Article 84
Sanctions

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 84 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 84 keyboard_arrow_up

(148) Afin de renforcer l'application des règles du présent règlement, des sanctions y compris des amendes administratives devraient être infligées pour toute violation du présent règlement, en complément ou à la place des mesures appropriées imposées par l'autorité de contrôle en vertu du présent règlement. En cas de violation mineure ou si l'amende susceptible d'être imposée constitue une charge disproportionnée pour une personne physique, un rappel à l'ordre peut être adressé plutôt qu'une amende. Il convient toutefois de tenir dûment compte de la nature, de la gravité et de la durée de la violation, du caractère intentionnel de la violation et des mesures prises pour atténuer le dommage subi, du degré de responsabilité ou de toute violation pertinente commise précédemment, de la manière dont l'autorité de contrôle a eu connaissance de la violation, du respect des mesures ordonnées à l'encontre du responsable du traitement ou du sous-traitant, de l'application d'un code de conduite, et de toute autre circonstance aggravante ou atténuante. L'application de sanctions y compris d'amendes administratives devrait faire l'objet de garanties procédurales appropriées conformément aux principes généraux du droit de l'Union et de la Charte, y compris le droit à une protection juridictionnelle effective et à une procédure régulière.

(149) Les États membres devraient pouvoir déterminer le régime des sanctions pénales applicables en cas de violation du présent règlement, y compris de violation des dispositions nationales adoptées en application et dans les limites du présent règlement. Ces sanctions pénales peuvent aussi permettre la saisie des profits réalisés en violation du présent règlement. Toutefois, l'application de sanctions pénales en cas de violation de ces dispositions nationales et l'application de sanctions administratives ne devrait pas entraîner la violation du principe ne bis in idem tel qu'il a été interprété par la Cour de justice.

(150) Afin de renforcer et d'harmoniser les sanctions administratives applicables en cas de violation du présent règlement, chaque autorité de contrôle devrait avoir le pouvoir d'imposer des amendes administratives. Le présent règlement devrait définir les violations, le montant maximal et les critères d'établissement des amendes administratives dont elles sont passibles, qui devraient être fixés par l'autorité de contrôle compétente dans chaque cas d'espèce, en prenant en considération toutes les caractéristiques propres à chaque cas et compte dûment tenu, notamment, de la nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures prises pour garantir le respect des obligations découlant du règlement et pour prévenir ou atténuer les conséquences de la violation. Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. Lorsque des amendes administraives sont imposées à des personnes qui ne sont pas une entreprise, l'autorité de contrôle devrait tenir compte, lorsqu'elle examine quel serait le montant approprié de l'amende, du niveau général des revenus dans l'État membre ainsi que de la situation économique de la personne en cause. Il peut en outre être recouru au mécanisme de contrôle de la cohérence pour favoriser une application cohérente des amendes administratives. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l'objet d'amendes administratives. L'application d'une amende administrative ou le fait de donner un avertissement ne portent pas atteinte à l'exercice d'autres pouvoirs des autorités de contrôle ou à l'application d'autres sanctions en vertu du présent règlement.

(151) Les systèmes juridiques du Danemark et de l'Estonie ne permettent pas d'imposer des amendes administratives comme le prévoit le présent règlement. Les règles relatives aux amendes administratives peuvent être appliquées de telle sorte que, au Danemark, l'amende est imposée par les juridictions nationales compétentes sous la forme d'une sanction pénale et en Estonie, l'amende est imposée par l'autorité de contrôle dans le cadre d'une procédure de délit, à condition qu'une telle application des règles dans ces États membres ait un effet équivalent aux amendes administratives imposées par les autorités de contrôle. C'est pourquoi les juridictions nationales compétentes devraient tenir compte de la recommandation formulée par l'autorité de contrôle qui est à l'origine de l'amende. En tout état de cause, les amendes imposées devraient être effectives, proportionnées et dissuasives.

Afficher les considérants de la Directive 95/46 liés à l'article 84 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 84 keyboard_arrow_up

(55) considérant que, en cas de non-respect des droits des personnes concernées par le responsable du traitement de données, un recours juridictionnel doit être prévu par les législations nationales; que les dommages que peuvent subir les personnes du fait d'un traitement illicite doivent être réparés par le responsable du traitement de données, lequel peut être exonéré de sa responsabilité s'il prouve que le fait dommageable ne lui est pas imputable, notamment lorsqu'il établit l'existence d'une faute de la personne concernée ou d'un cas de force majeure; que des sanctions doivent être appliquées à toute personne, tant de droit privé que de droit public, qui ne respecte pas les dispositions nationales prises en application de la présente directive.

Le GDPR

L’article 84 du Règlement n’innove pas. Il reprend le principe déjà présent dans la Directive : les États membres doivent déterminer le régime des sanctions applicables en cas de violations au Règlement –en particulier celles non soumises à des sanctions administratives en vertu de l’article 83 et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions doivent être effectives, proportionnées et dissuasives.

