En cas de non-respect du RGPD, les contrevenants peuvent être sanctionnés par l’autorité de contrôle de son pays, c’est-à-dire la CNIL pour la France.

La sanction peut être :

  • un simple rappel à l’ordre ;
  • une obligation de mise en conformité ;
  • une obligation de satisfaire aux droits[1] des personnes ;
  • une obligation d’avertir les personnes que leurs données ont été compromises ;
  • une obligation de suppression des données ;
  • le retrait d’une certification ;
  • la limitation du traitement, notamment si les données sont envoyées dans un pays tiers ;
  • l’arrêt temporaire ou définitif du traitement de données ;
  • une amende[2].

« Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes :
a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement ;
b) rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement ;
c) ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du présent règlement ;
d) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé ;
e) ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel ;
f) imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement ;
g) ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement […] ;
h) retirer une certification ou ordonner à l’organisme de certification de retirer une certification délivrée […], ou ordonner à l’organisme de certification de ne pas délivrer de certification […] ;
i) imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas ;
j) ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale. »

— RGPD, article 58-2, pouvoirs

Ces sanctions peuvent être complétées par des dispositions spécifiques à chaque pays.

« Chaque État membre peut prévoir, par la loi, que son autorité de contrôle dispose de pouvoirs additionnels à ceux visés aux paragraphes 1, 2 et 3. »

— RGPD, article 58-6, pouvoirs

La France a, par exemple, donné le pouvoir à la CNIL d’exiger la mise en conformité d’un traitement avec une astreinte pouvant aller jusqu’à 100 000 € par jour de retard.

« Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du [RGPD] ou de la [Loi informatique et Liberté], [la CNIL] peut également [prononcer] l’une ou de plusieurs des mesures suivantes :
2° Une injonction de mettre en conformité le traitement […], qui peut être assortie […] d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard […] ; »

Ces sanctions sont applicables à toute personne ou organisme traitant des données à caractère personnel. Chaque pays de l’UE peut cependant décider si des amendes peuvent être appliquées, ou non, aux organismes publics. Voir XXX

Notes et références

  1. Le RGPD donne un certain nombre de droits aux personnes comme le droit d’obtenir une copie des données ou le droit de demander la suppression des données. Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  2. Le montant de l’amende dépend des manquements constatés et certains facteurs spécifiques. Voir « Comment est calculé le montant de l’amende en cas de non-respect du RGPD ? ».
Voir les sigles et acronymes
  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données