Article 58 du RGPD : Pouvoirs

Texte original du RGPD

1. Chaque autorité de contrôle dispose de tous les pouvoirs d’enquête suivants:

a) ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement ou du sous-traitant, de lui communiquer toute information dont elle a besoin pour l’accomplissement de ses missions;

b) mener des enquêtes sous la forme d’audits sur la protection des données;

c) procéder à un examen des certifications délivrées en application de l’article 42, paragraphe 7;

d) notifier au responsable du traitement ou au sous-traitant une violation alléguée du présent règlement;

e) obtenir du responsable du traitement et du sous-traitant l’accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l’accomplissement de ses missions;

f) obtenir l’accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l’Union ou au droit procédural des États membres.

2. Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes:

a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement;

b) rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement;

c) ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du présent règlement;

d) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé;

e) ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel;

f) imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement;

g) ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement en application des articles 16, 17 et 18 et la notification de ces mesures aux destinataires auxquels les données à caractère personnel ont été divulguées en application de l’article 17, paragraphe 2, et de l’article 19;

h) retirer une certification ou ordonner à l’organisme de certification de retirer une certification délivrée en application des articles 42 et 43, ou ordonner à l’organisme de certification de ne pas délivrer de certification si les exigences applicables à la certification ne sont pas ou plus satisfaites;

i) imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas;

j) ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale.

3. Chaque autorité de contrôle dispose de tous les pouvoirs d’autorisation et de tous les pouvoirs consultatifs suivants:

a) conseiller le responsable du traitement conformément à la procédure de consultation préalable visée à l’article 36;

b) émettre, de sa propre initiative ou sur demande, des avis à l’attention du parlement national, du gouvernement de l’État membre ou, conformément au droit de l’État membre, d’autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel;

c) autoriser le traitement visé à l’article 36, paragraphe 5, si le droit de l’État membre exige une telle autorisation préalable;

d) rendre un avis sur les projets de codes de conduite et les approuver en application de l’article 40, paragraphe 5;

e) agréer des organismes de certification en application de l’article 43;

f) délivrer des certifications et approuver des critères de certification conformément à l’article 42, paragraphe 5;

g) adopter les clauses types de protection des données visées à l’article 28, paragraphe 8, et à l’article 46, paragraphe 2, point d);

h) autoriser les clauses contractuelles visées à l’article 46, paragraphe 3, point a);

i) autoriser les arrangements administratifs visés à l’article 46, paragraphe 3, point b);

j) approuver les règles d’entreprise contraignantes en application de l’article 47.

4. L’exercice des pouvoirs conférés à l’autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l’Union et le droit des États membres conformément à la Charte.

5. Chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation du présent règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice d’une manière ou d’une autre, en vue de faire appliquer les dispositions du présent règlement.

6. Chaque État membre peut prévoir, par la loi, que son autorité de contrôle dispose de pouvoirs additionnels à ceux visés aux paragraphes 1, 2 et 3. L’exercice de ces pouvoirs n’entrave pas le bon fonctionnement du chapitre VII.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. 

Article 28

Autorité de contrôle

3. Chaque autorité de contrôle dispose notamment:

– de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle,

– de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en oeuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de ces avis ou celui d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d’autres institutions politiques,

– du pouvoir d’ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l’autorité judiciaire.

Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Art. 19

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

I- Les membres de la Commission nationale de l’informatique et des libertés ainsi que les agents de ses services habilités dans les conditions définies au dernier alinéa de l’article 10 ont accès, de 6 heures à 21 heures, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel.

Le procureur de la République territorialement compétent en est préalablement informé.

Lorsqu’un traitement de données à caractère personnel est mis en œuvre, soit dans les parties de ces lieux, locaux, enceintes, installations ou établissements affectées au domicile privé, soit dans de tels lieux, locaux, enceintes, installations ou établissements entièrement affectés au domicile privé, la visite ne peut se dérouler qu’après l’autorisation du juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter, dans les conditions prévues au II du présent article.

II- Le responsable de ces lieux, locaux, enceintes, installations ou établissements est informé de son droit d’opposition à la visite. Lorsqu’il exerce ce droit, la visite ne peut se dérouler qu’après l’autorisation du juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter, qui statue dans des conditions fixées par décret en Conseil d’Etat. Toutefois, lorsque l’urgence, la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la visite peut avoir lieu sans que le responsable des locaux en ait été informé, sur autorisation préalable du juge des libertés et de la détention. Dans ce cas, le responsable des lieux ne peut s’opposer à la visite.