La seule véritable nouveauté est que chaque État membre devra notifier à la Commission les dispositions qu'il aura adoptées en vertu du paragraphe 1, au plus tard 2 ans après la publication du Règlement, et, sans délai, toute modification ultérieure les affectant.

La Directive

La Directive ne contenait qu’une disposition générale (art. 24) imposant aux États de prendre des mesures appropriées pour assurer la pleine application de ses dispositions et déterminer notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente Directive.

Belgique

La loi belge, outre des dispositions pénales spécifiques visées par les articles 37 à 42 de la loi du 8 décembre 1992, ne reconnaissait pas à la Commission de la protection de la vie privée la possibilité de prendre elle-même des sanctions à l’égard des responsables ou sous-traitants.

Difficultés probables ?

Les divergences de sanction entre États membres pourraient être dommageables à une protection harmonisée, mais l’imposition du système d’amende administrative prévu à l’article 83 dans chacun des États membres devrait limiter ces conséquences.

Sommaire

Union Européenne

Union Européenne

Groupe 29

Lignes directrices sur l’application et la fixation des amendes administratives - wp253 (3 octobre 2017)

(Approuvées par le CEPD)

L’Union européenne a mené à bien une réforme approfondie de la réglementation relative à la protection des données en Europe. Cette réforme repose sur plusieurs piliers (éléments clés): des règles cohérentes, des procédures simplifiées, des actions coordonnées, la participation des utilisateurs, une information plus efficace et des pouvoirs renforcés d’application des règles.

Les responsables du traitement et les sous-traitants sont plus que jamais chargés de veiller à la protection effective des données à caractère personnel des individus. Les autorités de contrôle sont investies de pouvoirs pour garantir que les principes du règlement général sur la protection des données (ci-après le «règlement») ainsi que les droits des personnes concernées sont respectés conformément à l’esprit et à la lettre du règlement.

L’application cohérente des règles relatives à la protection des données est essentielle à un régime harmonisé de protection des données. Les amendes administratives sont au coeur du nouveau régime d’application introduit par le règlement. Elles constituent un élément efficace de la panoplie dont les autorités de contrôle disposent pour faire respecter la réglementation, parallèlement aux autres mesures prévues par l’article 58.

Le présent document vise à aider les autorités de contrôle, auxquelles il est destiné, à améliorer l’application du règlement et à mieux le faire respecter. Il reflète leur compréhension commune des dispositions de l’article 83 du règlement ainsi que son interaction avec les articles 58 et 70 et les considérants correspondants.

En particulier, l’article 70, paragraphe 1, point e), prévoit que le comité européen de la protection des données (ci-après le «CEPD») est habilité à publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l’application cohérente du présent règlement. L’article 70, paragraphe 1, point k), précise la disposition pour ce qui est des lignes directrices concernant la fixation des amendes administratives.

Les présentes lignes directrices ne sont pas exhaustives et ne fournissent pas d’explications sur les différences entre les systèmes administratifs, civils ou pénaux lors de l’imposition de sanctions administratives en général.

Afin d’assurer une approche cohérente de l’imposition des amendes administratives, qui reflète de manière adéquate l’ensemble des principes énoncés dans les présentes lignes directrices, le CEPD a convenu d’une définition commune des critères d’évaluation visés à l’article 83, paragraphe 2, du règlement. Le CEPD et chaque autorité de contrôle conviennent donc d’utiliser les présentes lignes directrices dans le cadre d’une approche commune.

Lien

Sommaire

Belgique

France

Belgique

Jurisprudence belge

C. const. Be, n°3/2021 (14 janvier 2021)

1. La seule circonstance que le RGPD laisse une marge de manœuvre pour infliger ou non des amendes administratives aux autorités publiques, sans offrir cette même marge de manœuvre à l’égard des personnes privées, ne suffit pas à conclure que la première catégorie de personnes et la seconde catégorie de personnes ne seraient pas suffisamment comparables au regard de la législation relative aux données à caractère personnel.

Dès lors, d’une part, que la notion de « responsable de traitement » de données à caractère personnel, au sens de l’article 4, point 7, du RGPD, s’applique indistinctement au secteur privé et au secteur public et, d’autre part, que les données à caractère personnel qui sont traitées par les deux catégories de personnes peuvent être identiques quant à leur nature et qu’elles concernent des données relatives notamment à l’identité, à la santé et à la situation financière de personnes, les deux catégories visées sont suffisamment comparables.

