Javascript is required
logo-dastralogo-dastra

RGPD : Comment éviter les sanctions de la CNIL ?

RGPD : Comment éviter les sanctions de la CNIL ?
Marine Boquien
Marine Boquien
24 février 2025·7 minutes de lecture

Sanctions en cas de non-conformité au RGPD

Le non-respect du Règlement Général sur la Protection des Données (RGPD) peut entraîner de lourdes sanctions. En France, c’est la CNIL qui veille à son application et peut infliger des amendes conséquentes en cas de manquement.

Depuis l’entrée en vigueur du RGPD le 25 mai 2018, les entreprises ne respectant pas leurs obligations s’exposent à des sanctions pouvant atteindre 20 millions d’euros ou 4 % de leur chiffre d’affaires annuel. Outre l’impact financier, elles risquent également une atteinte à leur réputation, notamment en cas de fuite de données.

Pour éviter ces sanctions, il est essentiel pour les entreprises de se conformer aux exigences du RGPD. La désignation d’un DPO (Data Protection Officer) peut faciliter cette mise en conformité en assurant le respect des règles en vigueur. De plus, l’utilisation d’un outil dédié comme Dastra permet d’automatiser et de structurer la gestion de la conformité, simplifiant ainsi la mise en place des bonnes pratiques et le suivi des obligations réglementaires.

Demander une démo

Les sanctions prononcées par la CNIL ?

Lorsqu'un manquement au RGPD ou à la législation en vigueur est signalé à la CNIL, la formation restreinte de l'autorité peut, après une procédure contradictoire, imposer l'une ou plusieurs des sanctions suivantes :

  • Un simple rappel à l'ordre.
  • Une injonction de mise en conformité, accompagnée éventuellement d'une astreinte, dont le montant peut atteindre 100 000 euros par jour de retard.
  • Une restriction temporaire ou définitive du traitement des données, une interdiction de ce traitement, ou le retrait d'une autorisation.
  • Le retrait d'une certification.
  • La suspension des transferts de données vers un destinataire situé dans un pays tiers ou une organisation internationale.
  • La suspension partielle ou totale de l'approbation des règles d'entreprise contraignantes (BCR).
  • Une amende administrative pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial de l'entité concernée. En cas de manquements graves, cette amende peut être portée à 20 millions d'euros ou 4% du chiffre d'affaires mondial.
  • La formation restreinte peut également choisir de rendre publique la décision prise et ordonner la publication de celle-ci dans des supports ou journaux désignés, aux frais de l'entité sanctionnée.

Procédure simplifiée de sanction :

Il existe une procédure allégée pour les cas moins complexes ou moins graves :

  • Elle est conduite par un rapporteur désigné par la présidente parmi les agents de la CNIL (et non parmi les membres du collège de la Commission).
  • Les sanctions dans ce cadre ne sont pas rendues publiques et sont limitées (rappel à l'ordre, amende maximum de 20 000 euros, injonction avec astreinte plafonnée à 100 euros par jour de retard).
  • Le président de la formation restreinte (ou un membre qu'il désigne) statue seul, sans séance publique, sauf si l'organisme concerné demande à être entendu.

Les sanctions RGPD de la CNIL :

  • Le 5 décembre 2024, la CNIL a infligé une amende de 240 000 euros à la société KASPR pour avoir collecté les coordonnées d’utilisateurs sur LinkedIn, alors que ces derniers en avaient restreint l’accès.
  • Le 14 novembre 2024, la CNIL a infligé une amende de 50 millions d’euros à la société ORANGE pour avoir diffusé des publicités entre les courriels des utilisateurs de sa messagerie électronique sans leur consentement.
  • Le 17 octobre 2024, la CNIL a adressé un rappel à l’ordre au ministère de l’Intérieur et des Outre-mer ainsi qu’au ministère de la Justice en raison de leur gestion insuffisante du fichier de traitement des antécédents judiciaires (TAJ).
  • Le 26 septembre 2024, la CNIL a sanctionné les sociétés COSMOSPACE et TELEMAQUE pour conservation excessive de données personnelles, collecte de données sensibles sans consentement valide et non-respect des règles régissant la prospection commerciale.
  • Le 5 septembre 2024, la CNIL a infligé une amende de 800 000 euros à la société CEGEDIM SANTÉ pour avoir traité des données de santé sans autorisation.
  • Le 22 juillet 2024, en collaboration avec la CNIL, l’autorité néerlandaise de protection des données a infligé une amende de 290 millions d’euros aux sociétés UBER B.V. et UBER TECHNOLOGIES INC. pour avoir transféré des données personnelles en dehors de l’UE sans garanties adéquates.
  • Le 2 juillet 2024, en collaboration avec la CNIL, l’autorité lituanienne de protection des données a infligé une amende de 2 385 276 euros à la société Vinted UAB pour divers manquements affectant les utilisateurs de sa plateforme.
  • Le 4 avril 2024, la CNIL a infligé une amende de 525 000 euros à la société HUBSIDE.STORE pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans vérifier que les personnes concernées avaient donné un consentement valide pour être démarchées.
  • Le 31 janvier 2024, la CNIL a infligé une amende de 310 000 euros à la société FORIOU pour avoir utilisé des données fournies par des courtiers en données à des fins de prospection commerciale, sans s'assurer que les personnes concernées avaient donné un consentement valide pour être démarchées.

Comment garantir sa conformité au RGPD ?

Les organisations concernées doivent respecter six principes fondamentaux :

1 - Collectez uniquement les données nécessaires Les données personnelles ne doivent être collectées que pour un objectif précis, légitime et clairement défini. Le principe de finalité interdit leur réutilisation à d’autres fins incompatibles avec l’objectif initial. Le principe de minimisation, quant à lui, impose de limiter la collecte aux seules informations strictement indispensables.

2 - Assurez une transparence totale Les individus doivent être informés dès la collecte de leurs données de l’usage qui en sera fait. Aucune donnée ne peut être recueillie à leur insu. Il est également impératif de leur communiquer leurs droits et les moyens de les exercer.

3 - Facilitez l’exercice des droits des personnes Les personnes concernées doivent pouvoir accéder, rectifier ou supprimer leurs données, et s’opposer à leur traitement si elles le souhaitent (sauf exceptions légales). Les entreprises doivent mettre en place des procédures claires et réactives pour répondre rapidement à ces demandes, notamment via un canal électronique dédié.

4 - Définissez des durées de conservation précises Les données ne peuvent être conservées indéfiniment. Elles doivent être supprimées, anonymisées ou archivées une fois l’objectif atteint, dans le respect des obligations légales.

5 - Sécurisez les données et gérez les risques Il est primordial de mettre en place des mesures de sécurité adaptées pour protéger les données, qu’il s’agisse de sécurité informatique, de contrôle des accès, ou de protection physique des locaux et équipements. Seules les personnes autorisées doivent y avoir accès.

6 - Adoptez une démarche de conformité continue La conformité au RGPD est un processus évolutif. Il est essentiel de vérifier régulièrement que les traitements de données restent conformes, que les mesures de sécurité sont respectées et que les procédures internes s’adaptent aux évolutions réglementaires.

Mise en conformité : un enjeu clé pour les entreprises

Respecter ces principes est essentiel pour éviter les sanctions financières et préserver la confiance des clients et partenaires. L’adoption d’outils spécialisés comme Dastra permet d’optimiser la gestion de la conformité et d’assurer un suivi efficace des obligations réglementaires.

A propos de l'auteur
Marine Boquien
Marine Boquien
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter.