Skip to content
  1. LegalPlace
  2. Guides
  3. Gestion d'entreprise
  4. RGPD
  5. Les sanctions en cas de non-respect du RGPD

Les sanctions en cas de non-respect du RGPD

RGPD

Dernière mise à jour le 04/09/2023

Sommaire

Obtenir un devis RGPD
sommaire

Depuis l’entrée en vigueur du règlement pour la protection générale des données personnelles (RGPD) en 2018, de nombreux organismes ont dû mettre en place un certain nombre de mesures afin d’être en conformité à la nouvelle réglementation relative au traitement des données personnelles. Lorsque les organismes ne respectent pas ces mesures ils s’exposent à des sanctions plus ou moins lourdes en fonction de la gravité de la violation.

Obtenir un devis gratuit RGPD

Comment un organisme est-il sanctionné en cas de non-respect du RGPD ?

Un organisme peut être sanctionné au titre du non-respect du RGPD dans le cadre d’une plainte ou d’un contrôle effectué par la CNIL.

Le dépôt d’une plainte ou d’un signalement auprès de la CNIL

Toute personne est en mesure de déposer une plainte ou un signalement auprès de la CNIL dans les cas suivants :

  • Lorsqu’elle n’arrive pas à exercer ses droits relatifs à la loi « Informatique et Libertés »
  • Lorsqu’elle souhaite signaler une atteinte aux règles de protection des données personnelles par un organisme public ou privé

Pour adresser une réclamation, elle peut se rendre sur le site internet de la CNIL par le téléservice de plainte en ligne pour certains cas. Elle peut également contracter l’autorité de contrôle par courrier postal en écrivant à :

« CNIL – SERVICES DES PLAINTES – 3 PLACE DE FONTENOY – TSA 80715 – 75334 PARIS CEDEX 07 ».

La personne doit joindre à sa réclamation tous les documents pouvant attester des faits décrits.

Bon à savoir : S’agissant des réclamations, les délais de traitement sont souvent très importants du fait du grand nombre de saisines reçues par la CNIL et dépend également de la complexité du dossier.

Le contrôle effectué par la CNIL

La CNIL peut également être amenée à sanctionner les responsables de traitement suite à un contrôle effectué à posteriori. Ce dernier vise à vérifier la mise en œuvre concrète de la loi et peut s’opérer auprès de tout organisme traitant des données à caractère personnel dès lors :

  • Que l’organisme visé par le contrôle est établi en France
  • Que le traitement concerne des résidents français

Ce contrôle peut être effectué par la CNIL en coopération avec d’autres autorités de protection des données si l’organisme dispose de plusieurs établissements dans l’UE ou traite les données personnelles de personnes dans l’UE.

Le RGPD permet également à la CNIL d’effectuer des vérifications auprès de prestataires sous-traitants chargés de la mise en œuvre d’un traitement pour le compte d’un organisme.

Ainsi ces contrôles peuvent avoir lieu du fait :

  • Du programme annuel des contrôles
  • De l’initiative de la CNIL
  • D’un contrôle des dispositifs de vidéoprotection
  • De la procédure de contrôle clôturée, des mises en demeure et des sanctions

Quelles sont les sanctions en cas de non-respect du RGPD ?

Les organismes contrevenant aux règles imposées par le RGPD relatives au traitement de données personnelles s’exposent à des sanctions de diverses nature :

  • Administrative
  • Pénales
  • Versement de dommages et intérêts
  • Déficit d’image

Les sanctions administratives

La CNIL peut prononcer plusieurs types de sanctions administratives à l’encontre de l’organisme contrevenant, dont la mise en œuvre peut être graduelle : 

  • Mesures correctrices
  • Sanctions administratives
  • Sanctions pénales
  • Versement de dommages-intérêts et publicité de la violation

Les mesures correctrices

L’article 58 du RGPD offre aux autorités de contrôle le pouvoir d’adopter des mesures correctrices. Celles-ci peuvent être prononcées en complément des sanctions administratives. Cependant, du fait de leur caractère dissuasif, elles ont tendance à être prises avant les amendes liées au RGPD.

Les sanctions sont donc graduelles en fonction de la gravité de la violation du RGPD constatée. Ainsi, la CNIL est en mesure de délivrer :

  • un avertissement ou une mise en demeure de l’entreprise fautive avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD
  • une injonction de cesser la violation
  • une limitation ou suspension temporaire des traitements de données
  • des sanctions administratives en cas de non-respect des règles du RGPD après injonction vaine de l’autorité de contrôle

Bon à savoir : Les sanctions prévues par le RGPD ne sont donc en réalité que les ultimes sanctions auxquelles les organismes s’exposent s’ils ne suivent pas les injonctions de la CNIL.

