Sanctions CNIL

Société

RGPD et sanctions, que risquez-vous ?

Publié il y a 3 semaines
La CNIL bénéficie d'une nouvelle procédure simplifiée, c'est l'occasion de rappeler ce que vous risquez en cas de non-respect du RGPD.
CNIL

Société

RGPD et sanctions, que risquez-vous ?

Publié il y a 3 semaines

Les points principaux

Amende Interdiction de traitement Publication
La CNIL bénéficie d'une nouvelle procédure simplifiée, c'est l'occasion de rappeler ce que vous risquez en cas de non-respect du RGPD.

Le respect du RGPD est une obligation depuis 2018, et en cas de contrôle et de non-conformité, la CNIL peut prononcer différentes sanctions, notamment : une obligation de mise en conformité ou interdiction d’utiliser le traitement concerné (vos fichiers), y compris sous astreinte ; ou une amende administrative (10 millions d’euros ou 2% du CA annuel de votre entreprise et pouvant aller jusqu’à 20 millions d’Euros ou 4% du CA de votre entreprise).

Au-dessus de la CNIL, Le CEPD (Comité européen de protection des données) peut aussi infliger des sanctions.

La CNIL en tant qu’autorité administrative indépendante a plusieurs missions, celles d’informer les particuliers et les professionnels et protéger leurs droits.

Puis, elle accompagne les organismes privés et publics sur le chemin de leur conformité et les conseille. Elle anticipe et innove. Enfin, elle contrôle et sanctionne. ET c’est là l’objet de notre article

Comment la CNIL exerce-t-elle son contrôle ?

La CNIL reçoit des signalements par divers canaux et réalise principalement des contrôles dont les suites peuvent aller de la clôture, à la mise en demeure ou à la sanction financière.

En 2021, La présidente de la CNIL a prononcé 135 mises en demeure de se mettre en conformité à des organismes qui ne respectent pas le RGPD. Si le manquement constaté est grave, la mise en demeure peut même être rendue publique. Les peines prévues par le code pénal ; qui sont des sanctions judiciaires, peuvent venir compléter les sanctions classiques. Le détournement de finalité, par exemple, est sanctionné de 300 000 euros et de 5 ans d’emprisonnement au titre du Code pénal (article 226-1).

Dans quelles situation peut-elle prononcer un tel niveau de sanction au RGPD ?

  • La CNIL peut prononcer une amende de 10 millions et 2% du CA annuel de votre entreprise en cas, par exemple, de :

Mesures de sécurité insuffisantes (article 32), recours à un sous-traitant qui ne présenterait pas les garanties suffisantes, absence de clause dans le contrat RT/ST prévoyant les obligations du sous-traitant (article 28)

Non tenue d’un registre des activités de traitement (article 30), Non réalisation d’une analyse d’impact dans les cas où elle serait requise (article 35), Non désignation d’un DPD s’il est requis (article 37)

Absence de notification à l’autorité de contrôle et à la personne concernée en cas de violation de DCP (ou tardive) (articles 33 et 34)

  • La CNIL peut prononcer une amende de 20 millions et 4% du CA annuel de votre entreprise en cas, notamment, de :

Traitement ne respectant pas les « principes de base » (par ex: sans consentement de la personne concernée alors qu’il était requis) (articles 5, 6, 7 et 9), détournement de finalité etc…

Non-respect des droits des personnes (information, droit d’accès, droit de rectification, droit à l’affinement, droit à la portabilité...) (articles 12 à 22)

Ce niveau de sanction est un maximum pour la CNIL, d’autres peines sont parfois préférées par la CNIL comme la publication publique qui peut avoir un impact sur la réputation de l’entreprise, l’interdiction d’exploitation des fichiers de données…bien plus handicapant pour une entreprise. Quoiqu’il en soit, les autorités vont analyser si le montant final calculé répond aux exigences d'efficacité, de dissuasion et de proportionnalité ou si des ajustements supplémentaires du montant sont nécessaires. Enfin, l’autorité de contrôle compétente appréciera « chaque cas d’espèce » .

