Les Sanctions

Les sanctions administratives prévues au GDPR :
  • 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu pour notamment:
    • Défaut de consentement de la personne concernée lorsqu’il est requis ;
    • Défaut de rendre anonyme des données personnelles en fin de traitement ;
    • Défaut de documentation (privacy by default, contrat de sous-traitant, registre, etc…) ;
    • Défaut de sécurité ou de documentation sur la sécurité ;
    • Défaut d’analyse d’impact lorsque nécessaire ;
  • 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé pour notamment :
    • Violation des principes de base du GDPR ;
    • Violation des droits des personnes concernées ;
    • Un transfert vers un pays non conforme au GDPR ;
    • Non-respect d’une injonction de l’autorité de protection des données personnelles.

 

Les sanctions pénales :

 

Les délits

Ces sanctions sont prévues aux articles 226-16 à 226-24 du code pénal.

Sont punis de cinq ans d’emprisonnement et de 300.000 euros d’amende notamment :

  • Le maintien d’un traitement ayant fait l’objet d’une limitation, d’une interdiction ou du retrait d’une autorisation (article 226-16 al. 2) ;
  • Le fait de traiter le numéro de sécurité sociale dans des hypothèses non autorisées par décret (article 226-16-1) ;
  • Le fait de ne pas prendre toute mesure utile pour préserver la sécurité, l’intégrité et la confidentialité des données à l’égard de tiers non autorisés à y accéder, de ne pas tenir compte du principe de protection des données dès la conception et protection des données par défaut ainsi que le fait de ne pas se conformer aux obligations relatives à la tenue d’un registre de contrôle et le fait de ne pas coopérer avec la CNIL pour l’exécution de ses missions (article 226-17) ;
  • Le fait pour un responsable de traitement de ne pas procéder à la notification d’une violation de données à caractère personnel à la Commission nationale de l’informatique et des libertés ou à l’intéressé, en méconnaissance l’article 58 de la loi informatique et liberté, ainsi que le fait pour un sous-traitant de ne pas notifier cette violation au responsable de traitement (article 226-17-1) ;
  • Le fait de collecter des données par un moyen frauduleux, déloyal ou illicite, par exemple, sans information complète des personnes ou sans avoir effectué les formalités obligatoires (article 226-18) ;
  • Le fait de traiter des données malgré l’opposition (le refus explicite ou tacite) des personnes concernée, exercée pour des motifs légitimes ou en matière de prospection commerciale (article 226-18-1) ;
  • Le fait de traiter des données dites « sensibles » sans le consentement explicite, préalable et informé des personnes, ou sans autorisation législative, ainsi que le fait de traiter sans autorisation législative des données concernant des infractions, des condamnations ou des mesures de sûreté (article 226-19), y compris lorsque ces traitements sont non automatisés ou « manuels » (article 226-23) ;
  • Le fait d’effectuer des traitements à des fins de recherche médicale sans informer les personnes concernées de leurs droits d’accès et d’opposition, de la nature des données traitées ainsi que des destinataires de ces données, ou malgré l’opposition ou en l’absence de consentement de ces personnes, ou, pour les personnes décédées, malgré leur refus exprimé de leur vivant (article 226-19-1) ;
  • Le fait de conserver des données au-delà de la durée prévue par la loi, le règlement, la demande d’autorisation ou d’avis, ou la déclaration préalable à la CNIL (article 226-20) ;
  • Le fait pour tout détenteur de données personnelles, de détourner leur traitement de sa finalité initiale telle qu’elle résulte de la loi, du règlement, de l’autorisation de la CNIL ou de la déclaration relative à ce traitement (article 226-21) ;
  • Le fait pour quiconque de détenir, sans le consentement de la personne concernée, des données personnelles dont la divulgation porterait atteinte à la considération ou à l’intimité de la vie privée de cette dernière, ainsi que le fait de porter de telles données à la connaissance d’un tiers non autorisé sans le consentement de la personne concernée (article 226-22) ;
  • Le fait, hors les cas prévus par le GDPR ou sans autorisation de la Commission européenne, de permettre un transfert de données personnelles vers un État non membre de l’Union européenne (article 226-22-1).

Dans tous les cas qui précédent, l’effacement de tout ou partie des données à caractère personne faisant l’objet du traitement ayant donné lieu à l’infraction peut être ordonnée par l’autorité judiciaire et constatée par la CNIL (article 226-23).

 

Les peines contraventionnelles pour défaut d’information des personnes

Sont punis d’une amende de 1.500 euros par infraction constatée, qui peut être portée à 3.000 euros par infraction en cas de récidive :

  • Le fait, lorsque l’information est exigée par la loi, de collecter ou de faire collecter des données personnelles sans avoir informé la personne concernée de :
  • l’identité du responsable de traitement et de son représentant ;
  • la finalité du traitement de ces données ;
  • le caractère obligatoire ou facultatif de la réponse ;
  • les conséquences à son égard d’un défaut de réponse ;
  • les catégories de personnes (morales ou physiques) destinataires des données ;
  • l’existence d’un droit d’opposition au traitement de ces données et d’un droit d’accès et de rectification de ses données ;
  • le cas échéant, les transferts de ces données hors de l’Union européenne.
  • Le fait, lorsque les données sont recueillies par voie de questionnaire, de ne pas porter sur le questionnaire les informations relatives à :
  • l’identité du responsable du traitement et, le cas échéant, à celle de son représentant;
  • la finalité poursuivie par le traitement auquel les données sont destinées ;
  • le caractère obligatoire ou facultatif des réponses ;
  • les droits d’opposition, d’interrogation, d’accès et de rectification des personnes auprès desquelles sont recueillies les données ;
  • Le fait de ne pas informer de manière claire et précise toute personne utilisatrice des réseaux de communications électroniques :
  • De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;
  • Des moyens dont elle dispose pour s’y opposer ;
  • Le fait de ne pas fournir à la personne concernée, lorsque les données à caractère personnel n’ont pas été recueillies auprès d’elle, les informations énumérées aux deux premiers paragraphes, dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données ;
  • Le fait de ne pas répondre aux demandes de la personne concernée souhaitant exercer son droit d’accès ou souhaitant obtenir les informations lui permettant de contester une décision ;
  • Le fait de ne pas procéder, lorsque la personne concernée le demande, à la rectification, la mise à jour ou l’effacement de ses données personnelles ;
  • Le fait de ne pas répondre aux demandes tendant à la mise en œuvre des droits prévus par le GDPR.

 

Entrave à l’action de la CNIL

Est puni d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés :

  • soit en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités;
  • soit en refusant de communiquer à ses membres ou aux agents habilités, les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;
  • soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.