Mise en demeure par la CNIL dans le cadre du RGPD : signification et suites possibles

En France, c’est la CNIL qui est chargée de protéger le consommateur contre tout usage abusif des données informatiques le concernant. Dans le cadre du RGPD, elle dispose d’une chaîne répressive complète qui lui permet de contrôler et de sanctionner les organismes ne respectant pas les lois et règlements en vigueur sur la protection des données personnelles. Les sanctions qu’elle peut prendre varient en fonction de la gravité de l’infraction. Mais dans tous les cas, avant de prononcer une sanction, la CNIL adresse une mise en demeure à l’organisme contrevenant. La suite dépend de la réponse de cette dernière.

Mise en demeure de la CNIL : en quoi consiste-t-elle ?

Une mise en demeure est une injonction adressée par lae présidente de la commission à un responsable deu traitement ou à un sous-traitant. Elle a pour objet de sommer ces derniers de cesser un ou plusieurs manquements au RGPD dans un délai défini. Une mise en demeure fait souvent suite à une plainte reçue par la CNIL ou à un contrôle effectué (en ligne ou sur place) auprès de l’organisme. Selon cette définition, une mise en demeure n’est donc pas une sanction.

Pour ce qui est du délai de réponse à une mise en demeure, il peut aller de 10 jours à 6 mois. Toutefois, en cas d’urgence et suivant la gravité de l’infraction, la CNIL peut demander une réponse dans les 24 heures.

La mise en demeure informe l’organisme incriminé sur les faits et les manquements constatés par la CNIL tout en précisant les mesures que doivent prendre les responsables de traitements ou les sous-traitants concernés pour se mettre en conformité.

Les règles de publicité

Selon les circonstances, la CNIL peut rendre, après délibération, une mise en demeure publique. Dans ce cas, la mise en demeure est diffusée sur le site de la CNIL et la décision est publiée sur Légifrance. Une fois que l’organisme incriminé s’est mis en conformité, la clôture de la mise en demeure est aussi rendue publique.

Quelles sont les suites possibles d’une mise en demeure ?

Les suites d’une mise en demeure vont varier suivant l’attitude et la réponse de l’organisme :

Si la réponse de l’organisme est conforme aux exigences de la mise en demeure, cette dernière est clôturée. À cet effet, un courrier de clôture sera adressé à l’organisme. Et si une procédure de contrôler a été enclenchée, elle sera également clôturée ;

Dans le cas où la réponse de l’organisme ne satisfait pas la CNIL (réponse incomplète), cette dernière demandera des explications complémentaires. Si la réponse à ces explications complémentaires est conforme aux exigences demandées, la mise en demeure sera clôturée. Sinon, une procédure de sanction sera engagée ;

En cas de réponse non satisfaisante ou en cas d’absence totale de réponse, le Président de la CNIL peut enclencher une procédure de sanction à l’encontre de l’organisme ;

Il faut noter que même après la clôture d’une mise en demeure, la CNIL peut effectuer un contrôle à tout moment pour vérifier la conformité de l’organisme avec les dispositions du RGPD, notamment pour vérifier la bonne mise en œuvre de la mise en demeure !.

Quels sont les faits courants relevés dans une mise en demeure ?

Plusieurs manquements sont couramment relevés dans les mises en demeure émises par la CNIL :

  • Non-respect du principe de minimisation : la collecte des données ne doit se limiter qu’à celles qui sont les plus pertinentes, c’est-à-dire, le strict nécessaire pour permettre à l’organisme d’atteindre son objectif final ;
  • Non-respect du principe de transparence ou du droit à l’information ;
  • La collecte de données à caractère sensible sans le consentement exprès des personnes concernées ;
  • Le non-respect des règles sur la durée de conservation des données ;
  • Le non-respect du principe d’intégrité et de confidentialité : manquement à l’obligation de mise en place de mesures efficaces qui garantissent la sécurité des données traitées.