En 2021, la CNIL a reçu plus de 14 000 plaintes sur des sujets très différents. C’est pourquoi sa politique répressive se veut différenciée en réponse aux dernières modifications de la loi informatiques et libertés qui a pour ambition d’être plus souple quant aux sanctions.

La chaîne de sanction RGPD ordinaire

Tout d’abord, cela commence souvent par un signalement à travers des plaintes d’usagers, ou une auto saisine en fonction des thèmes et problématiques qu’elle a identifiés comme prioritaires. La saisine peut aussi venir de la presse, ou encore d'autres CNIL européennes dans le cadre de la coopération.

Puis, c’est le temps du contrôle (384 réalisés en 2021), sur place, en ligne (si les manquements sont visibles à distance), sur convocation avec l’audition des acteurs concernés ou enfin sur pièces.

La CNIL peut aussi intervenir a posteriori auprès des responsables de traitements des données personnelles pour vérifier sur place la mise en œuvre effective de la loi. Lors d’un contrôle, la CNIL va notamment s’intéresser à :

  • La finalité du traitement et sa base légale.
  • La nature des données collectées
  • Les moyens mis en œuvre pour garantir la sécurité des données,
  • Les durées de conservation

Que se passe-t-il après un contrôle ?

Dans le cadre de sa mission de contrôle (et/ou de sanction), la CNIL formulera peu ou pas d’observations en clôturant la plupart du temps le dossier. C’est la présidente de la CNIL qui décide de la suite à donner : la clôture de la procédure, les mesures correctrices et les sanctions. Attention, des contrôles ultérieurs peuvent être réalisés pour s’assurer de sa mise en conformité.

La CNIL peut aussi avertir un organisme ou le rappeler à l’ordre sur son traitement de données non encore opérationnel mais contraire ou susceptible de violer les dispositions du RGPD. Ce sont des mesures préventives permettant d’intervenir en amont.

En cas de manquements significatifs, le responsable de traitement peut être mis en demeure de se mettre en conformité dans un délai imparti. La mise en demeure est une décision de la Présidente de la CNIL qui énumère les manquements reprochés à l’organisme ainsi que les mesures qu’il doit prendre pour se mettre en conformité. Le délai imparti pour se mettre en conformité pouvait varier entre 24 heures (en cas d’extrême urgence) et 6 mois. Aujourd’hui, la procédure de mise en demeure a été ajustée. Les organismes ne sont plus soumis au plafond de 6 mois pour leur conformité mais un plafond de 12 mois.

L’organisme mis en demeure devra apporter une réponse étayée et fournir les justificatifs appuyant ses propos pour démontrer l’effectivité de sa mise en conformité.

Les types de sanctions RGPD

La formation restreinte de la CNIL peut, par procédure contradictoire, prononcer des sanctions, notamment pour les motifs suivants :

  • absence de réponse à la mise en demeure ;
  • absence de mise en conformité dans le délai imparti par la mise en demeure ;
  • manquements significatifs constatés.

Une procédure de sanction RGPD peut aussi être engagée sans mise en demeure préalable en cas de manquements significatifs.

En cas de manquements RGPD portés à la connaissance de la CNIL, les sanctions pouvant être prononcées sont :

  • Un rappel à l’ordre
  • Une injonction de mettre en conformité le traitement avec les dispositions de la loi Informatique et Libertés et du RGPD, ou une injonction de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits,
  • Une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation,
  • Le retrait d’une certification
  • La suspension d’un flux de données adressées à un destinataire situé dans un pays tiers
  • Une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d'affaires annuel mondial de la société.
  • La décision peut être rendue publique ou insérée dans un journal d’annonces légales ou sur le site de la CNIL

Récemment, en avril 2022, les procédures répressives de la CNIL ont été modifiées et une procédure simplifiée permet désormais de gérer les dossiers peu complexes

Une nouvelle procédure de sanction simplifiée

procédure sanction RGPD simplifiée (source CNIL)

La présidente de la CNIL peut décider d’orienter les dossiers peu complexes ou de faible gravité vers une procédure de sanction RGPD simplifiée. La CNIL est saisie d’une plainte ou réalise un contrôle. Puis après arbitrage de la présidente, il est décidé d’appliquer une sanction ou bien de clôturer le dossier, de faire un rappel des obligations légales, ou une mise en demeure. Si la décision s’oriente vers une sanction, un rapporteur sera désigné, c’est-à-dire un agent de la CNIL. Celui-ci va dresser une notification à l’organisme qui a 1 mois pour répondre et présenter ses observations.

