L'essentiel Le droit en tableau Les points de vigilance

Sur la base du procès-verbal dressé par les agents de contrôle (), la Cnil décide des suites qu'elle donne au contrôle :

  • en l'absence de manquement constaté, la procédure est clôturée par un courrier du Président de la Cnil
  • si des manquements sont constatés, mais sont peu significatifs, le Président de la Cnil ajoute à son courrier de clôture des observations en vue d'une régularisation par la personne contrôlée
  • en cas de manquements plus significatifs, la Cnil peut décider d'engager une procédure de mise en demeure, consistant à donner un délai au contrevenant pour régulariser les manquements constatés (). Cette mise en demeure peut être rendue publique
  • le cas échéant, la Cnil peut également décider de transmettre le dossier à la formation restreinte de la Cnil, qui a compétence pour prononcer des sanctions ().

La Cnil a également la possibilité, en dehors de tout contrôle, de prononcer un avertissement, à titre préventif, lorsque des opérations de traitement de données qu'un employeur envisage de mettre en place sont susceptibles de violer le RGPD.

Qu'est-ce qu'un avertissement de la Cnil ?

La Cnil a la possibilité, sans engager de procédure de mise en demeure ou de procédure de sanction, d'agir à titre préventif en notifiant un avertissement, lorsque ses investigations permettent d'identifier que les opérations de traitement de données qu'un employeur envisage de mettre en place sont susceptibles de violer les règles issues du RGPD . Il ne s'agit pas d'une sanction.

Comment se déroule la mise en demeure de la Cnil ?

La procédure de mise en demeure de la Cnil a pour but d'obtenir une mise en conformité de l'entreprise . La Cnil fixe un délai dans lequel la mise en conformité doit intervenir. Il peut s'agir :

  • à la suite d'un contrôle, de mettre les opérations de traitement en conformité avec les dispositions applicables
  • ou, à la demande des personnes concernées par un traitement, de satisfaire à une demande d'exercice des droits applicables en matière de protection des données
  • ou de rectifier, d'effacer des données à caractère personnel, ou de limiter le traitement de ces données
  • ou encore de communiquer à la personne concernée une violation de données à caractère personnel.

Le délai pour se mettre en conformité :

  • est, en principe, fixé entre dix jours et six mois
  • est, en cas d'extrême urgence, de 24 heures
  • court à compter de la réception de la mise en demeure par l'employeur.

Dès lors que la mise en conformité intervient dans le délai fixé, la Cnil prononce la clôture de la procédure de mise en demeure. En l'absence de mise en conformité, la Cnil peut décider d'initier une procédure de sanction (), sans qu'il soit nécessaire de procéder à un nouveau contrôle

Attention

La Cnil peut rendre publiques les mises en demeure qu'elle prononce. Si c'est le cas, la clôture de la procédure de mise en demeure est également rendue publique.

Exemple

Pour des exemples de mises en demeure prononcées par la Cnil en 2019, voir le tableau Exemples de mises en demeure de la Cnil 

Quelles sanctions la Cnil peut-elle prononcer ?

La Cnil peut prononcer les sanctions suivantes :

  • un rappel à l'ordre
  • une injonction de mettre en conformité le traitement avec les obligations résultant du RGPD, ou de satisfaire aux demandes individuelles d'exercice des droits issus du RGPD. Cette injonction peut être assortie d'une astreinte dont le montant ne peut pas dépasser 100 000 € par jour de retard. Le responsable du traitement doit alors justifier des éléments attestant qu'il s'est conformé à l'injonction. Sinon, l'astreinte est liquidée et son montant définitif est fixé
  • la limitation temporaire ou définitive du traitement, son interdiction, ou le retrait d'une autorisation de traitement accordée
  • un retrait de certification ou une injonction faite à un organisme certificateur de refuser ou de retirer une certification
  • une suspension des flux de données adressée à un destinataire situé dans un pays tiers ou à une organisation internationale
  • une suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes
  • une amende administrative dont le montant maximum est de 10 millions d'euros ou, pour les entreprises, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le plafond le plus élevé étant retenu. Ces plafonds peuvent être portés à 20 millions d'euros et 4 % du chiffre d'affaires notamment en cas de violation des principes de base d'un traitement, des droits dont bénéficient les personnes dont les données sont collectées, ou de non-respect d'une injonction.

Le montant de l'amende administrative est fixé en fonction de la nature, de la gravité et de la durée des manquements, ainsi que du comportement du responsable du traitement. Ainsi, la célérité d'un responsable de traitement pour apporter des mesures correctrices aux manquements constatés peut permettre d'obtenir une réduction du montant de l'amende

Remarque

Le prononcé d'une sanction par la Cnil n'exclut pas, en cas d'infraction, que le juge pénal se prononce sur les mêmes faits ou sur des faits connexes. Le juge pénal peut ordonner que l'amende administrative s'impute sur le montant de l'amende pénale qu'il prononce .

