Quelles sanctions sont prévues par la CNIL en cas de non-conformité aux RGPD ?

  • La CNIL est chargée du contrôle des dispositions du RGPD en France et peut prendre des mesures coercitives en cas de non-conformité.
  • Les sanctions administratives peuvent aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires pour le non-respect des obligations liées au traitement des données personnelles.
  • Des sanctions pénales peuvent également être mises en place, pouvant aller jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende.

Depuis sa mise en vigueur le 24 mai 2018, le Règlement général sur la Protection des Données (RGPD) est un dispositif qui permet d’encadrer le traitement et la circulation des données à caractère personnel dans l’espace européen. Rappelons-le, le RGPD est un dispositif qui s’applique à toute entité exerçant sur le territoire européen qui traite des données personnelles que ce soit pour son propre compte ou à d’autres fins. Cependant, l’application du RGPD concerne toutes les entreprises, peu importe leur taille ou leur effectif. En effet, dès lors que vous utilisez l’Internet pour analyser l’action de vos internautes se trouvant dans l’UE, vous avez l’obligation de respecter les exigences qui s’y rapportent, faute de quoi, vous serez soumis aux sanctions qui en découlent.

Les prérogatives de la CNIL

Quelles sanctions sont prévues par la CNIL en cas de non-conformité aux RGPD ?

En France, la Commission nationale de l’informatique et des libertés (CNIL) est l’autorité ayant en charge le contrôle des dispositions du RGPD. À travers son rôle de contrôle, elle reste vigilante, dissuade et prend des mesures coercitives vis-à-vis des entreprises et des sous-traitants qui n’auraient pas respecté les textes. Si par le passé, la CNIL ne pouvait sanctionner administrativement, elle en a la possibilité aujourd’hui. L’objectif à travers les sanctions est d’accompagner les entreprises à se mettre en règle.

Notez cependant que l’article 58 du RGPD fait mention des pouvoirs qui sont dévolus à la CNIL. Ainsi, son intervention doit être en fonction de la gravité des fautes commises. Les sanctions se déclinent de la façon suivante : avertissement ou mise en demeure et rappel des règles, injonction, ordre de cessation immédiate des fautes, limitation ou suspension temporaire des traitements, sanctions administratives et pénales.

En l’espèce, si vous vous retrouvez dans l’un des cas suscités, il est conseillé de faire appel à un cabinet d’avocat ou se faire assister par un avocat spécialisé en rgpd et données personnelles. La mission de l’avocat est de vous conseiller par rapport aux nouvelles obligations qui incombent à toutes structures par rapport au RGPD.

Les sanctions administratives

L’article 83 du RGPD détaille les conditions facilitant les sanctions administratives. Cependant, toute sanction administrative doit obéir à ces préalables. Les sanctions administratives sont à deux niveaux :

  • Amende de 10 millions d’euros ou 2 % du chiffre d’affaires pour le non-respect des obligations qui incombent au responsable du traitement et au sous-traitant, à l’organisme de certification et de suivi des codes de conduite
  • Amende de 20 millions d’euros ou 4 % du chiffre d’affaires pour le non-respect de l’obligation de consentement et les autres droits des personnes concernées, etc

Les sanctions pénales

Lorsque les obligations relatives au RGPD ne sont pas respectées, les victimes ou toute personne ayant un intérêt peuvent poursuivre l’entreprise. C’est l’article 84 du RGPD qui précise que les États membres de l’UE ont la possibilité de mettre en place des sanctions complémentaires en cas de violation des dispositions du RGPD.

Les sanctions pénales sont explicitées par les articles 226-16 à 226-2 du Code pénal sur les atteintes aux droits de la personne. Compte du niveau des infractions, les peines peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende.

Bon à savoir : depuis sa mise en vigueur dans l’espace européen, l’amende la plus élevée a été prononcée contre Google par la CNIL le 21 janvier 2019 pour un montant de 50 000 000 €. Il est reproché à Google d’avoir manqué de transparence en n’informant pas de manière claire et précise les utilisateurs et pour n’avoir recueilli expressément leur consentement.

  • Manuel de survie du RGPD
  • RGPD simple et pratique: Guide visuel pour conprendre et appliquer le règlement général sur la protection des données