2. L’imposition d’amendes administratives à des autorités publiques en charge d’une mission d’intérêt général est susceptible de mettre en péril l’exercice de cette mission et, par conséquent, de porter atteinte à la continuité du service public, en raison du poids financier qui y est attaché. Nonobstant l’obligation, découlant de l’article 83, paragraphe 2, du RGPD, pour l’Autorité de protection des données, de prendre en compte une série d’éléments concrets lors de son examen de l’opportunité d’infliger des amendes administratives, y compris la finalité d’intérêt général des missions exercées par le responsable de traitement, l’exonération de toute amende constitue une mesure pertinente par rapport aux objectifs poursuivis par le législateur.

Saisissant la faculté offerte par le droit européen d’exonérer certaines personnes publiques des amendes administratives, le législateur a pu raisonnablement estimer qu’il n’était pas nécessaire de soumettre au système des amendes administratives les autorités publiques et leurs préposés ou mandataires autres que les personnes morales de droit public qui offrent des biens ou des services sur un marché.

3. Il convient aussi de rappeler que les amendes administratives visant à sanctionner le non- respect des obligations en matière de protection des données ne sont qu’indirectement liées au respect effectif du droit des individus à la protection de leurs données à caractère personnel. Cette protection spécifique fait l’objet du régime de la responsabilité civile des responsables de traitement, contenu dans l’article 82 du RGPD. Le droit de toute personne à obtenir réparation des préjudices subis, sous forme de dommages et intérêts, est ouvert indistinctement contre les entreprises privées et contre les autorités publiques visées par la disposition attaquée.

4. L’examen de la compatibilité de la disposition attaquée avec les articles 7, 8, 20, 21, paragraphe 1, et 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne, avec l’article 16, paragraphe 1, du Traité sur le fonctionnement de l’Union européenne, avec le principe général d’égalité et de non-discrimination en droit de l’Union européenne, avec l’article 8 de la Convention européenne des droits de l’homme et avec les articles 83 et 84 du RGPD ne mène pas à une autre conclusion.

5. Il convient aussi de rappeler que les amendes administratives visant à sanctionner le non- respect des obligations en matière de protection des données ne sont qu’indirectement liées au respect effectif du droit des individus à la protection de leurs données à caractère personnel. Cette protection spécifique fait l’objet du régime de la responsabilité civile des responsables de traitement, contenu dans l’article 82 du RGPD. Le droit de toute personne à obtenir réparation des préjudices subis, sous forme de dommages et intérêts, est ouvert indistinctement contre les entreprises privées et contre les autorités publiques visées par la disposition attaquée.

6. L’article 83, paragraphe 7, du RGPD, tel qu’il est appliqué par la disposition attaquée, n’a ni pour objet ni pour effet de faire obstacle au respect du droit primaire de l’Union européenne. La faculté offerte aux États membres d’exclure certaines autorités publiques du champ d’application des amendes administratives est fondée sur un critère objectif et n’est pas dénuée de justification raisonnable, étant donné qu’elle ne porte pas atteinte au pouvoir des autorités de contrôle de prendre des mesures correctrices conformément à l’article 58, paragraphe 2, du RGPD. Cette disposition ne peut dès lors être tenue pour invalide. Si elle limite le nombre de mesures coercitives permettant de garantir le respect du RGPD, elle ne porte pas atteinte, en soi, au droit à la protection de la vie privée et des données à caractère personnel.

Arrêt rendu

France

Jurisprudence française

CE Fr., n°354629 (12 mars 2014)

1. La Société Foncia Groupe a mis un traitement de données à caractère personnel à disposition des entités qui lui sont liées, décidé de la nature des données collectées et déterminé les droits d'accès à celles-ci puis, après le contrôle de la Commission nationale de l'informatique et des libertés (CNIL),a fixé la durée de conservation des données et apporté des correctifs à leur traitement. Ainsi, cette société, qui détermine les finalités et les moyens du traitement, doit être regardée comme le responsable du traitement, la désignation d'un correspondant à la protection des données par les autres entités n'ayant pas, par elle-même, pour effet de rendre celles-ci responsables des traitements.

2. En vertu des dispositions de l'article 44 de la loi n° 78-17 du 6 janvier 1978 et de l'article 61 du décret n° 2005-1309 du 20 octobre 2005, lorsque des membres ou agents de la Commission nationale de l'informatique et des libertés (CNIL) opèrent un contrôle dans des locaux servant à la mise en œuvre d'un traitement de données à caractère personnel, le procureur territorialement compétent doit en être informé, au plus tard vingt-quatre heures avant le contrôle.

3. En l'espèce, si l'information a été communiquée au procureur territorialement compétent à 15 heures pour un contrôle qui a débuté le lendemain à 9 heures 15, soit dans un délai inférieur de cinq heures quarante-cinq minutes au délai de vingt-quatre heures prescrit, cette circonstance, dont il n'est pas établi ni même soutenu qu'en raison de la brièveté de ces délais, elle aurait fait obstacle à l'exercice par le procureur de ses pouvoirs, et par suite privé la société requérante d'une des garanties légales dont elle pouvait se prévaloir, n'est pas de nature à affecter la légalité de la décision de sanction prononcée par la CNIL.

