Mission 4 - Contrôler et sanctionner
La CNIL peut contrôler les organismes. En cas de manquements constatés, elle peut décider de les mettre en demeure ou de les sanctionner.
Le contrôle
Le contrôle constitue un moyen privilégié d’intervention auprès des responsables de traitement de données personnelles. Il permet à la CNIL de vérifier sur place la mise en œuvre concrète de la loi. Le programme des contrôles est élaboré en fonction des thèmes d’actualité et des grandes problématiques (actualité, nouvelles technologies) dont la CNIL est saisie.
Les chiffres en 2024
321
contrôles dont 166 contrôles sur place, 99 contrôles en ligne, 44 contrôles sur pièces et 12 contrôles sur audition.
Les agents de la CNIL témoignent
J’ai rejoint la CNIL en 2023 après avoir travaillé près de trois ans au sein de la Commission de Protection des Données Personnelles (CDP) du Sénégal.
Ces premiers mois m’ont déjà permis de gagner en expertise sur la fonction d’auditrice des systèmes d’informations. En effet, j’ai eu l’opportunité d’effectuer plus des contrôles sur le terrain, de découvrir des méthodologies de contrôle comme la procédure de contrôle en ligne, de réfléchir sur des thématiques de contrôles, d’assister à une procédure de blocage judiciaire d’un site web et d’être associée aux défis et enjeux actuels de la CNIL telle que l’intelligence artificielle.
Vous l’aurez compris, le temps passe très vite au sein du service des contrôles tant les sujets à traiter sont nombreux et variés. Nul doute que l’année 2024 sera aussi passionnante. Pour ma part, je suis prête cette année encore à mener l’enquête !
Aminata
Auditrice SI au service des contrôles – affaires économiques
L’avertissement
L’avertissement est une nouvelle « mesure correctrice » prévue par le RGPD, introduite en droit français par la loi du 20 juin 2018 : la présidente de la CNIL peut avertir un organisme que le traitement de données qu’il envisage, à un stade où celui-ci n’est pas encore opérationnel, est susceptible de méconnaître les textes applicables. Il ne s’agit donc pas d’une sanction, mais d’une mesure visant à éviter, à titre préventif, le déploiement du dispositif.
Le rappel aux obligations légales
Depuis le 24 janvier 2022, la présidente de la CNIL a la possibilité de rappeler un organisme à ses obligations légales lorsque ce dernier ne respecte pas le RGPD ou la loi.
Les mises en demeure
La présidente de la CNIL a la possibilité de mettre en demeure des organismes qui ne respectent pas des dispositions du RGPD ou de la loi de se mettre en conformité dans un délai imparti. Ces mises en demeure peuvent être rendues publiques selon la gravité des manquements constatés ou du nombre de personnes concernées.
Les chiffres en 2024
180
mises en demeure
En savoir plus
Les procédures de sanction de la CNIL
A l'issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la présidente de la CNIL peut engager une procédure de sanction, ordinaire ou simplifiée.
La procédure de sanction ordinaire
Lorsqu’une procédure de sanction ordinaire est engagée, la formation restreinte de la CNIL peut prononcer des sanctions à l'égard des responsables de traitements qui ne respecteraient pas ces textes.
La formation restreinte de la CNIL est composée de 5 membres et d’un président distinct du président de la CNIL.
Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :
- prononcer un rappel à l’ordre ;
- enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
- limiter temporairement ou définitivement un traitement ;
- suspendre les flux de données ;
- ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;
- prononcer une amende administrative.
Les sanctions prononcées par la CNIL
Les chiffres en 2024
87
sanctions dont 75 amendes pour un montant cumulé de :
55 212 400 euros
La procédure de sanction simplifiée
Une procédure de sanction simplifiée ne peut être engagée que dans l’hypothèse d’un dossier peu complexe ou de faible gravité. Dans cette procédure, le président de la formation restreinte (ou un membre qu’il désigne) statue seul.
Les sanctions susceptibles d’être prononcées dans la procédure simplifiée sont moins nombreuses et moins sévères que celles encourues dans la procédure ordinaire. Elles ne peuvent par ailleurs jamais être rendues publiques.
Le président de la formation restreinte peut :
- prononcer un rappel à l’ordre ;
- enjoindre de mettre le traitement en conformité, y compris sous astreinte d’un montant maximal de 100 € par jour de retard ;
- prononcer une amende administrative d’un montant maximal de 20 000 €.
Les voies de recours applicables aux deux procédures de sanction
À compter de la date de notification de la décision de la formation restreinte ou du président de la formation restreinte, l'organisme mis en cause dispose d'un délai de deux mois pour former un recours devant le Conseil d'État contre la décision de la CNIL.