La visite s’effectue sous l’autorité et le contrôle du juge des libertés et de la détention qui l’a autorisée, en présence de l’occupant des lieux ou de son représentant qui peut se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des personnes chargées de procéder au contrôle.

L’ordonnance ayant autorisé la visite est exécutoire au seul vu de la minute. Elle mentionne que le juge ayant autorisé la visite peut être saisi à tout moment d’une demande de suspension ou d’arrêt de cette visite. Elle indique le délai et la voie de recours. Elle peut faire l’objet, suivant les règles prévues par le code de procédure civile, d’un appel devant le premier président de la cour d’appel. Celui-ci connaît également des recours contre le déroulement des opérations de visite dont la finalité est l’exercice effectif des missions prévues au III.

III – Pour l’exercice des missions relevant de la Commission nationale de l’informatique et des libertés en application du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi, les membres et agents mentionnés au premier alinéa du I du présent article peuvent demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie. Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles et nécessaires à l’accomplissement de leur mission. Ils peuvent accéder, dans des conditions préservant la confidentialité à l’égard des tiers, aux programmes informatiques et aux données ainsi qu’en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. Le secret ne peut leur être opposé sauf concernant les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, sous réserve du deuxième alinéa du présent III, par le secret médical.

Le secret médical est opposable s’agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé. La communication des données médicales individuelles incluses dans cette catégorie de traitement ne peut alors se faire que sous l’autorité et en présence d’un médecin.

En dehors des contrôles sur place et sur convocation, ils peuvent procéder à toute constatation utile. Ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations. Ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

Pour le contrôle de services de communication au public en ligne, les membres et agents mentionnés au premier alinéa du I peuvent réaliser toute opération en ligne nécessaire à leur mission sous une identité d’emprunt. A peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction. L’utilisation d’une identité d’emprunt est sans incidence sur la régularité des constatations effectuées conformément au troisième alinéa du présent III. Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, précise les conditions dans lesquelles ces membres et agents procèdent dans ces cas à leurs constatations.

Les membres et agents mentionnés au premier alinéa du I peuvent, à la demande du président de la commission, être assistés par des experts.

Il est dressé procès-verbal des vérifications et visites menées en application du présent article. Ce procès-verbal est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place ou sur convocation.

IV- Pour les traitements intéressant la sûreté de l’Etat et qui sont dispensés de la publication de l’acte réglementaire qui les autorise en application du III de l’article 31, le décret en Conseil d’Etat qui prévoit cette dispense peut également prévoir que le traitement n’est pas soumis aux dispositions du présent article.

V- Dans l’exercice de son pouvoir de contrôle portant sur les traitements relevant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi, la Commission nationale de l’informatique et des libertés n’est pas compétente pour contrôler les opérations de traitement effectuées, dans l’exercice de leur fonction juridictionnelle, par les juridictions.

Article 20

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

I- Le président de la Commission nationale de l’informatique et des libertés peut avertir un responsable de traitement ou son sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi.

II- Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut, si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu’il fixe :

1° De satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits ;

2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;

3° A l’exception des traitements qui intéressent la sûreté de l’Etat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;

4° De rectifier ou d’effacer des données à caractère personnel, ou de limiter le traitement de ces données.

Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu’il a prises.

Le délai de mise en conformité peut être fixé à vingt-quatre heures en cas d’extrême urgence.

Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.

Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l’objet de la même publicité.

III – Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :

1° Un rappel à l’ordre ;

2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’Etat, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;

3° A l’exception des traitements qui intéressent la sûreté de l’Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu’ils sont mis en œuvre pour le compte de l’Etat, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation accordée en application du même règlement ou de la présente loi ;

4° Le retrait d’une certification ou l’injonction, à l’organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;

5° A l’exception des traitements qui intéressent la sûreté de l’Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu’ils sont mis en œuvre pour le compte de l’Etat, la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;

6° La suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes ;

7° A l’exception des cas où le traitement est mis en œuvre par l’Etat, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83.

Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l’article 60 du même règlement.

