NTIC Conseils

Sanction / Contentieux CNIL

Depuis le 25 avril 2018, date d’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), l’ensemble des entreprises ont l’obligation de se mettre en conformité avec le nouveau règlement européen. Ce nouveau règlement alourdi les sanctions encourues par les organismes ne respectant pas la règlementation. L’assistance par un avocat au cours de la procédure contentieuse devant la CNIL est vivement recommandée pour protéger au mieux les intérêts de l’organisme.

Nos prestations

Notre cabinet vous accompagne

en amont de toute procédure afin de mettre en conformité votre entreprise à la règlementation relative au droit des données à caractère personne et ainsi éviter toute sanction de la CNIL.

Nous vous accompagnons

au cours des contrôles effectués au sein de vos locaux ou à distance par les agents de l’autorité française mais également tout au long de la procédure contentieuse afin d’éviter toute sanction, pécuniaire ou non.

I. Le contentieux de la CNIL

A. Les contrôles de la CNIL

Pour contrôler la conformité d’un organisme à la règlementation relative aux données à caractère personnel, la CNIL effectue différents types de contrôles.

Ces contrôles sont déterminés selon :

  • Les plaintes reçues. Un contrôle est effectué à la suite du dépôt d’une plainte d’un individu auprès de la CNIL.
  • Les thèmes prioritaires dégagés par la CNIL chaque année. Le programme annuel débouchant sur un rapport d’activité.
  • Les faits d’actualité annoncés dans la presse ou sur internet
  • La coopération avec d’autres autorités de contrôle européennes ou autorités nationales telles que la DGCCRF ou le défenseur des droits.

La CNIL a la possibilité de mener quatre types de contrôles :

Un contrôle sur place

Lors du contrôle sur place des agents de la CNIL se déplacent auprès de l’organisme à contrôler pour avoir directement accès aux traitements de données à caractère personnel mis en œuvre.

Un contrôle en ligne

Les agents de la CNIL effectuent un contrôle en ligne sans se déplacer dans les locaux de l’entreprise. Ils consultent les informations disponibles en ligne, par exemple, sur le site internet de l’organisme et constatent les violations de la règlementation applicable directement à distance.

Un contrôle sur convocation

Les agents de la CNIL convoquent le responsable de traitement ou sous-traitant afin d’auditionner leurs représentants sur des éventuels manquements en matière de protection des données à caractère personnel.

Un contrôle sur pièces

Les agents de la CNIL adressent un courrier au responsable de traitement ou sous-traitant afin d’analyser la conformité ou les manquements sur réponses écrites.

B. La procédure de sanction CNIL

A l’issu du contrôle, lorsqu’aucune observation n’a été soulevée, le contrôle est clôturé.

En revanche, si la CNIL constate des manquements à la règlementation, elle peut prononcer une mise en demeure ou sanctionner directement l’organisme, sans mise en demeure préalable.

Suite à la mise en demeure, l’entreprise dispose d’un délai de six à douze mois maximum pour se mettre en conformité. Lorsque l’organisme a pris les mesures nécessaires pour se mettre en conformité, la CNIL clôture la mise en demeure.

Sinon, une procédure de sanction s’ouvre.

La présidente de la CNIL désigne un rapporteur et saisit la formation restreinte. Le dossier est alors instruit par le rapporteur désigné qui propose certaines mesures. Le rapport est ensuite notifié à l’organisme qui dispose d’un délai d’un mois pour faire des observations à la suite duquel le rapporteur a la faculté de répondre dans un délai de quinze jours. De nouvelles observations peuvent être effectuées par l’organisme dans un délai de quinze jours à l’issu duquel se tient la séance de la formation restreinte.

La formation restreinte de la CNIL peut ne pas prononcer de sanction et clôturer la procédure ou décider de prononcer une sanction.

Une fois la sanction CNIL prononcée, un recours devant le Conseil d’État est possible dans un délai de deux mois.

II. Les sanctions de la CNIL

A. Les différents types de sanction CNIL

La CNIL a la possibilité de prononcer quatre types de sanctions.

1
1
Une sanction pécuniaire

La CNIL a la possibilité de prononcer une amende administrative. Avec l’entrée en vigueur du RGPD, le montant des amendes a été considérablement alourdi. Désormais, le montant des sanctions peut selon les cas, s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.

2
2
Une sanction non pécuniaire

Au titre des sanctions non pécuniaires, la CNIL a la possibilité de :

  • Prononcer un avertissement visant à informer l’organisme que le traitement de données à caractère personnel qu’il effectue viole le RGPD
  • Prononcer un rappel à l’ordre
  • Enjoindre de mettre les traitements de données à caractère personnel en cause, en conformité, éventuellement sous astreinte.
  • Limiter temporairement ou interdire définitivement un traitement
  • Suspendre les flux de données en dehors de l’Union européenne
3
3
Rendre publique ou non la décision

La CNIL a la faculté de rendre publique la sanction pécuniaire ou non pécuniaire prononcée à l’encontre de l’organisme. Cette mesure a un impact considérable sur la réputation et l’image de l’entreprise.

B. Quelques exemples de sanctions CNIL

Parmi les délibérations rendues publiques par la CNIL en 2019, cinq sanctions pécuniaires ont été prononcées :

pour des manquements aux obligations de transparence, d’information et de recueil du consentement (Pour lire la délibération de la CNIL)

pour des manquements aux obligations d’assurer la sécurité des données à caractère personnel et de conserver les données pour une durée proportionnée (Pour lire la délibération de la CNIL)

pour des manquements aux obligations de veiller à l’adéquation, à la pertinence et au caractère non excessif des données, aux obligations d’information des personnes, de sécurité et de confidentialité des données (Pour lire la délibération de la CNIL)

pour des manquements aux obligations de d’adéquation, pertinence et limitation du traitement des données aux finalités pour lesquelles elles ont été collectées, aux obligations d’information des personnes, de respect du droit d’opposition, de coopération avec l’autorité de contrôle et d’encadrement des transferts de données en hors de l’Union européenne (Pour lire la délibération de la CNIL)

Contactez-nous

Notre cabinet vous accompagne sur toutes les problématiques liées aux données personnelles et propriété intellectuelle

01 84 14 52 02

Avec votre consentement nous utilisons des cookies pour faciliter votre expérience avec nos services et analyser notre trafic. Vous pouvez gérer ou retirer votre consentement à tout moment. Vous pouvez paramétrer les cookies en cliquant sur le bouton ci-dessous. Pour plus d’informations sur l’utilisation des cookies, vous pouvez consulter notre Politique des cookies.