En pratique, la présidente de la CNIL saisit alors le président de la formation restreinte et désigne un rapporteur parmi les agents de la CNIL, qui est chargé d’instruire le dossier. La mise en œuvre de cette procédure est allégée. En effet, il statue seul sans audience publique. Les sanctions prononcées sont également allégées :

  • rappel à l’ordre
  • amende ne dépassant pas 20 000 €
  • injonction avec astreinte plafonnée à 100 € par jour de retard.

Ces sanctions ne sont pas rendues publiques contrairement à la procédure ordinaire.

Les procédures et les sanctions peuvent être diverses...et il vaut quand même mieux les éviter. La solution est simple : respecter la vie privée et les données personnelles.

Si vous avez besoin d'aide pour votre mise en conformité, Contactez-nous !

Du même thème

Nous utilisons
des cookies.

Il s'agit de petits fichiers déposés sur votre machine pour un temps défini (et pas plus). Certains sont techniquement nécessaires, les autres sont utiles au bon fonctionnement de notre site ("statistiques").

En savoir plus

Ce site web,
comme la plupart,
utilise des cookies.

Vous pouvez les accepter ou vous y opposer, à vous de voir. Mais laissez-nous vous expliquer le pourquoi du comment, afin d'éclairer votre choix :

Sur internet, la collecte et le traitement des données sont omniprésents, et peuvent résulter d'une simple navigation sur un site web.....grâce à ces petites choses que l'on appelle les "Cookies". Il s'agit de petits fichiers déposés sur votre machine pour un temps défini (et pas plus), permettant de conserver des données relatives à votre navigation.
Comme notre site n'échappe pas à la règle, nous utilisons des Cookies.
Certains sont techniquements nécessaires. D'autres sont des outils pour analyser notre trafic (en prenant soin de ne pas vous identifier), utiles au bon fonctionnement de notre site et à sa sécurité. Vous pouvez accepter ou vous opposer à leur dépôt.

Les cookies nécessaires

Les cookies nécessaires contribuent à rendre un site Web utilisable en activant des fonctions de base comme la navigation de page et l'accès aux zones sécurisées du site Web. Le site Web ne peut pas fonctionner correctement sans ces cookies. C'est la raison pour laquelle votre consentement n'est pas requis.

Nom Fournisseur Expiration Type
dna_consent DNA 13 mois HTML
Stocke l'autorisation d'utilisation de cookies pour le domaine actuel par l'utilisateur.
dna_type DNA 10 minutes HTML
Ce cookie est utilisé pour distinguer les humains des robots.
dna_contact DNA 10 minutes JSON
Ce cookie est utilisé pour préremplir le formulaire de la page contact en fonction des actions de l'utilisateur.
SERVERID OVH Session HTML
Un cookie technique utilisé par notre hébergeur pour faire de la répartition de charge serveur.

Les cookies comme outils pour nos statistiques

Ces traceurs de mesure d'audience ont pour seul but l'élaboration de statistiques de fréquentation et de performance dans un souci de bon fonctionnement et d'amélioration de notre Site. Nous sommes les seuls à les utiliser, ils ne nous permettent pas un suivi global de votre navigation, et les statistiques émises sont strictement anonymes (réalisées par le biais de Matomo). Votre consentement n'est pas requis, mais vous pouvez vous opposer à leur utilisation en décochant la case correspondante. Cette opposition n'aura aucune incidence technique sur votre navigation.

Nom Fournisseur Expiration Type
_pk.id DNA - MATOMO 13 mois html
Utilisé pour stocker quelques détails à propos de l'utilisateur tel que son identifiant unique.
_pk.ses DNA - MATOMO 30 minutes HTML
Cookie à courte vie utilisé pour stocker temporaire des données sur la visite.
mtm_cookie_consent DNA - MATOMO 12 mois HTML
Est créé pour se souvenir du consementement de l'utilisateur pour stocker et utiliser des cookies statistiques.