La procédure de sanction


A l'issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL peut prononcer des sanctions à l'égard des responsables de traitements qui ne respecteraient pas ces textes.

Différents types de sanctions

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :

  • Prononcer un rappel à l’ordre ;
  • Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;
  • Prononcer une amende administrative. 

La formation restreinte

La formation restreinte de la CNIL est composée de 5 membres et d’un Président distinct du Président de la CNIL.

>Les membres de la formation restreinte

Elle peut prononcer diverses sanctions à l’égard des responsables de traitement qui ne respecteraient pas la loi.

Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.

Ces sanctions peuvent être rendues publiques.

>Les sanctions prononcées par la CNIL

Les voies de recours

À compter de la date de notification de la décision de la formation restreinte, l'organisme mis en cause dispose d'un délai de deux mois pour former un recours devant le Conseil d'État contre la décision de la CNIL.

Les mots clés associés à cet article