Arrêt rendu

CE Fr., n°353193 (12 mars 2014)

La formation restreinte de la CNIL, lorsqu'elle est saisie d'agissements pouvant donner lieu à l'exercice de son pouvoir de sanction, doit être regardée comme décidant du bien-fondé d'accusations en matière pénale au sens de l'article 6, paragraphe 1 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

Arrêt rendu

CE Fr. n°353717 (23 mars 2015)

1. Il résulte des dispositions des articles 2 et 38 de la loi n°78-17 du 6 janvier 1978 que la mise en ligne sur le réseau internet d'une base de données de jurisprudence non totalement anonymisée doit être regardée comme un traitement automatisé de données à caractère personnel au sens de la loi du 6 janvier 1978, auquel s'applique le droit d'opposition qu'elle ouvre aux personnes concernées.

2. Il ne résulte ni des dispositions de l'article 46 de la loi n° 78-17 du 6 janvier 1978 ni de celles des articles 75 et 76 du décret n° 2005-1309 du 20 octobre 2005 que le délai ouvert au responsable du traitement pour formuler des observations écrites en réponse au rapport qui lui a été notifié par la CNIL doive être cumulé avec celui dans lequel il est informé de la date de la séance de la commission à l'ordre du jour de laquelle est inscrite l'affaire qui le concerne.

Arrêt rendu

CE Fr., n°396050 (19 juin 2017)

Il résulte des dispositions de l'article 45 de la loi n° 78-17 du 6 janvier 1978 et de la délibération n° 2013-175 du 4 juillet 2013 portant règlement intérieur de la CNIL que la CNIL ne peut faire usage des pouvoirs de sanction qui lui sont dévolus qu'après avoir mis en demeure le responsable du traitement de respecter les obligations qui lui sont imposées par les textes législatifs et réglementaires, et faute pour l'intéressé de s'être conformé à cette mise en demeure dans le délai imparti à cet effet. L'autorité investie du pouvoir de sanction doit donc apprécier, à la date à laquelle ce délai a expiré, si la personne à l'encontre de laquelle la mise en demeure a été prononcée s'y est, en tout ou partie, conformée. En revanche, la circonstance qu'il a été remédié au manquement fautif postérieurement à la date d'expiration de la mise en demeure peut être prise en compte pour la détermination de la sanction infligée.

Arrêt rendu

CE Fr., n°398442 (19 juin 2017)

L'auteur d'une plainte n'est pas recevable à demander l'annulation de la sanction prononcée par la CNIL à l'encontre d'un tiers à l'issue de l'instruction de la plainte qu'il a formée, en tant que celle-ci ne serait pas assez sévère. En revanche, l'auteur d'une plainte est recevable à déférer au juge de l'excès de pouvoir le refus de la CNIL de lui fournir les informations relatives aux suites données à sa plainte auxquelles il a droit en application des dispositions de l'article 11 2° c) de la loi n° 78-17 du 6 janvier 1978. Il résulte de ces dispositions que, lorsque la plainte conduit à sanctionner la personne mise en cause, la complète information de son auteur comprend nécessairement, y compris lorsque la sanction a été rendue publique, la communication de la nature des manquements retenus et de la teneur de la sanction prononcée, sous la réserve des secrets protégés par la loi.

Arrêt rendu

CE Fr., n°412589 (6 juin 2018)

1. L'utilisation de «cookies» répondant aux caractéristiques définies au II de l'article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés constitue un traitement de données qui doit respecter les prescriptions de l'article 6 de cette même loi.

2. Lorsque des «cookies» sont déposés par l'éditeur du site, il doit être considéré comme responsable de traitement au sens de cette dernière. Il en va de même lorsque l'éditeur sous-traite à des tiers la gestion de «cookies» mis en place pour son compte.

3. a) Les autres tiers qui déposent des «cookies» à l'occasion de la visite du site d'un éditeur doivent être considérés comme responsables de traitement.

b)Toutefois, les éditeurs de site qui autorisent le dépôt et l'utilisation de tels « cookies » par des tiers à l'occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu'ils ne sont pas soumis à l'ensemble des obligations qui s'imposent au tiers qui a émis le «cookie», notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l'éditeur de site dans une telle hypothèse, figurent celle de s'assurer auprès de ses partenaires qu'ils n'émettent pas, par l'intermédiaire de son site, des «cookies» qui ne respectent pas la règlementation applicable en France et celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements.