Les sanctions administratives

La CNIL peut sanctionner le non-respect du RGPD par des sanctions administratives. Ces dernières doivent être proportionnées et dissuasives. Elles tiennent compte des critères suivants :

  • La gravité et la durée de la violation
  • Le degré de coopération
  • Les mesures prises pour atténuer le dommage subi par la personne concernée

Ainsi, l’autorité de contrôle peut également fixer des amendes à régler. Leur montant dépend de la violation constatée :

  • 10 millions d’euros ou 2% du chiffre d’affaires : c’est le cas lorsque les entreprises violent les conditions imposées concernant le recueil du consentement des enfants ou si elles ne respectent pas le principe du privacy by design ou du privacy by default.
  • 20 millions d’euros ou 4% du chiffre d’affaires : c’est le cas lors d’une violation des principes de traitement des données ou le non-respect des conditions de licéité du traitement.
Bon à savoir : Afin d’éviter de telles conséquences, des formations RGPD sont proposées aux entreprises. Cela leur permet ainsi de comprendre les enjeux du RGPD et de se mettre en conformité.

Les sanctions pénales

Les Etats membres peuvent mettre en place des sanctions supplémentaires en cas de violation du RGPD, grâce à l’article 84 du RGPD.

En France, l’article 226-21 du code pénal prévoit une sanction en cas de détournement de la finalité lors du traitement des données personnelles pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.

Le versement de dommages et d’intérêts et le déficit d’image

Enfin, outre les sanctions précédemment listées, la violation du RGPD peut également entrainer d’autres conséquences telles que :

  • La publicité de la violation commise par l’organisme : la CNIL peut en effet obliger l’organisme ou l’entreprise contrevenante à publier la sanction dont elle a fait l’objet.
  • La condamnation au versement de dommages et intérêts : les personnes victimes de la violation du RGPD peuvent subir un dommage matériel ou moral. Dans ce cas, l’organisme contrevenant pourra se voir condamner au versement de dommage-intérêts en réparation du préjudice subi.
Attention : Le versement de dommages et intérêts ne se substitue pas aux sanctions administratives et pénales mais vient s’y ajouter.

FAQ

Quelles sont les sanctions prévues en cas de violation du RGPD ?
Le RGPD prévoit des sanctions administratives et pénales en cas de violation du règlement. Il permet également aux Etats membres de prévoir des sanctions pénales. La France prévoit notamment des sanctions à l’article 226-21 du code pénal.

Qui peut sanctionner les organismes en cas de violation du RGPD ?
Le RGPD confère aux autorités telles que la CNIL un pouvoir de sanction. Celle-ci doit ainsi veiller au respect des principes du RGPD. Dans le cas contraire, elle peut prononcer des mesures correctrices telles qu’un avertissement. Si la violation persiste, des sanctions pécuniaires seront alors prononcées.

Comment éviter les sanctions liées au RGPD ?
Afin d’éviter toutes sanctions, les responsables de traitement sont dans l’obligation de se mettre en conformité avec le RGPD. Pour cela, ils doivent veiller à respecter plusieurs obligations et principes, tels que la licéité du traitement ou la minimisation des données. Ils doivent également respecter les droits conférés aux personnes dont les données sont traitées.
Obtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 04/09/2023

25 Commentaires
Le plus récent
Le plus ancien
Commentaires en ligne
Afficher toutes les questions

Bonjour.
Une administration a fait preuve de mépris condescendant à mon égard.
Et en plus, ils veulent appliquer une procédure abusive à mon égard.
J’ai demandé à accéder mes données RGPD.
Ce qui inclut les échanges / communications en interne à mon sujet.
Si je ne reçois pas ces éléments, c’est bien considéré comme une violation des RGPD ? Je peux donc écrire une plainte à la CNIL ?

Cordialement,
François

Bonjour,

En effet, légalement si l’administration ne transmet pas les données personnelles d’un individu concernant, y compris les échanges internes identifiables, cela constitue une violation de l’article 15 du RGPD.

Il est alors possible de déposer une plainte auprès de la CNIL conformément à l’article 77.

En espérant que notre réponse vous sera utile, nous vous souhaitons une belle journée.

L’équipe LegalPlace.

