Besoin d'aide

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut prononcer, après une procédure contradictoire, l'une ou plusieurs des mesures suivantes : 

• Un rappel à l'ordre.
• Une injonction de se mettre en conformité. Cette injonction peut être assortie d'une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard.
• Une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation.
• Le retrait d'une certification.
• La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale.
• Une suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes (BCR).
• Une amende administrative ne pouvant excéder 10 millions d'euros ou 2% du chiffre d'affaire annuel mondial de la société. Pour les manquements les plus graves, ce montant peut s'élever jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial.

La formation restreinte peut décider de rendre publique la décision qu'elle adopte. Elle peut également ordonner l'insertion, aux frais des organismes sanctionnés, de la décision dans des publications, journaux et supports qu'elle désigne.

A noter : Il existe désormais une procédure de sanction simplifiée pour les dossiers peu complexes ou de faible gravité.

La procédure est :

• Instruite par un rapporteur désigné par la présidente parmi les agents de la CNIL (et non parmi le collège de la Commission).
• Les sanctions ne peuvent pas être rendues publiques et sont limitées (rappel à l'ordre, amende d'un montant maximum de 20 000 euros, injonction avec astreinte plafonnée à 100 euros par jour de retard).
• Le président de la formation restreinte (ou un membre qu'il désigne) statue seul ;
• Aucune séance publique n'est organisée, sauf si l'organisme demande à être entendu.

En savoir plus : Les étapes de la procédure de sanction