Article 21

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

I- Lorsque le non-respect des dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi entraîne une violation des droits et libertés mentionnés à l’article 1er de la présente loi et que le président de la commission considère qu’il est urgent d’intervenir, il saisit la formation restreinte, qui peut, dans le cadre d’une procédure d’urgence contradictoire définie par décret en Conseil d’Etat, adopter l’une des mesures suivantes :

1° L’interruption provisoire de la mise en œuvre du traitement, y compris d’un transfert de données hors de l’Union européenne, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui intéressent la sûreté de l’Etat ou la défense ou de ceux relevant du titre III lorsqu’ils sont mis en œuvre pour le compte de l’Etat ;

2° La limitation du traitement de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui intéressent la sûreté de l’Etat ou la défense ou de ceux relevant du titre III lorsqu’ils sont mis en œuvre pour le compte de l’Etat ;

3° La suspension provisoire de la certification délivrée au responsable de traitement ou à son sous-traitant ;

4° La suspension provisoire de l’agrément délivré à un organisme de certification ou un organisme chargé du respect d’un code de conduite ;

5° La suspension provisoire de l’autorisation délivrée sur le fondement du III de l’article 66 de la présente loi ;

6° L’injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans le cas où le traitement est mis en œuvre par l’Etat, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;

7° Un rappel à l’ordre ;

8° L’information du Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est au nombre de ceux qui intéressent la sûreté de l’Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu’ils sont mis en œuvre pour le compte de l’Etat. Le Premier ministre fait alors connaître à la formation restreinte les suites qu’il a données à cette information au plus tard quinze jours après l’avoir reçue.

II- En cas de circonstances exceptionnelles prévues au 1 de l’article 66 du règlement (UE) 2016/679 du 27 avril 2016, lorsque la formation restreinte adopte les mesures provisoires prévues aux 1° à 4° du I du présent article, elle informe sans délai de la teneur des mesures prises et de leurs motifs les autres autorités de contrôle concernées, le comité européen de la protection des données mentionné à l’article 68 du même règlement et la Commission européenne.

Lorsque la formation restreinte a pris de telles mesures et qu’elle estime que des mesures définitives doivent être prises, elle met en œuvre les dispositions du 2 de l’article 66 du règlement (UE) 2016/679 du 27 avril 2016.

III – Pour les traitements relevant du règlement (UE) 2016/679 du 27 avril 2016, lorsqu’une autorité de contrôle compétente en application du même règlement n’a pas pris de mesure appropriée dans une situation où il est urgent d’intervenir afin de protéger les droits et libertés des personnes concernées, la formation restreinte, saisie par le président de la commission, peut demander au comité européen de la protection des données un avis d’urgence ou une décision contraignante d’urgence dans les conditions et selon les modalités prévues aux 3 et 4 de l’article 66 dudit règlement.

IV- En cas d’atteinte grave et immédiate aux droits et libertés mentionnés à l’article 1er de la présente loi, le président de la commission peut en outre demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés.

Article 22

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Les mesures prévues au III de l’article 20 et aux 1° à 7° du I de l’article 21 de la présente loi sont prononcées sur la base d’un rapport établi par l’un des membres de la Commission nationale de l’informatique et des libertés, désigné par le président de celle-ci parmi les membres n’appartenant pas à la formation restreinte. Ce rapport est notifié au responsable de traitement ou à son sous-traitant, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la formation restreinte mais ne prend pas part à ses délibérations. La formation restreinte peut entendre toute personne dont l’audition lui paraît susceptible de contribuer utilement à son information, y compris les agents des services de la commission.

La formation restreinte peut rendre publiques les mesures qu’elle prend. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu’elle désigne, aux frais des personnes sanctionnées.

Sans préjudice des obligations d’information qui incombent au responsable de traitement ou à son sous-traitant en application de l’article 34 du règlement (UE) 2016/679 du 27 avril 2016, la formation restreinte peut ordonner que ce responsable ou ce sous-traitant informe individuellement, à ses frais, chacune des personnes concernées de la violation relevée des dispositions de la présente loi ou du règlement précité ainsi que, le cas échéant, de la mesure prononcée.

Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l’amende administrative s’impute sur l’amende pénale qu’il prononce.

L’astreinte est liquidée par la formation restreinte, qui en fixe le montant définitif.

Les sanctions pécuniaires et les astreintes sont recouvrées comme les créances de l’Etat étrangères à l’impôt et au domaine.

Analyse des 3 textes qui précèdent 

L’article 58 du RGPD définit avec précision les pouvoirs dont doivent disposer les autorités de contrôle nationales afin d’assurer une application uniforme et effective des règles sur la protection des données dans l’Union européenne.
Ces pouvoirs sont répartis en trois familles principales:

• pouvoirs d’enquête (y compris accès aux données, locaux, audits) ;
• pouvoirs de mesures correctrices (avertissements, injonctions, sanctions, limitations, retraits de certifications) ;
• pouvoirs d’autorisation et de conseil (avis, approbation de codes de conduite, clauses contractuelles, etc.).​

La volonté est claire : pour garantir la cohérence du RGPD sur tout le territoire européen, chaque autorité doit posséder des prérogatives similaires et robustes, avec un encadrement juridique strict garantissant les droits de la défense et le respect du droit à un recours effectif (paragraphe 4).

