procédures sanctions non respect rgpd
Fondamentaux RGPD

Quelles sont les sanctions pour non-respect du RGPD ?

En France, les sanctions pour non-respect du RGPD sont prononcées par la CNIL selon une procédure encadrée, contradictoire et progressive. L’objectif est d’abord de faire cesser la non-conformité puis, si nécessaire, de sanctionner l’organisme.

Ce qu’il faut retenir

  • En cas de manquement au RGPD ou à la loi Informatique et Libertés, la CNIL peut mettre en demeure ou sanctionner les organismes.
  • Les sanctions sont prononcées à l’égard du responsable de traitement et/ou des sous-traitants.
  • La sanction maximale peut aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel, en plus d’être rendue publique.
  • Dans certains cas de faible gravité, une procédure simplifiée (moins sanctionnée) peut être privilégiée.

Le cabinet de conseil RGPD Lexagone vous permet d’anticiper les contrôles et de réduire le risque de sanction pour non-respect du RGPD. Nous vous aidons à identifier vos failles avant qu’elles ne deviennent un risque pour votre structure.

PARLER À UN EXPERT

Les procédures de sanction de la CNIL pour non-respect du RGPD

procédures sanctions non respect rgpd

La CNIL sanctionne pour  faire respecter les obligations du RGPD dans un objectif de protection de données personnelles

La CNIL privilégie d’abord la mise en conformité volontaire, mais peut prononcer des sanctions importantes en cas de manquement grave ou persistant. Elle dispose de deux procédures de sanctions différentes (ordinaire et simplifiée) pour garantir le respect de la vie privée.

Les sanctions prévues par la procédure ordinaire

La procédure ordinaire est le bras armé de la CNIL pour les dossiers complexes ou les manquements majeurs au RGPD ou à la loi Informatique et Libertés. Les décisions sont prises par une formation restreinte (cinq membres et un président indépendant de la présidence de la CNIL).

C’est la procédure qui expose au plus haut risque financier : le montant des sanctions pécuniaires peut atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial d’une entreprise (le montant le plus haut est retenu).

Au-delà de l’amende administrative, la formation restreinte dispose d’un arsenal coercitif varié :

  • Rappel à l’ordre formel.
  • Injonction de mise en conformité (souvent assortie d’une astreinte financière par jour de retard).
  • Limitation, voire suspension immédiate, des traitements de données ou des flux transfrontaliers.
  • Publicité de la sanction : une mesure qui peut impacter durablement la réputation et la confiance des clients, patients ou usagers.

800 ORGANISMES NOUS FONT CONFIANCE. ET VOUS ?

Hôpitaux, EHPAD, groupes, collectivités… Depuis 19 ans, Lexagone adapte son accompagnement RGPD à chaque contexte. Parlons du vôtre.

Adresse e-mail non valide

Les sanctions prévues par la procédure simplifiée

Pour d’autres dossiers où les manquements ne nécessitent pas d’investigations poussées ou les manquements évidents ne nécessitant pas d’investigations poussées, la CNIL utilise la procédure simplifiée. Elle permet de statuer rapidement via le président de la formation restreinte (ou un membre désigné) agissant seul.

Les sanctions prévues sont moins nombreuses et moins sévères. Elles restent néanmoins un signal fort de non-conformité :

  • Le rappel à l’ordre reste possible.
  • L’injonction de mise en conformité peut être assortie d’une astreinte plafonnée à 100 € par jour.
  • L’amende administrative est limitée à 20 000 €.

Comment se passe un contrôle de la CNIL ?

contrôle cnil non respect du rgpd

Le contrôle peut se passer sur place ou à distance, complété de pièces justificatives

Un contrôle de la CNIL peut-être déclenché suite à une plainte ou dans le cadre de son programme de vérification. Pour une transparence totale avec les structures contrôlées, le processus complet est détaillé dans la charte des contrôles de la CNIL.

Selon la situation, l’autorité peut utiliser quatre formes de contrôle, pouvant être utilisées de manière complémentaire :

  • Le contrôle sur place: les agents se déplacent directement dans les locaux. C’est la forme la plus intrusive, permettant de vérifier physiquement la sécurité des serveurs et d’interroger les collaborateurs.
  • L’audition sur convocation: les représentants (souvent le DPO et le service juridique) sont invités dans les bureaux de la CNIL pour répondre aux questions des contrôleurs.
  • Le contrôle en ligne: la CNIL agit à distance pour vérifier ce qui est accessible au public (politique de confidentialité, bandeau de cookies, formulaires de collecte).
  • Le contrôle sur pièces: l’autorité adresse un questionnaire précis et demande la communication de documents (registre des traitements, contrats de sous-traitance, rapports d’audit).

Après le contrôle

Après le contrôle, si la CNIL considère que le manquement a cessé, le dossier peut être clôt. En revanche si ce n’est pas le cas, la structure sera sommée de se mettre en conformité

Une fois les investigations terminées, le président de la CNIL dispose de plusieurs options adaptées à la gravité des constations :

  • La clôture de la procédure: si tout est en ordre, un courrier officiel confirme la fin de l’investigation sans suite particulière.
  • L’avertissement ou le rappel aux obligations légales: la CNIL ne sanctionne pas encore, mais elle prend une mesure préventive pour signaler des points d’amélioration immédiats.
  • La mise en demeure: c’est une injonction formelle de mise en conformité dans un délai imparti (souvent un à trois mois). Il ne s’agit pas encore d’une sanction financière, mais elle en est l’ultime étape.

Si, à l’issue du délai, les injonctions de la mise en demeure ne sont pas respectées, le président de la commission peut engager une procédure de sanction pour non-respect du RGPD (ordinaire ou simplifiée).

Une bonne gouvernance, des audits RGPD réguliers et des mesures de sécurité adaptées permettent de réduire significativement le risque de sanction. Qu’il s’agisse de réaliser vos AIPD ou de piloter votre conformité en tant que DPO externalisé, nos experts transforment vos obligations en un gage de confiance pour vos clients, usages, collaborateurs,….

PARLER À UN EXPERT

FAQ : vos questions fréquentes sur le RGPD

Qui la CNIL peut-elle contrôler ?

Tout organisme, public ou privé, est susceptible d’être contrôlé dès lors qu’il traite des données personnelles de résidents français ou qu’il dispose d’un établissement en France. Cela concerne aussi bien les TPE et PME que les grands groupes, les associations ou les administrations.

Dans quel cas une coopération européenne est-elle prévue ?

La coopération est obligatoire pour les traitements transfrontaliers. Si votre entreprise possède des établissements dans plusieurs pays de l’UE ou si votre traitement de données impacte de manière significative des citoyens de plusieurs États membres, la CNIL doit coordonner sa décision avec ses homologues européens pour garantir une sanction uniforme à l’échelle de l’Union.

Quelles sont les voies de recours en cas de sanction pour non-respect du RGPD ?

Si vous faites l’objet d’une sanction pour non-respect du RGPD, vous disposez d’un délai de deux mois pour déposer un recours devant le Conseil d’État. Le juge a alors le pouvoir d’annuler la sanction, mais aussi d’en réduire le montant s’il juge que la réponse de la CNIL est disproportionnée par rapport aux faits.

Auteur Morgane Horreard

Morgane Horreard est DPO externe au sein du cabinet Lexagone, et spécialisée dans les problématiques de santé, e-santé et recherche clinique. Elle accompagne les établissements de santé, les acteurs de la recherche et les entreprises dans la mise en conformité de leurs traitements de données avec le RGPD et les exigences réglementaires spécifiques au secteur.

Plus d'articles de Morgane Horreard