La procédure de mise en demeure


Une mise en demeure est une procédure qui intervient après une plainte ou un contrôle et ne constitue pas une sanction.

Qu’est-ce qu’une mise en demeure ?

Une mise en demeure est une injonction du président de la CNIL adressée à un responsable de traitement ou à un sous-traitant, de cesser un ou plusieurs manquement(s) constaté(s) au règlement général sur la protection des données (RGPD) dans un délai fixé. Elle intervient après une plainte reçue par la CNIL ou un contrôle (en ligne ou sur place) effectué auprès d’un organisme.

Une mise en demeure n’est pas une sanction.

Le président peut demander qu'il soit justifié de la mise en conformité dans un délai qui est fixé dans la mise en demeure. Ce délai ne peut être inférieur à 10 jours, sauf en cas d’urgence, où il peut être de 24 heures.

La mise en demeure reprend les faits et les manquements constatés par la CNIL et détaille ce qui est attendu des responsables de traitements ou sous-traitants concernés pour se mettre en conformité.

La publicité d’une mise en demeure

Une mise en demeure peut être publique. Dans ce cas, le bureau de la CNIL, composé du président et des vice-présidents, adopte une délibération dans laquelle il explique les raisons pour lesquelles il décide de rendre publique la mise en demeure.

La mise en demeure publique fait l’objet d’un communiqué synthétique sur le site de la CNIL et la décision est publiée sur Légifrance. Celle-ci est anonymisée au bout de 2 ans mais reste toujours accessible sur Légifrance.

Si l’organisme s’est mis en conformité, la clôture de la mise en demeure est également rendue publique et anonymisée au bout de deux ans.

Les suites possibles

Lorsque la mise en demeure demande à l’organisme de justifier de sa mise en conformité, les suites dépendent de la réponse de l’organisme :

  1. Si la réponse de l’organisme, accompagnée des justificatifs adéquats, est satisfaisante et qu’elle répond aux exigences de la mise en demeure, un courrier de clôture de mise en demeure lui est adressé. Dans ce cas, la procédure de contrôle est alors également clôturée.
  2. Si la réponse de l’organisme n’est pas complètement satisfaisante mais que quelques actions supplémentaires peuvent permettre une mise en conformité, un courrier de demande de compléments peut lui être envoyé afin de clarifier certains points.
  • Si la réponse de l’organisme n’est pas satisfaisante dans le délai imposé, ou si l’organisme ne répond pas à la mise en demeure, une procédure sanction pourra être directement engagée à l’encontre de l’organisme
  • Si l’organisme répond à cette demande de compléments dans le délai indiqué dans le courrier et que la réponse correspond aux exigences de la mise en demeure, alors un courrier de clôture de mise en demeure lui sera adressé.
  1. Si l’organisme ne répond pas au courrier dans le délai imparti ou que la réponse ne répond toujours pas aux exigences de la mise en demeure, une procédure de sanction pourra être engagée à l’encontre de l’organisme.

Même lorsque la mise en demeure ne demande pas à l’organisme de justifier de sa mise en conformité, il doit toujours s’être mis en conformité à l’issue du délai fixé.

A savoir 

Un nouveau contrôle peut être effectué, notamment à l’issue du délai fixé pour vérifier que l’organisme s’est bien mis en conformité ou même après une décision de clôture de mise en demeure afin de vérifier la conformité de l’organisme avec le règlement général sur la protection des données.

Les manquements les plus couramment relevés dans les mises en demeure

  • Le non-respect de la pertinence de la collecte des données pouvant conduire à une collecte de données non justifiée ou excessive ;

 

Par exemple, un site de vente en ligne collecte le statut marital ou le numéro de sécurité sociale d’un client pour effectuer une commande d’un produit sur son site internet.

En savoir plus

  • Le non-respect de l’information des personnes et de la transparence 

En savoir plus

  • La collecte de données sensibles sans consentement préalable des personnes concernées 
  • Le non-respect des durées de conservation

Les données personnelles ne peuvent être conservées de façon indéfinie dans les fichiers informatiques : une durée de conservation doit donc être déterminée en fonction de l’objectif ayant conduit à la collecte de ces données. Une fois cet objectif atteint, ces données devraient être archivées, supprimées ou anonymisées (afin notamment de produire des statistiques).

En savoir plus

  • Le non-respect de la sécurité

Les responsables de traitement et sous-traitants sont tenus de mettre en œuvre des mesures techniques et organisationnelles afin de garantir la sécurité des données traitées.

En savoir plus