Javascript is required
logo-dastralogo-dastra

Quelles sont les sanctions prévues en cas de manquement au RGPD ?

Quelles sont les sanctions prévues en cas de manquement au RGPD ?
Marine Boquien
Marine Boquien
21 août 2024·3 minutes de lecture

🚨 Téléchargez vite notre infographie et découvrez les étapes de la procédure de sanction !

Quelles sanctions peuvent être prononcées par la CNIL ?

La Commission Nationale de l'Informatique et des Libertés (CNIL) dispose de plusieurs mesures coercitives pour sanctionner les manquements au Règlement Général sur la Protection des Données (RGPD) ou à la loi Informatique et Libertés.

Après une procédure contradictoire menée par sa formation restreinte, la CNIL peut prononcer l'une ou plusieurs des sanctions suivantes :

  1. Rappel à l'ordre : Une simple mise en garde destinée à inciter à la conformité.
  2. Injonction de se mettre en conformité : Accompagnée éventuellement d'une astreinte financière pouvant aller jusqu'à 100 000 euros par jour de retard.
  3. Limitation ou interdiction de traitement : Imposée de façon temporaire ou définitive, voire le retrait d'une autorisation préalable.
  4. Retrait de certification : Lorsqu'une entité certifiée ne respecte plus les critères de certification.
  5. Suspension des flux de données : Arrêt temporaire ou définitif des transferts de données vers un pays tiers ou une organisation internationale.
  6. Suspension des BCR : Annulation partielle ou totale de l'approbation des règles d'entreprise contraignantes (Binding Corporate Rules - BCR).
  7. Amende administrative : Jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial de l'entreprise, montant pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires pour les infractions les plus graves.
  8. Publication de la décision : La formation restreinte peut choisir de rendre publique sa décision et ordonner sa diffusion dans des publications, journaux et supports qu'elle désigne, aux frais de l'organisme sanctionné.

Procédure de sanction simplifié

Pour les dossiers de faible gravité ou peu complexes, la CNIL peut recourir à une procédure dite de sanction simplifiée.

Dans cette hypothèse, le président de la CNIL désigne un rapporteur (chargé d'instruire la procédure) parmi les agents de la CNIL et en informe le président de la formation restreinte :

  • le président de la formation restreinte prend l’affaire ou la confie à un membre de la formation restreinte qu’il désigne ;
  • le responsable de traitement ou le sous-traitant mis en cause en est informé ;

Le président de la formation est destinataire de tous les documents lors de la procédure écrite entre le rapporteur et l’organisme mis en cause.

La procédure simplifiée est une procédure entièrement écrite et ne comporte pas de séance publique sauf si l'organisme mis en cause demande expressément à être entendu par la CNIL.

Les sanctions pouvant être prononcées (cumulativement) sont les suivantes :

  • rappel à l'ordre ;
  • amende maximale de 20 000 euros ;
  • injonction avec une astreinte plafonnée à 100 euros par jour de retard.

Ainsi, la CNIL dispose d'un éventail de mesures pour faire respecter la législation en matière de protection des données, en adaptant ses sanctions à la gravité des manquements constatés.

🚨 Téléchargez vite notre infographie et découvrez les étapes de la procédure de sanction !

Recevez votre document par mail

Ces informations nous sont utiles pour répondre à votre demande. Nous pourrons de temps en temps vous partager du contenu relatif à Dastra. Pour en savoir plus et exercer vos droits sur vos données, vous pouvez consulter notre Politique de confidentialité.

A propos de l'auteur
Marine Boquien
Marine Boquien
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.