Ces sanctions peuvent s'accompagner de la décision de la Cnil :

  • de rendre publique les mesures de sanction qu'elle prend. Elle doit dans ce cas préciser la durée du maintien en ligne de cette publication non anonymisée, de deux ans maximum
  • d'ordonner une insertion de ces mesures dans des publications, journaux et autres supports, aux frais des personnes sanctionnées
  • d'ordonner à l'employeur d'informer individuellement et à ses frais toutes les personnes concernées par la violation des règles de protection des données personnelles et de la mesure de sanction prononcée .

Exemple

Tableau Exemples de sanctions prononcées par la Cnil en 2019

Comment la Cnil agit-elle face à l'urgence ?

La Cnil peut mettre en œuvre une procédure d'urgence en cas d'atteinte à l'identité humaine, aux droits de l'homme, à la vie privée et aux libertés individuelles ou publiques .

La procédure est la même que celle préalable à une sanction (), sauf que l'employeur ne dispose pas d'un mois mais de huit jours pour transmettre ses observations à la suite du rapport de la Cnil. Il est convoqué au plus tard huit jours avant la séance devant la Cnil.

À l'issue de cette procédure, la Cnil peut prononcer :

  • une interruption provisoire de la mise en œuvre du traitement, pour une durée maximale de trois mois
  • une limitation du traitement de certaines données personnelles traitées, pour une durée maximale de trois mois
  • une suspension provisoire de la certification délivrée au responsable de traitement
  • une suspension provisoire de l'agrément délivré à un organisme de certification, ou à un organisme chargé du respect d'un code de conduite
  • une suspension d'une autorisation de mise en œuvre d'un traitement
  • une injonction de mise en conformité du traitement, pouvant être assortie d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard
  • un rappel à l'ordre.

Attention

Comme pour une sanction « classique », la Cnil peut également décider :

  • de rendre publique les mesures de sanction qu'elle prend
  • d'ordonner une insertion de ces mesures dans des publications, journaux et autres supports, aux frais des personnes sanctionnées
  • d'ordonner à l'employeur d'informer individuellement et à ses frais, toutes les personnes concernées par la violation des règles de protection des données personnelles et de la mesure de sanction prononcée .

Comment se déroule la procédure de sanction ?

Si la Cnil envisage une sanction, une procédure contradictoire L'employeur peut connaître les griefs qui lui sont faits et y répondre est engagée et  :

1. La Cnil établit un rapport : pour ce faire, elle peut auditionner toute personne. Si l'employeur est auditionné, il peut se faire assister d'un avocat. L'audition donnera lieu à la rédaction d'un procès-verbal.

  • L'employeur peut y répondre dans un délai d'un mois. Une fois fini, le rapport est notifié à l'employeur, qui a la possibilité d'y répondre en déposant ses observations dans un délai d'un mois. Dans ce cadre, il peut se faire représenter ou assister par un avocat. Il a la possibilité de prendre connaissance et d'avoir une copie des pièces du dossier
  • Le rapporteur de la Cnil dispose de 15 jours pour répondre aux observations de l'employeur
  • L'employeur dispose alors à son tour de 15 jours pour répondre au rapporteur
  • Les délais d'un mois et de 15 jours peuvent être prolongés à la demande du rapporteur ou de l'employeur, lorsque les circonstances ou la complexité du dossier le justifient
  • Lorsque les observations transmises par l'employeur amènent l'employeur à modifier son rapport, les délais d'un mois et deux fois 15 jours courent à nouveau, pour que chacun puisse contradictoirement présenter de nouvelles observations.

2. Une séance de la Cnil se tient : après clôture de l'instruction, le dossier est appelé à une séance de la Cnil Il s'agit de la formation restreinte de la Cnil .

  • L'employeur reçoit une convocation au moins un mois avant la date fixée
  • Le rapporteur a la possibilité de présenter des observations orales devant la formation restreinte. L'employeur peut également demander à être entendu, assisté de son avocat. La Cnil peut, en outre, demander à entendre toute personne dont elle estime l'audition utile
  • Après que le commissaire du Gouvernement a donné son avis sur l'affaire, l'employeur ou son conseil reprend la parole en dernier.

3. La décision est notifiée : la décision de sanction prise par la Cnil doit être motivée et énoncer les considérations de droit et de fait sur lesquelles elle est fondée. Elle est notifiée à l'employeur, en précisant les voies et délais de recours.

Attention

Si la Cnil décide de publier la décision, elle peut le faire dès la notification de la sanction, sans qu'un recours puisse avoir d'effet suspensif sur cette publication.

Exemple

tableau Exemples de sanctions prononcées par la Cnil en 2019

Comment fonctionnent les injonctions assorties d'astreintes ?

La Cnil peut, lorsqu'elle prononce une injonction, assortir celle-ci d'une astreinte .

Lorsque tel est le cas, un délai est fixé à l'employeur pour transmettre à la formation restreinte les éléments attestant qu'il s'est conformé à l'injonction qui a été prononcée.