4. Il résulte de l'article 45 de la loi n° 78-17 du 6 janvier 1978 que la CNIL ne peut faire usage des pouvoirs de sanction qui lui sont dévolus qu'après avoir mis en demeure le responsable du traitement de respecter les obligations qui lui sont imposées par les textes législatifs et réglementaires et faute pour l'intéressé de s'être conformé à cette mise en demeure dans le délai imparti à cet effet. L'autorité investie du pouvoir de sanction doit donc apprécier, à la date à laquelle ce délai a expiré, si la personne à l'encontre de laquelle la mise en demeure a été prononcée s'y est, en tout ou partie, conformée.

Il incombe en principe à la personne mise en demeure de porter à la connaissance de la CNIL tous les éléments lui permettant d'apprécier si et dans quelle mesure il a été donné suite à ses injonctions dans le délai prévu pour ce faire. S'il est toujours loisible à la CNIL de faire usage de ses pouvoirs d'instruction, elle n'est jamais tenue de procéder à un nouveau contrôle afin d'apprécier l'existence de manquements à la date d'expiration du délai fixé par la mise en demeure. Il s'ensuit qu'une procédure disciplinaire peut être légalement engagée au seul motif qu'à cette date, la personne mise en cause n'a transmis aucun élément suffisant permettant d'apprécier si et dans quelle mesure il a été remédié aux manquements constatés. Dans une telle hypothèse, si l'instruction contradictoire de la procédure disciplinaire fait apparaître que la personne poursuivie avait remédié aux manquements constatés dans la mise en demeure, dans le délai qui lui était imparti, cette circonstance ne fait pas obstacle au prononcé d'une sanction pour méconnaissance de l'obligation de coopérer avec la CNIL qui est posée à l'article 21 de la loi du 6 janvier 1978.

Arrêt rendu

CE Fr., n°416505 (21 juin 2018)

L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la CNIL d'engager à l'encontre de la personne visée par la plainte une procédure sur le fondement du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978, y compris lorsque la CNIL procède à des mesures d'instruction ou constate l'existence d'un manquement aux dispositions de cette loi. Il appartient au juge de censurer ce refus en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir. En revanche, lorsque la CNIL a décidé d'engager une procédure sur le fondement de l'article 45 de la loi du 6 janvier 1978, l'auteur de la plainte n'a intérêt à contester ni la décision prise à l'issue de cette procédure, quel qu'en soit le dispositif, ni le sort réservé à sa plainte à l'issue de cette dernière. Il est toutefois recevable à déférer, dans tous les cas, au juge de l'excès de pouvoir le défaut d'information par la CNIL des suites données à sa plainte.

Arrêt rendu

CE Fr., n°422575 (17 avril 2019)

1. Il résulte du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978, éclairé par les travaux préparatoires de cette loi, que la formation restreinte de la CNIL peut, sans mise en demeure préalable, sanctionner un responsable de traitement dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d'être régularisés, soit qu'ils soient insusceptibles de l'être, soit qu'il y ait déjà été remédié.

2. Il résulte de l'instruction qu'à la suite d'une mesure correctrice apportée au traitement litigieux, le manquement aux obligations de sécurité constaté par la mission de contrôle de la CNIL avait cessé et n'était dès lors plus susceptible de faire l'objet d'une régularisation. Il s'ensuit que la formation restreinte de la CNIL a pu légalement engager, sans procéder à une mise en demeure préalable, une procédure de sanction à l'encontre du responsable du traitement.

Arrêt rendu

CE Fr., n°434376 (6 novembre 2019)

Concerne : Instruction du ministre de la cohésion des territoires et des relations avec les collectivités territoriales et du ministre de l'intérieur, prise dans le cadre de leur pouvoir d'organisation des services placés sous leur autorité, définissant les caractéristiques du traitement de données, prenant la forme de la transmission d'informations des services intégrés d'accueil et d'orientation (SIAO) à l'Office français de l'immigration et de l'intégration (OFII) prévu à l'article L. 744-6 du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA) ainsi que les garanties qui l'entourent.

1. L'article 35 du RGPD prévoit que le responsable du traitement effectue une analyse d'impact relative à la protection des données lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Si cette analyse incombe au responsable du traitement, sa réalisation est en principe préalable à la mise en œuvre du traitement et l'analyse doit être actualisée après le lancement effectif du traitement afin de garantir en permanence une prise en compte adaptée des risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel.

2. Ainsi, alors que la réalisation d'une analyse d'impact d'un traitement de données personnelles, dont l'absence peut donner lieu à des sanctions par la CNIL en application de l'article 20 de la loi n°78-17 du 6 janvier 1978, est liée à la mise en œuvre de ce traitement, la seule circonstance, invoquée par les associations requérantes, qu'elle n'aurait pas été réalisée avant la signature de l'instruction n'est pas de nature à entacher celle-ci d'illégalité. Le moyen tiré de la méconnaissance par l'instruction attaquée de l'article 35 du RGPD doit par suite et en tout état de cause être écarté.

