Les pouvoirs de la formation restreinte
En cas de non-conformité au RGPD et à la loi, le président de la CNIL peut saisir la formation restreinte afin que soit prononcée une ou plusieurs mesures à l’issue d’une procédure durant laquelle est entendu l’organisme mis en cause.
Les différentes mesures prévues
Les mesures correctrices suivantes peuvent être prononcées par la formation restreinte, en cas de manquement au RGPD ou à la loi « Informatique et Libertés » :
- un rappel à l’ordre ;
- une injonction de mettre en conformité le traitement avec les obligations prévues par les textes ou une injonction de satisfaire aux demandes d’exercice des droits des personnes. Cette injonction peut être assortie d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard ;
- une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation ;
- le retrait d’une certification ;
- la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;
- une suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes ;
- une amende administrative dont le montant est déterminé en fonction des éléments mentionnées aux 5 et 6 de l’article 83 du RGPD.
L'amende peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial en cas de non-respect des principes fondamentaux du RGPD, des droits des personnes, des dispositions sur les transferts ou de non-respect d’une injonction d’une autorité.
Cette amende peut atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial en cas de non-respect des obligations du responsable de traitement ou du sous-traitant (en matière de sécurité, d’analyse d’impact, de tenue du registre des activités, de désignation d’un DPO, etc.) ou de non-respect des obligations incombant à l’organisme de certification ou en charge des codes de conduite.
Publicité
La formation restreinte peut décider de rendre publique la décision qu’elle adopte. La publication peut intervenir dès la notification de la décision à l’organisme concerné. L’organisme mis en cause dispose d'un délai de deux mois pour former un recours devant le Conseil d'État.
La formation restreinte peut également ordonner l’insertion de la décision dans des publications, journaux et supports qu’elle désigne, aux frais des organismes sanctionnés.