S'il ne justifie pas de ces éléments ou le fait tardivement, la formation restreinte peut procéder à la liquidation de l'astreinte :

  • pour fixer le montant de l'astreinte, elle tient compte des éléments qui lui ont été ou non transmis, du comportement de l'employeur et des difficultés qu'il a éventuellement rencontrées, ce qui permet de prendre en considération toute cause étrangère aux capacités de mise en conformité qui pourrait expliquer une inexécution ou un retard d'exécution
  • avant de liquider l'astreinte, la Cnil transmet à l'employeur les motifs de la liquidation envisagée et son montant. Celui-ci dispose de 15 jours pour transmettre ses observations écrites.

Quelles sont les voies de recours contre les décisions de la Cnil ?

La décision rendue par la Cnil peut faire l'objet d'un recours devant le Conseil d'État dans un délai de deux mois à compter de la notification ou de la publication de la décision .

Astuce

Le recours devant le Conseil d'État n'étant pas suspensif, il peut s'avérer nécessaire d'envisager un référé-suspension devant le juge administratif, en parallèle du recours au fond . Il faut pour cela justifier d'une situation d'urgence, ainsi que d'un moyen propre à créer un doute sérieux quant à la légalité de la décision attaquée.

Pour afficher ce contenu :
créez votre compte gratuitement !

Exemples de sanctions prononcées par la Cnil en 2019

Date

Nom ou type d'organisme

Manquements principaux/Thèmes

Décision adoptée

21/01/2019

Moteur de recherche

 

Manque de transparence, information insatisfaisante et absence de consentement

valable

Sanction pécuniaire de

50 000 000 €

31/01/2019

Moteur de recherche

Déréférencement

 

Abandon des poursuites

31/01/2019

Société de gestion immobilière

Sécurité et durées de conservation des

données personnelles

Abandon des poursuites

 

31/01/2019

Établissement public national à

caractère administratif

 

Défaut de sécurité des données personnelles

 

Injonctions sous astreintes

 

28/05/2019

Société de gestion immobilière

 

Défaut de sécurité des données personnelles

et non-respect des durées de

conservation

 

Sanction pécuniaire

de 400 000 €

 

13/06/2019

Société de traduction de documents

 

Données non adéquates et excessives,

non-pertinence, information insatisfaisante,

défaut de sécurité des données personnelles. Vidéosurveillance

 

 

Sanction pécuniaire de

20 000 € et injonction

sous astreinte

 

18/07/2019

Société intermédiaire en assurance

 

Défaut de sécurité des données personnelles

Sanction pécuniaire de

180 000 €

 

10/10/2019

Société de photographies liées à

la petite enfance

Non-respect du droit d'accès, non-respect

du droit à l'effacement, défaut de sécurité

et de confidentialité des données

 

Sanction pécuniaire et

injonction sous astreinte

 

21/11/2019

Société d'installation d'équipements

d'isolation

 

Non-adéquation, non-pertinence et caractère

excessif des données, défaut d'information

des personnes, non-respect du

droit d'opposition, non-coopération avec

l'autorité de contrôle, transfert non encadré

de données hors de l'UE

 

Sanction pécuniaire de

500 000 € et injonction

sous astreinte

 

30/12/2019

Société d'aide à domicile des

personnes âgées et handicapées

 

Manquement au principe de limitation de la

durée de conservation, défaut d'information

des personnes, manquement à l'obligation

d'assurer la sécurité des données traitées

par un sous-traitant

 

Sanction pécuniaire et

injonction sous astreinte

 

Exemples de mises en demeure publiées par la Cnil en 2019

Date

Motif de la mise en demeure

08/10/2018

Absence de consentement au traitement de données de géolocalisation à des fins

de ciblage publicitaire (procédure close en février 2019 suite à mise en conformité)

 

04/12/2019

Garantie de la sécurité et de la durée de conservation des données personnelles

collectées par les radars-tronçons

 

05/11/2019

Vidéosurveillance excessive des salariés (procédure close en avril 2020 suite à mise

en conformité)

 

18/12/2019

Non-conformité du dispositif de vidéosurveillance

 

11/02/2020

Non-respect de certaines conditions de recueil du consentement concernant les données

des compteurs communicants, et durée de conservation excessive des données

 

Pour afficher ce contenu :
créez votre compte gratuitement !
Attention

La Cnil peut rendre publiques les mises en demeure qu'elle prononce. Si c'est le cas, la clôture de la procédure de mise en demeure est également rendue publique.

Comme pour une sanction « classique », la Cnil peut également décider :

  • de rendre publique les mesures de sanction qu'elle prend
  • d'ordonner une insertion de ces mesures dans des publications, journaux et autres supports, aux frais des personnes sanctionnées
  • d'ordonner à l'employeur d'informer individuellement et à ses frais, toutes les personnes concernées par la violation des règles de protection des données personnelles et de la mesure de sanction prononcée .

Si la Cnil décide de publier la décision, elle peut le faire dès la notification de la sanction, sans qu'un recours puisse avoir d'effet suspensif sur cette publication.

Astuce

Le recours devant le Conseil d'État n'étant pas suspensif, il peut s'avérer nécessaire d'envisager un référé-suspension devant le juge administratif, en parallèle du recours au fond . Il faut pour cela justifier d'une situation d'urgence, ainsi que d'un moyen propre à créer un doute sérieux quant à la légalité de la décision attaquée.