricoles

 

Défaut d'information des personnes

Obligation d'encadrer les relations avec un sous-traitant

Sanction pécuniaire de 400 000 €

 

27/07/2021

Presse

Consentement des personnes (cookies)

 

Sanction pécuniaire de 50 000 €

 

 

15/09/2021

Société régie publicitaire

Non respect des demandes de rectification des données

Non respect des demandes d'effacement

Absence de registre des activités de traitement

Coopération avec les services de la CNIL

Sanction pécuniaire de 3000 €

 

24/09/2021

Ministère

 

Licéité du traitement

Durée de conservation

Exactitude des données

Défaut de sécurité des données

Défaut d'information des personnes

 

Rappel à l'ordre et injonction

 

21/10/2021

Notaire

Coopération avec les services de la CNIL

Sanction pécuniaire de 3000 € et injonction

28/10/2021

Organisme privé

Absence de conformité à la suite d'une injonction prononcée

Liquidation de l'astreinte de 65 000 €

29/10/2021

Établissement public à caractère industriel et commercial

Non respect des principes de minimisation des données et de responsabilité

Durée de conservation

Défaut de sécurité des données

Sanction pécuniaire de 400 000 €

28/12/2021

Établissement de paiement

Obligation d'encadrer les relations avec les sous-traitants

Défaut de sécurité des données

Obligation de communication aux personnes d'une violation de données

Sanction pécuniaire de 180 00 €

28/12/2021

Opérateur de téléphone

Non respect du droit d'accès

Non respect du droit de rectification

Non respect du droit d'opposition

Obligation de protéger les données dès la conception

Défaut de sécurité des données

Sanction pécuniaire de 300 000 €

30/12/2021

Vente de mobilier sur internet et en magasin

Durée de conservation

Défaut d'information des personnes

Non respect des demandes d'effacement

Obligation d'encadrer les relations avec les sous-traitants

Défaut de sécurité des données

Sanction pécuniaire de 120 000 €

31/12/2021

Services internet (moteur de recherche, plateforme de vidéos, etc.)

Modalités de refus des cookies

Sanction pécuniaire de 150 000 000€ et injonction

31/12/2021

Réseau social

Modalités de refus des cookies

Information des personnes

Sanction pécuniaire de 60 000 000 € et injonction

Exemples de mises en demeure publiées par la Cnil

Date

Motif de la mise en demeure

08/10/2018

Absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire (procédure close en février 2019 suite à mise en conformité)

 

04/12/2019

Garantie de la sécurité et de la durée de conservation des données personnelles collectées par les radars-tronçons

 

05/11/2019

Vidéosurveillance excessive des salariés (procédure close en avril 2020 suite à mise en conformité)

 

18/12/2019

Non-conformité du dispositif de vidéosurveillance

 

11/02/2020

Non-respect de certaines conditions de recueil du consentement concernant les données des compteurs communicants, et durée de conservation excessive des données

 

15 juillet 2020

Manquements concernant l'historique de contact, manque d'informations concernant notamment les obligations du sous-traitant, analyse d'impact incomplète sur le traitement des données relative à la sécurité de l'application StopCovid (procédure close en septembre 2020 suite à mise en conformité)

08/2020

Collecte excessive de données par des dispositifs de contrôle des horaires qui collectaient, au moyen de badgeuses photos, la photographie des salariés à chaque pointage

05/2021,

Les cookies de plusieurs acteurs de l'économie numérique étaient plus difficiles à refuser qu'à accepter (procédure close en juin 2020 suite à mise en conformité)

06/2021 et 07/2021

Les cookies de plusieurs acteurs de l'économie numérique étaient plus difficiles à refuser qu'à accepter

04/10/2021

Violation de données de santé par un site qui traite des données de santé pour des pharmacies (procédure close en janvier 2022 suite à la mise en conformité)

26/11/2021

Traitement illicite de données personnelles et absence de prise en compte satisfaisante et effective des droits des personnes notamment concernant le droit d'accès à leurs données par une société qui collectait et commercialisait des photographies et des vidéos sur internet

02/2022

Transfert de données vers les Etats-Unis d'un outil permettant de disposer de statistiques de fréquentation de sites web

04/2022

Transmission de données personnelles sans information ou recueil du consentement des personnes dans le cadre de prospections commerciales

Pour afficher ce contenu :
créez votre compte gratuitement !
Attention

La Cnil peut rendre publiques les mises en demeure qu'elle prononce. Si c'est le cas, la clôture de la procédure de mise en demeure est également rendue publique.

Comme pour une sanction « classique », la Cnil peut également décider :

  • de rendre publique les mesures de sanction qu'elle prend
  • d'ordonner une insertion de ces mesures dans des publications, journaux et autres supports, aux frais des personnes sanctionnées
  • d'ordonner à l'employeur d'informer individuellement et à ses frais, toutes les personnes concernées par la violation des règles de protection des données personnelles et de la mesure de sanction prononcée .

Si la Cnil décide de publier la décision, elle peut le faire dès la notification de la sanction, sans qu'un recours puisse avoir d'effet suspensif sur cette publication.

Astuce

Le recours devant le Conseil d'État n'étant pas suspensif, il peut s'avérer nécessaire d'envisager un référé-suspension devant le juge administratif, en parallèle du recours au fond . Il faut pour cela justifier d'une situation d'urgence, ainsi que d'un moyen propre à créer un doute sérieux quant à la légalité de la décision attaquée.