Les pouvoirs de sanction de la CNIL

 

Précédent : Les pouvoirs de contrôle
Suite : Les missions d’information

 

Les pouvoirs de sanction de la CNIL

1. – La modification de la loi en 2004 a considérablement augmenté les prérogatives de la CNIL en matière de sanctions sanctions, et en particulier pécuniaires. La loi établit aujourd’hui une gradation des mesures permettant à la CNIL de sanctionner en fonction des manquements constatés :

  • l’avertissement,
  • la mise en demeure,
  • la sanction pécuniaire,
  • l’injonction de cesser le traitement ou le retrait d’autorisation,
  • l’interruption du traitement,
  • le verrouillage de certaines données,
  • l’information du Premier ministre,
  • la saisine du juge des référés,
  • la publicité des sanctions.
La procédure est définie aux articles 45 et suivants de la loi :

Article 45

I. – La formation restreinte de la Commission nationale de l’informatique et des libertés peut prononcer, après une procédure contradictoire, un avertissement à l’égard du responsable d’un traitement qui ne respecte pas les obligations découlant de la présente loi. Cet avertissement a le caractère d’une sanction.
Le président de la commission peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu’il fixe. En cas d’urgence, ce délai peut être ramené à cinq jours.
Si le responsable du traitement se conforme à la mise en demeure qui lui est adressée, le président de la commission prononce la clôture de la procédure.
Dans le cas contraire, la formation restreinte peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes :
1° Une sanction pécuniaire, dans les conditions prévues par l’article 47, à l’exception des cas où le traitement est mis en œuvre par l’État ;
2° Une injonction de cesser le traitement, lorsque celui-ci relève des dispositions de l’article 22, ou un retrait de l’autorisation accordée en application de l’article 25.

II. – Lorsque la mise en œuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l’article 1er, la formation restreinte peut, après une procédure contradictoire, engager une procédure d’urgence, définie par décret en Conseil d’État, pour :
1° Décider l’interruption de la mise en œuvre du traitement, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui sont mentionnés aux I et II de l’article 26 ou de ceux mentionnés à l’article 27 mis en œuvre par l’État ;
2° Prononcer un avertissement visé au premier alinéa du I ;
3° Décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui sont mentionnés aux I et II de l’article 26 ;
4° Informer le Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est au nombre de ceux qui sont mentionnés aux mêmes I et II de l’article 26 ; le Premier ministre fait alors connaître à la formation restreinte les suites qu’il a données à cette information au plus tard quinze jours après l’avoir reçue.

III. – En cas d’atteinte grave et immédiate aux droits et libertés mentionnés à l’article 1er, le président de la commission peut demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.

Article 46

Les sanctions prévues au I et au 1° du II de l’article 45 sont prononcées sur la base d’un rapport établi par l’un des membres de la Commission nationale de l’informatique et des libertés, désigné par le président de celle-ci parmi les membres n’appartenant pas à la formation restreinte. Ce rapport est notifié au responsable du traitement, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la formation restreinte mais ne prend pas part à ses délibérations. La formation restreinte peut entendre toute personne dont l’audition lui paraît susceptible de contribuer utilement à son information, y compris, à la demande du secrétaire général, les agents des services.

La formation restreinte peut rendre publiques les sanctions qu’elle prononce. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu’elle désigne aux frais des personnes sanctionnées. Le président de la commission peut demander au bureau de rendre publique la mise en demeure prévue au deuxième alinéa du I de l’article 45. Lorsque le président de la commission prononce la clôture de la procédure dans les conditions définies au troisième alinéa du même I, la clôture fait l’objet de la même mesure de publicité que celle, le cas échéant, de la mise en demeure.

Les décisions prises par la formation restreinte au titre de l’article 45 sont motivées et notifiées au responsable du traitement. Les décisions prononçant une sanction peuvent faire l’objet d’un recours de pleine juridiction devant le Conseil d’État.

Article 47

Le montant de la sanction pécuniaire prévue au I de l’article 45 est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement.
Lors du premier manquement, il ne peut excéder 150 000 €. En cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, il ne peut excéder 300 000 € ou, s’agissant d’une entreprise, 5 % du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300 000 €.

Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s’impute sur l’amende qu’il prononce.

Les sanctions pécuniaires sont recouvrées comme les créances de l’État étrangères à l’impôt et au domaine.

Article 48

Les pouvoirs prévus à l’article 44 ainsi qu’au I, au 1° du II et au III de l’article 45 peuvent être exercés à l’égard des traitements dont les opérations sont mises en œuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d’un autre État membre de la Communauté européenne.

Article 49

La commission peut, à la demande d’une autorité exerçant des compétences analogues aux siennes dans un autre État membre de l’Union européenne, procéder à des vérifications dans les mêmes conditions que celles prévues à l’article 44, sauf s’il s’agit d’un traitement mentionné aux I ou II de l’article 26.

Le président de la commission ou la formation restreinte peuvent, à la demande d’une autorité exerçant des compétences analogues aux leurs dans un autre État membre de l’Union européenne, prendre les décisions mentionnées aux articles 45 à 47 et dans les conditions prévues par ces mêmes articles, sauf s’il s’agit d’un traitement mentionné aux I ou II de l’article 26.

La commission est habilitée à communiquer les informations qu’elle recueille ou qu’elle détient, à leur demande, aux autorités exerçant des compétences analogues aux siennes dans d’autres États membres de la Communauté européenne.

Lire la suite : Les missions d’information

Le plan de l'article :

- La CNIL
- Les pouvoirs de décision et de proposition de la CNIL
- Les pouvoirs de donner des avis et des recommandations
- Les pouvoirs de contrôle
- Les pouvoirs de sanction
- Les missions d'information
- Les missions de réflexion et d'assistance

Thiébaut Devergranne
Thiébaut Devergranne
Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

Ils nous ont fait confiance

logo Deloitte
logo starbucks
logo orange bank
logo vinci
logo nokia
logo sanofi
logo sncf
Automatisez votre conformité RGPD
Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
VOS CGV (gratuites)