Vous le savez, les sanctions liées au RGPD peuvent être importantes. C’est bien sûr la CNIL, l’autorité de contrôle de la conformité au RGPD en France, qui a la capacité de les prononcer en cas de manquement aux obligations du règlement européen.
Cependant, les sanctions prononcées par la CNIL sont variées et échelonnées en termes de gravité. La logique de l’attirail juridique sur la protection des données en Europe n’est en effet pas répressive. Le but est plutôt d’encourager les bonnes pratiques et de faire cesser les mauvaises.
Bien entendu, les sanctions RGPD peuvent néanmoins être très importantes puisqu’elles peuvent atteindre 20 millions d’euros et jusqu’à 4% du CA mondial d’une entreprise. Il est donc important de bien avoir en tête les sanctions que la CNIL peut prononcer d’une part et les procédures par lesquelles elles sont décidées d’autre part.
Sanctions RGPD : quelles sanctions peuvent être prononcées par la CNIL ?
On l’a dit, les sanctions RGPD qui peuvent être infligées à votre entreprise sont potentiellement très coûteuses. Néanmoins, il existe tout un éventail de mesures que la CNIL peut prendre pour faire respecter le RGPD en France.
- Rappel à l’ordre : tout simplement, la CNIL vous indique les manquements qui ont été repérés et vous invite à prendre des mesures rectificatives. Vous le voyez, l’objectif de cette première étape est bien de corriger le tir et non de punir.
- Injonction de mise en conformité : cette mesure ressemble un peu à la précédente, en plus officielle et surtout plus contraignante. En effet, l’injonction peut être prononcée sous astreinte.
- Limitation d’un traitement : la CNIL peut ordonner la limitation d’un traitement de données que vous opériez. Cette limitation peut être temporaire, par exemple le temps d’ajuster les mesures de sécurité ou de conformité, ou définitive.
- Suspension d’un flux de données : dans la même logique, la CNIL peut ordonner la suspension d’un flux de données. Par ce terme, il faut comprendre à la fois la collecte de données directement depuis les personnes concernées ou le transfert de données, à un sous-traitant RGPD par exemple.
- Satisfaction de l’exercice du droit des personnes : vous le savez, le RGPD impose de respecter et de faciliter l’exercice du droit des personnes, comme le droit d’opposition ou le droit à l’effacement des données, par exemple. Une fois encore, la CNIL peut ordonner cette prise en compte des droits des personnes sous astreinte.
- Amende administrative : l’amende n’est que la dernière sanction RGPD dans l’arsenal de la CNIL, qui fait figure de dernier ressort. Evidemment, cette “menace” n’est néanmoins pas à prendre à la légère et peut représenter un risque juridique important pour les entreprises. Les amendes administratives peuvent, en procédure ordinaire, atteindre comme on l’a vu 20 millions d’euros ou 4% du CA mondial de l’entreprise sanctionnée.
Toutes ces mesures que l’on vient d’énumérer ne sont pas prises n’importe comment par l’autorité de contrôle. Penchons-nous maintenant sur les procédures de sanctions de la CNIL qui nous éclairent sur son fonctionnement.
Quelles sont les procédures de sanction de la CNIL ?
On distingue deux procédures différentes qui peuvent conduire à la prononciation de sanctions de la part de la CNIL. Quel que soit le type de procédure, elle fait suite soit à un contrôle de la CNIL, soit au dépôt d’une plainte auprès de l’autorité,
La procédure de sanction ordinaire
La procédure de sanction dite “ordinaire” est la procédure ayant le plus de pouvoirs quant à la nature des sanctions qu’elle peut prononcer. Collégiale, elle s’organise autour d’une session publique d’audience dans laquelle l’entreprise peut bien évidemment intervenir pour se défendre, le cas échéant.
Cette procédure étant relativement longue et nécessitant la participation de nombreux membres de la CNIL, elle est doublée d’une procédure simplifiée qui traite des cas les plus simples et les moins graves.
La procédure simplifiée
La procédure de sanctions RGPD simplifiée est plus rapide et plus simple que la procédure ordinaire. Sans entrer dans le détail, notons qu’elle fait intervenir un nombre moins important de personnes, puisque dans certains cas le président de la formation restreinte statue seul sur les sanctions à prononcer.
Son pouvoir est cependant limité aux sanctions suivantes :
- Rappel à l’ordre ;
- Injonction à la mise en conformité avec une astreinte qui ne peut dépasser 100 € par jour de retard ;
- Prononciation d’une amende administrative dont le montant ne peut dépasser 20 000 €.
A noter également, les sanctions RGPD prononcées dans le cadre de la procédure simplifiée ne peuvent être rendues publiques.
Enfin, la procédure simplifiée ne comprend en principe pas d’audience publique, sauf si l’entreprise en fait la demande.
Evidemment, le mieux est encore d’éviter toutes les sanctions, quelles que soient leur nature. Pour cela, assurez-vous de recevoir dans votre boîte mail tous nos conseils et informations grâce à la newsletter Witik. Méthodes pratiques, interventions d’experts, évolutions législatives… le tout évidemment gratuitement !