Bonjour , j’ai monté un dossier via ma protection juridique contre une société qui m’envoyait des mails , publicitaires malgré mon opposition a plusieurs reprises. A présent l’assurance me demande quelle somme je souhaite obtenir(accord amiable) au vu du préjudice subit ( je précise que j’ai déjà contacté la CNIL a 2 reprises sans succès malgré les preuves accablantes ) J’ai conservé l’ensemble des mails et courriels que je leur ai envoyé. j’estime subir de leur part un harcèlement moral et cela dure depuis 3 ans.

Bonjour, Dans le cadre d’une tentative de résolution amiable, il est courant que la protection juridique vous demande d’estimer le montant de l’indemnisation souhaitée en lien avec le préjudice invoqué. En matière de prospection commerciale non sollicitée, la récurrence des envois malgré vos oppositions peut constituer une violation du RGPD et du Code des postes et communications électroniques. L’évaluation du préjudice, notamment moral, reste libre mais doit être cohérente avec les faits, la durée des envois, leur fréquence, et l’impact concret sur votre quotidien. La conservation des preuves renforce votre position dans cette démarche. En espérant que notre réponse vous… Lire la suite »

Bonjour,
merci pour votre réponse . En l’occurrence ma première demande de retrait de mes données personnelles date de 2020 et nous sommes en 2025 ! J’ai conservé tous les échanges et ce qui m’agace le plus sont les réponses hautaines du service DPO À présent je compte demander une somme de 15.000€… oui cela peut paraître énorme mais rien en comparaison des amendes encourues par un dépôt de plainte au la CNIL . J’estime qu’il n’y a que l’argent qui pourra faire cesser définitivement ces agissements ! Je suis déterminé quitte à aller en justice pour cela

Bonjour, dans le cas d’un sous-traitant, quel est le montant maximal en cas de non respect du RGPD?

Bonjour, je réalise une vidéo de prévention RGPD pour l’entreprise qui m’emploi.
On parle des sanctions visant l’organisme/entreprise contrevenante, mais quand est il des sanctions pour l’employer directement?
Peut il y avoir des pénalités visant directement l’employer prévus par la CNIL?
y a t-il une séparation possible entre l’organisme et l’employer?

Bonjour,

En cas de violation des règles RGPD, l’employeur s’expose à des amendes administratives dont le montant peut être très élevé selon l’infraction voire à des sanctions pénales en cas de violation très grave. Pour en savoir plus sur les obligations de l’employeur en matière de RPGD, nous vous invitons à consulter le site de CNIL.

En espérant que cette réponse vous a été utile,

L’équipe LegalPlace

Quel est le droit des victimes ?

Bonjour,

Les victimes du RGPD peuvent faire une réclamation ou exercer un recours juridictionnel effectif devant une autorité de contrôle ou une responsable du traitement ou un sous traitant.
Cela permet aux victimes ayant subit un préjudice matériel ou moral du fait de la violation des ces données personnelles d’obtenir réparation.
En espérant avoir su répondre à vos interrogations.
L’équipe LegalPlace

Quelles bonnes pratiques mettre en place ?

Bonjour,
Les organismes contrevenant aux règles imposées par le RGPD relatives au traitement de données personnelles s’exposent à des sanctions de diverses nature :
– Administrative ;
– Pénales ;
– Versement de dommages et intérêts ;
– Déficit d’image.
En vous souhaitant une belle journée,
L’équipe LegalPlace.

Bonjour
on vient de me refuser un prêt sous motif que jetai interdit de gestion document de la FIBEN il s’avère que l’information été fausse la banque de france a rectifier immédiatement après ma réclamation mais trop tard que faire

Bonjour,
Nous vous invitons à contacter l’organisme de prêt avec les nouvelles informations en votre possession et de tenter de résoudre cette situation à l’amiable.
En espérant que notre réponse vous sera utile, nous vous souhaitons une belle journée.
L’équipe LegalPlace

En cas de non-conformité au RGPD, quel est le montant maximal de la sanction?

Bonjour,

Le montant des sanctions peut s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial.

En espérant avoir su répondre à vos interrogations.
L’équipe LegalPlace

Rédigé par

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L'ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Articles similaires

Le principe d’accountability RGPD
Les obligations d’une association avec le RGPD
Rédiger une politique de confidentialité conforme au RGPD
Le RGPD et les données de santé
Le consentement explicite et positif dans le RGPD
Les sanctions en cas de non-respect du RGPD
Le droit à la portabilité des données personnelles
Le RGPD et le profilage
Se mettre en conformité au RGPD en quelques étapes
Le principe de Privacy by design (protection des données) du RGPD
RGPD : Qui est concerné ?