Fil d'actualité du Service Informatique et libertés du CNRS

Correspondant Informatique et Libertés

Centre national de la recherche scientifique

Accueil du siteCNILPouvoir de sanction

Pouvoir de sanction

Page publiée le 7 novembre 2011, mise à jour le 27 septembre 2016

Lors de manquements sérieux au respect de la loi Informatique et libertés, la CNIL a le pouvoir de prononcer des sanctions administratives ou financières. Dans ce cas, la CNIL se réunit en formation contentieuse pour prononcer les sanctions prévues à l’article 45 de la loi. Les sanctions pénales prévues aux articles 226-16 à 226-24 du Code pénal peuvent aussi s’appliquer, la CNIL ayant la possibilité de dénoncer au Procureur de la République les infractions à la loi dont elle a connaissance.

Un arrêt du Conseil d’Etat reconnaît à la CNIL la qualité de tribunal dans l’exercice de son pouvoir de sanction, au sens de l’article 6 de la Cour Européenne des Droits de l’Homme.

 Les règles du jeu

Lorsque des manquements à la loi sont portés à sa connaissance, la formation contentieuse de la CNIL peut prononcer à l’égard du responsable de traitement fautif

  • Un avertissement , qui peut être rendu public.

Dans l’hypothèse où le Président de la CNIL a, au préalable, prononcé une mise en demeure, et que le responsable de traitement ne s’y est pas conformé, la formation contentieuse peut prononcer, à l’issue d’une procédure contradictoire :

  • Une sanction pécuniaire (sauf pour les traitements de l’État) d’un montant maximal de 150.000€, et, en cas de récidive, jusqu’à 300.000 €. Cette sanction peut être rendue publique ; la formation contentieuse peut également ordonner l’insertion de sa décision dans la presse, aux frais de l’organisme sanctionné.
  • Une injonction de cesser le traitement.
  • Un retrait de l’autorisation accordée par la CNIL en application de l’article 25 de la loi

En cas d’urgence et d’atteinte aux droits et libertés définies à l’article 1er de la loi, la formation contentieuse peut décider, à l’issue d’une procédure contradictoire :

  • l’interruption de mettre en œuvre le traitement,
  • le verrouillage des données pour trois mois.
  • pour certains fichiers sensibles de l’Etat, l’information du Premier Ministre afin qu’il prenne les mesures nécéssaires pour mettre fin aux manquements.

En cas d’atteinte grave et immédiate aux droits et libertés, le président de la CNIL peut demander, par référé, à la juridiction compétente, d’ordonner toute mesure de sécurité nécessaire.

A compter de la date de notification de la décision de la formation contentieuse, l’organisme mis en cause dispose d’un délai de deux mois pour former un recours devant le Conseil d’État contre la décision de la CNIL.

https://www.cnil.fr/fr/la-procedure-de-sanction-de-la-cnil

 Les sanctions

Base légale infractions à la loi de 1978 modifiée Amendes maxiEmprisonnement maxi
Art. 51 de la loi de 1978 L’entrave aux actions de la CNIL. 15 000€ 1 an
Art. 226-16 du code pénal La mise en œuvre d’un traitement de données à caractère personnel sans avoir accompli de déclaration. 300 000€ 5 ans
Art. 226-17 du code pénal La mise en œuvre d’un traitement de données à caractère personnel sans avoir pris les mesures utiles pour préserver la sécurité des données. 300 000€ 5 ans
Art. 226-18 du code pénal La collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite. 300 000€ 5 ans
Art. 226-18-1 du code pénal La mise en oeuvre d’un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de celle-ci. 300 000€ 5 ans
Art. 226-19-1 du code pénal Le fait de procéder à un traitement ayant pour fin la recherche dans le domaine de la santé sans respecter les obligations légales. 300 000€ 5 ans
Art. 226-20 du code pénal La conservation ou le traitement des données à caractère personnel au-delà de la durée autorisée. 300 000€ 5 ans
Art. 226-21 du code pénal Le fait de détourner des informations de leur finalité déclarée. 300 000€ 5 ans
Art. 226-22 du code pénal La communication d’informations à caractère personnel à des personnes non autorisées. 300 000€ 5 ans

Voir aussi :

PDF - 172.9 ko
Fondements juridiques de la responsabilité pénale
PDF - 297.5 ko
Responsabilité pénale