Oui, les organismes publics peuvent être sanctionnés en cas de manquement au RGPD[1], mais chaque pays peut décider si des amendes peuvent leur être imposées.

« chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire. »

— RGPD, article 58-2, pouvoirs

La France a, par exemple, choisi de limiter les pouvoirs de la CNIL[2], l’autorité de contrôle française, et de ne pas lui permettre d’infliger une amende[3] ou une astreinte[4] aux organismes « dont le traitement est mis en œuvre par l’État ».

La CNIL conserve cependant ses autres pouvoirs de sanction[5] envers les organismes publics et les a déjà utilisé contre, par exemple, le Ministère de l’Intérieur[6] ou le rectorat de l’Académie de Normandie[7].

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  3. La CNIL ne peut pas imposer une amende administrative pour des manquements au RGPD si « le traitement est mis en œuvre par l’État » (source : Loi Informatique et Libertés, article 20-III-7).
  4. La CNIL ne peut pas imposer une astreinte pour des manquements au RGPD si « le traitement est mis en œuvre par l’État » (source : Loi Informatique et Libertés, article 20-III-2).
  5. Les autres pouvoirs de sanction de la CNIL, en cas de non respect du RGPD, sont par exemple la mise en demeure ou une obligation de mise en conformité. Voir « Que risque-t-on en cas de non-respect du RGPD ? ».
  6. La CNIL a rappelé à l’ordre le Ministère de l’Intérieur à deux reprises en 2021 (source : CNIL, SAN-2021-003 du 12 janvier 2021 et SAN-2021-016 du 24 septembre 2021). Voir « Le Ministère de l’Intérieur rappelé à l’ordre suite à l’utilisation de drones » et « Le Ministère de l’Intérieur rappelé à l’ordre à propos du Fichier Automatisé des Empreintes Digitales (FAED) ».
  7. La CNIL a rappelé rectorat de l’académie de Normandie à l’ordre le Voir « Le rectorat de l’académie de Normandie rappelée à l’ordre pour avoir divulgué des données personnelles sur des lycéens ».