Oui, les organismes publics peuvent être sanctionnés en cas de manquement au RGPD[1], mais chaque pays a la liberté de décider si des amendes peuvent leur être imposées.

« chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire. »

— RGPD, article 58-2, pouvoirs

La France a, par exemple, choisi de limiter les pouvoirs de la CNIL[2], l’autorité de contrôle française, et de ne pas lui permettre d’infliger une amende[3] ou une astreinte[4] aux organismes « dont le traitement est mis en œuvre par l’État ». Les organismes ayant une personne morale de droit public comme les établissements publics ou les collectivités territoriales ne sont cependant pas concernés par cette exception[5]. La RATP, qui est un « établissement public à caractère industriel et commercial », a, par exemple, déjà reçu une amende de la CNIL pour des manquements au RGPD[6].

La CNIL conserve, par ailleurs, ses autres pouvoirs de sanction[7] à l’encontre des organismes publics. La Commission les a d’ailleurs déjà utilisés contre :

  • le Ministère de l’Intérieur, car le Ministère utilisait des drones pour enregistrer des images de la population[8] ;
  • le rectorat de l’Académie de Normandie[9], car des données personnelles sur des lycéens ont été divulguées[9].

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  2. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  3. La CNIL ne peut pas imposer une amende administrative pour des manquements au RGPD si « le traitement est mis en œuvre par l’État » (source : Loi Informatique et Libertés, article 20-III-7).
  4. La CNIL ne peut pas imposer une astreinte pour des manquements au RGPD si « le traitement est mis en œuvre par l’État » (source : Loi Informatique et Libertés, article 20-III-2).
  5. La définition des organismes « dont le traitement est mis en œuvre par l’État » n’est pas proposée, mais la CNIL m’a précisé que cette définition s’applique « au sens strict » et que les « personnes morales de droit public telles que les établissements publics et les collectivités territoriales » ne sont pas concernées.
  6. La RATP a été sanctionnée par la CNIL pour des manquements au RGPD malgré le fait que son statut est un « établissement public à caractère industriel et commercial » (source : CNIL, SAN-2021-019, 29 octobre 2021, RATP). Voir « La RATP sanctionnée pour n’avoir pas restreint l’accès aux données personnelles de ses salariés ».
  7. Les autres pouvoirs de sanction de la CNIL, en cas de non respect du RGPD, sont par exemple la mise en demeure ou une obligation de mise en conformité. Voir « Que risque-t-on en cas de non-respect du RGPD ? ».
  8. La CNIL a rappelé à l’ordre le Ministère de l’Intérieur le 12 janvier 2021 suite à l’enregistrement d’images de la population avec des drones (source : CNIL, SAN-2021-003, 12 janvier 2021, Ministère de l’Intérieur). Voir « Le Ministère de l’Intérieur rappelé à l’ordre suite à l’enregistrement d’images de la population avec des drones ».
  9. La CNIL a rappelé à l’ordre le rectorat de l’académie de Normandie, car des données personnelles ont été envoyées par e-mail sans chiffrement (source : CNIL, SAN-2020-006, 3 septembre 2020, Rectorat de l’académie de Normandie). Voir « Le rectorat de l’académie de Normandie rappelé à l’ordre pour avoir divulgué des données personnelles sur des lycéens ».