Arrêt rendu

CE Fr., n°433311 (4 novembre 2020)

Il résulte clairement du III de l'article 45 de la loi n° 78-17 du 6 janvier 1978 dans sa rédaction applicable au litige, devenu l'article 20 de la même loi, que le prononcé d'une sanction par la formation restreinte de la CNIL n'est pas subordonné à l'intervention préalable d'une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL.

Arrêt rendu

Règlement
1e 2e

Art. 84

1. Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l'objet des amendes administratives prévues à l'article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en oeuvre. Ces sanctions sont effectives, proportionnées et dissuasives.

2. Chaque État membre notifie à la Commission les dispositions légales qu'il adopte en vertu du paragraphe 1, au plus tard le … [deux ans à compter de la date d'entrée en vigueur du présent règlement], et, sans tarder, toute modification ultérieure les concernant.

Proposition 1 close

1. Chaque autorité de contrôle est habilitée à infliger des sanctions administratives en conformité avec le présent article.

2. Dans chaque cas, la sanction administrative doit être effective, proportionnée et dissuasive. Le montant de l'amende administrative est fixé en tenant dûment compte de la nature, de la gravité et de la durée de la violation, du fait que l'infraction a été commise de propos délibéré ou par négligence, du degré de responsabilité de la personne physique ou morale en cause et de violations antérieurement commises par elle, des mesures et procédures techniques et d'organisation mises en œuvre conformément à l'article 23 et du degré de coopération avec l’autorité de contrôle en vue de remédier à la violation. 3. Lors du premier manquement non intentionnel au présent règlement, l'autorité de contrôle peut donner un avertissement par écrit mais n'impose aucune sanction: a) lorsqu'une personne physique traite des données à caractère personnel en l'absence de tout intérêt commercial; ou b) lorsqu'une entreprise ou un organisme comptant moins de 250 salariés traite des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à son activité principale. 4. L'autorité de contrôle inflige une amende pouvant s'élever à 250 000 EUR ou, dans le cas d'une entreprise, à 0,5 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: a) ne prévoit pas les mécanismes permettant aux personnes concernées de formuler des demandes ou ne répond pas sans tarder ou sous la forme requise aux personnes concernées conformément à l'article 12, paragraphes 1 et 2; b) perçoit des frais pour les informations ou pour les réponses aux demandes de personnes concernées en violation de l’article 12, paragraphe 4. 5. L'autorité de contrôle inflige une amende pouvant s'élever à 500 000 EUR ou, dans le cas d'une entreprise, à 1 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: a) ne fournit pas les informations, fournit des informations incomplètes ou ne fournit pas les informations de façon suffisamment transparente à la personne concernée conformément à l'article 11, à l'article 12, paragraphe 3, et à l'article 14; b) ne fournit pas un accès à la personne concernée, ne rectifie pas les données à caractère personnel conformément aux articles 15 et 16 ou ne communique pas les informations en cause à un destinataire conformément à l'article 13; c) ne respecte pas le droit à l'oubli numérique ou à l'effacement, omet de mettre en place des mécanismes garantissant le respect des délais ou ne prend pas toutes les mesures nécessaires pour informer les tiers qu'une personne concernée demande l’effacement de tout lien vers les données à caractère personnel, ou la copie ou la reproduction de ces données conformément à l'article 17. d) omet de fournir une copie des données à caractère personnel sous forme électronique ou fait obstacle à ce que la personne concernée transmette ses FR 102 FR données à caractère personnel à une autre application en violation de l’article 18; e) omet de définir ou ne définit pas suffisamment les obligations respectives des responsables conjoints du traitement conformément à l'article 24; f) ne tient pas, ou pas suffisamment, à jour la documentation conformément à l'article 28, à l'article 31, paragraphe 4, et à l'article 44, paragraphe 3; g) ne respecte pas, lorsque des catégories particulières de données ne sont pas concernées, conformément aux articles 80, 82 et 83, les règles en matière de liberté d’expression, les règles sur le traitement de données à caractère personnel en matière d'emploi ou les conditions de traitement à des fins de recherche historique, statistique et scientifique. 6. L'autorité de contrôle inflige une amende pouvant s'élever à 1 000 000 EUR ou, dans le cas d'une entreprise, à 2 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: a) traite des données à caractère personnel sans base juridique ou sans base juridique suffisante à cette fin ou ne respecte pas les conditions relatives au consentement conformément aux articles 6, 7 et 8; b) traite des catégories particulières de données en violation des articles 9 et 81; c) ne respecte pas une opposition ou ne se conforme pas à l'obligation prévue à l’article 19; d) ne respecte pas les conditions relatives aux mesures fondées sur le profilage conformément à l'article 20; e) omet d'adopter des règles internes ou de mettre en œuvre les mesures requises pour assurer et prouver le respect des obligations énoncées aux articles 22, 23 et 30; f) omet de désigner un représentant conformément à l’article 25; g) traite des données à caractère personnel ou donne l'instruction d'en effectuer le traitement en violation des obligations, énoncées aux articles 26 et 27, en matière de traitement réalisé pour le compte d'un responsable du traitement; h) omet de signaler ou de notifier une violation de données à caractère personnel, ou omet de notifier la violation en temps utile ou de façon complète à l'autorité de contrôle ou à la personne concernée conformément aux articles 31 et 32; i) omet d'effectuer une analyse d'impact relative à la protection des données ou traite des données à caractère personnel sans autorisation préalable ou consultation préalable de l'autorité de contrôle conformément aux articles 33 et 34; FR 103 FR j) omet de désigner un délégué à la protection des données ou de veiller à ce que les conditions pour l'accomplissement de ses missions soient réunies conformément aux articles 35, 36 et 37; k) fait un usage abusif d'une marque ou d'un label de protection des données au sens de l'article 39; l) effectue ou donne l'instruction d'effectuer, vers un pays tiers ou à une organisation internationale, un transfert de données qui n'est pas autorisé par une décision relative au caractère adéquat du niveau de protection, couvert par des garanties appropriées ou par une dérogation conformément aux articles 40 à 44; m) ne respecte pas une injonction, une interdiction temporaire ou définitive de traitement ou la suspension de flux de données par l'autorité de contrôle conformément à l'article 53, paragraphe 1; n) ne respecte pas l'obligation de prêter assistance, de répondre ou de fournir des informations utiles à l'autorité de contrôle ou de lui donner accès aux locaux conformément à l'article 28, paragraphe 3, à l'article 29, à l'article 34, paragraphe 6, et à l'article 53, paragraphe 2; o) ne respecte pas les règles de protection du secret professionnel conformément à l'article 84.

7. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86 aux fins d'adapter le montant des amendes administratives prévues aux paragraphes 4, 5 et 6, en tenant compte des critères énoncés au paragraphe 2.

Proposition 2 close

1. Chaque autorité de contrôle (...) veille à ce que les amendes administratives visées à l'article 79 bis qui sont imposées en vertu du présent article pour des violations du présent règlement (...) soient, dans chaque cas, effectives, proportionnées et dissuasives.

2. (…)

2 bis. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 53, paragraphe 1 ter, points a) à f). Lorsqu'il est décidé d'imposer ou non une amende administrative (...) et que le montant de l'amende administrative est fixé, il est dûment tenu compte dans chaque cas des éléments suivants:

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que le nombre de personnes concernées en jeu et le niveau de dommage qu'elles ont subi;

b) le fait que l'infraction a été commise de propos délibéré ou par négligence,

c) (...);

d) les mesures prises par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;

e) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 23 et 30;

f) toute violation antérieure pertinente commise par le responsable du traitement ou le sous-traitant;

g) (…);

h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant ont notifié la violation;

i) lorsque des mesures telles que celles visées à l'article 53, (…) paragraphe 1 ter, points a), d), e) et f), ont été précédemment décidées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;

j) l'adhésion à des codes de conduites approuvés, conformément à l'article 38, ou à des mécanismes de certification, conformément à l'article 39;

k) (…);

 l) (…);

m) toute autre circonstance aggravante ou atténuante applicable au cas concerné.

3. (…)

3 bis. (…)

3 ter. Tout État membre peut établir les règles déterminant si et dans quelle mesure des amendes peuvent être infligées à des autorités et des organismes publics établis sur son territoire.

4. L'exercice, par l'autorité de contrôle (…), des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l'Union ou à la législation d'un État membre, y compris le droit à un recours effectif et à une procédure régulière.

5. Les États membres peuvent s'abstenir de mettre en place les règles régissant les amendes administratives visées à l'article 79 bis, paragraphes 1, 2 et 3, lorsque leur système juridique ne prévoit pas d'amendes administratives et que les violations visées font déjà l'objet de sanctions pénales dans le cadre de leur droit interne à la date du [date visée à l'article 91, paragraphe 2], tout en prenant les mesures nécessaires pour que ces sanctions pénales soient effectives, proportionnées et dissuasives, compte tenu du niveau des amendes administratives prévues dans le présent règlement. Dans ce cas, les États membres notifient à la Commission les parties de leur droit pénal concernées.

Art. 79 biss

1. L'autorité de contrôle (...) peut infliger une amende n'excédant pas 250 000 EUR, ou, dans le cas d'une entreprise, 0,5 % de son chiffre d'affaires annuel total au niveau mondial pour l'exercice précédent, à un responsable du traitement qui, de propos délibéré ou par négligence:

a) ne répond pas dans les délais prévus à l'article 12, paragraphe 2, aux demandes de la personne concernée;

b) perçoit des frais (…) en violation de l'article 12, paragraphe 4, première phrase.

