Sanction

À l'issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL ou son président peuvent prononcer des sanctions à l'égard des responsables de traitements qui ne respecteraient pas ces textes.

Concernant la procédure ordinaire, avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :

• prononcer un rappel à l’ordre ;
• enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
• limiter temporairement ou définitivement un traitement ;
• suspendre les flux de données ;
• ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;
• prononcer une amende administrative.

Concernant la procédure simplifiée, la loi Informatique et Libertés prévoit des sanctions moins nombreuses et moins sévères que celles encourues dans la procédure ordinaire. Ces sanctions ne peuvent par ailleurs jamais être rendues publiques.

Dans ce cadre, le président de la formation restreinte peut :

• prononcer un rappel à l’ordre ;
• enjoindre de mettre le traitement en conformité, y compris sous astreinte d’un montant maximal de 100 € par jour de retard ;
• prononcer une amende administrative d’un montant maximal de 20 000 €.