2. L'autorité de contrôle (...) peut infliger une amende n'excédant pas 500 000 EUR ou, dans le cas d'une entreprise, 1 % de son chiffre d'affaires annuel (…) total au niveau mondial pour l'exercice précédent, à un responsable du traitement ou à un sous-traitant qui, de propos délibéré ou par négligence:

a) ne fournit pas les informations, fournit des informations incomplètes ou ne fournit pas les informations [en temps voulu ou] de façon [suffisamment] transparente à la personne concernée conformément à l'article 12, paragraphe 3, et aux articles 14 et 14 bis

b) ne fournit pas un accès à la personne concernée ou ne rectifie pas les données à caractère personnel conformément aux articles 15 et 16 (...);

c) n'efface pas les données à caractère personnel en violation du droit à l'effacement et à l'"oubli numérique" conformément à l'article 17, paragraphe 1, points a), b), d) ou e);

d) (…)

d bis) traite des données à caractère personnel en violation du droit à la limitation du traitement prévu à l'article 17 bis ou n'informe pas la personne concernée avant que la limitation du traitement soit levée conformément à l'article 17 bis, paragraphe 4;

d ter) ne communique pas à chaque destinataire à qui le responsable du traitement a communiqué des données à caractère personnel toute rectification, tout effacement ou toute limitation du traitement en violation de l'article 17 ter;

d quater) ne fournit pas à la personne concernée les données à caractère personnel la concernant (...) en violation de l'article 18;

d quinquies) traite des données à caractère personnel après que la personne concernée s'y soit opposée conformément à l'article 19, paragraphe 1, et n'établit pas l'existence de raisons impérieuses et légitimes justifiant le traitement, qui priment les intérêts, les droits et les libertés de la personne concernée, ou la constatation, l'exercice ou la défense d'un droit en justice;

 d sexies) ne fournit pas à la personne concernée d'informations concernant le droit de s'opposer au traitement à des fins de prospection conformément à l'article 19, paragraphe 2, ou continue le traitement de données à des fins de prospection après l'opposition de la personne concernée, en violation de l'article 19, paragraphe 2 bis;

e) omet de définir ou ne définit pas suffisamment les obligations respectives des responsables conjoints du traitement conformément à l'article 24;

f) ne tient pas, ou pas suffisamment, à jour la documentation conformément à l'article 28 et à l'article 31, paragraphe 4.

g) (…)

3. L'autorité de contrôle (...) peut infliger une amende n'excédant pas 1 000 000 EUR ou, dans le cas d'une entreprise, 2 % de son chiffre d'affaires annuel total au niveau mondial pour l'exercice précédent, à un responsable du traitement ou à un sous-traitant qui, de propos délibéré ou par négligence:

a) traite des données à caractère personnel sans base juridique (...) à cette fin ou ne respecte pas les conditions relatives au consentement conformément aux articles 6, 7, 8 et 9;

b) (…);

c) (…);

d) ne respecte pas les conditions relatives à la prise de décision individuelle automatisée, y compris le (…) profilage conformément à l'article 20;

d bis) omet (…) de mettre en œuvre les mesures appropriées ou n'est pas à même d'établir le respect des obligations énoncées aux articles 22 (…) et 30;

d ter) omet de désigner un représentant en violation de l'article 25;

d quater) traite des données à caractère personnel ou donne l'instruction d'en effectuer le traitement en violation (…) de l'article 26;

d quinquies) omet de signaler ou de notifier une violation de données à caractère personnel, ou omet de notifier la violation [en temps utile ou] de façon complète à l'autorité de contrôle ou à la personne concernée en violation des articles 31 et 32;

d sexies) omet d'effectuer une analyse d'impact relative à la protection des données en violation de l'article 33 ou traite des données à caractère personnel sans consultation préalable de l'autorité de contrôle en violation de l'article 34, paragraphe 2;

e) (…);

f) fait un usage abusif d'une marque ou d'un label de protection des données au sens de l'article 39 ou ne respecte par les conditions et les procédures prévues aux articles 38 bis et 39 bis;

g) effectue ou donne l'instruction d'effectuer, vers un destinataire situé dans un pays tiers ou à une organisation internationale, un transfert de données en violation des articles 41 à 44;

h) ne respecte pas une injonction, une limitation temporaire ou définitive de traitement ou la suspension de flux de données par l'autorité de contrôle conformément à l'article 53, paragraphe 1 ter, ou ne fournit pas l'accès en violation de l'article 53, paragraphe 1.

 i) (…)

 j) (…).

 3 bis. Si un responsable du traitement ou un sous-traitant enfreint délibérément ou par négligence plusieurs dispositions du présent règlement énumérées aux paragraphes 1, 2 ou 3, le montant total de l'amende ne peut pas excéder le montant fixé pour la violation la plus grave. 4. (...)

Directive close

Art. 24

Les États membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive.

Pas de disposition correspondante

Portugal close

close