Sous la directive 95/46 CE (article 28), les pouvoirs des autorités de contrôle étaient globalement similaires mais laissés à la discrétion des États membres, ce qui a conduit à une hétérogénéité importante des moyens d’action au sein de l’Union.
Les autorités pouvaient disposer de pouvoirs d’investigation, de contrôle et de sanction, mais ces prérogatives variaient selon les juridictions, certaines ayant seulement des pouvoirs consultatifs alors que d’autres pouvaient prononcer des sanctions effectives.
Le RGPD représente donc un renforcement majeur et une harmonisation des prérogatives, visant à corriger un manque de coordination et d’efficacité constaté sous la directive.​

La loi française Informatique et Libertés adapte ces principes à son cadre propre, avec des articles détaillant les pouvoirs d’enquête, de contrôle et de sanction de la CNIL.

• Les articles 19 à 22 confèrent aux membres de la CNIL des droits d’accès aux locaux et données, sous conditions strictes de procédure, notamment concernant les domiciles privés.
• L’article 20 permet à la CNIL d’émettre des avertissements et mises en demeure en cas de non-respect du RGPD.
• L’article 21 organise la saisine de la formation restreinte de la commission pour prononcer des sanctions telles que les rappels à l’ordre, injonctions de mise en conformité, suspensions de traitement, retraits de certifications, amendes administratives, etc.
• L’article 22 précise les procédures contradictoires et le caractère public des mesures prises par la CNIL.

Ce système résulte en un dispositif français qui a largement anticipé l’esprit du RGPD et qui est aujourd’hui pleinement aligné sur ses exigences en matière de pouvoirs effectifs.​

Ainsi, l’article 58 du RGPD est fondamental car il garantit aux autorités de contrôle les moyens d’agir concrètement pour faire respecter les droits des personnes sur le territoire européen, avec une capacité d’action étendue, transmissible entre États membres dans une logique de cohérence européenne.
Il marque un progrès net par rapport à la directive 95/46/CE en imposant des pouvoirs stricts, assortis de garanties procédurales, pour équilibrer efficacité et respect des libertés fondamentales.
La loi Informatique et Libertés complète ce cadre par un dispositif national robuste, positionnant la CNIL comme une autorité puissante et reconnue pour assurer la protection des données personnelles en France

Jurisprudences 

Européennes 

Affaire Media Company (Autriche)

Sanction de 15,200 euros d’amende 

En Autriche en 2024, une société de médias a été sanctionnée pour manque de coopération avec l’autorité de contrôle des données (Austrian Data Protection Authority – DSB). L’article 58 RGPD donne aux autorités de contrôle des pouvoirs d’enquête, dont la possibilité d’exiger la coopération des responsables de traitement et des sous-traitants. Le manquement à cette obligation peut conduire à des sanctions administratives. La sanction imposée reflète cette exigence de coopération que les entreprises doivent respecter pour permettre à l’autorité d’exercer ses missions de contrôle et d’enquête conformément au RGPD. 

Affaire Trive credit spain 

Sanction de 180,000 euros d’amende (Espagne) 

En Espagne, TRIVE CREDIT SPAIN a été sanctionnée pour non-respect d’une décision de l’autorité de contrôle relative à la réglementation RGPD, notamment en ne répondant pas à des demandes répétées de la Agencia Española de Protección de Datos (AEPD) pour se conformer à un droit d’accès exercé par un particulier. Cette sanction s’appuie sur l’article 58, paragraphe 2, du RGPD, qui confère aux autorités le pouvoir d’imposer des mesures correctrices incluant des amendes administratives, en cas de non-coopération ou de non-conformité. 

Françaises 

CE Fr., n°416505 (21 juin 2018)

Cette décision porte sur le refus de la CNIL d’engager une procédure de fond à l’encontre d’une personne visée par une plainte. Le Conseil d’État rappelle que l’autorité de contrôle disposant des pouvoirs d’enquête et d’action prévus à l’article 58 du RGPD (anciennement article 11 de la loi Informatique et Libertés) a une marge d’appréciation dans la conduite de ses procédures. Ce pouvoir discrétionnaire lui permet de refuser d’ouvrir une procédure sur le fond, notamment s’il n’y a pas d’éléments suffisants.

CE Fr., n°422575 (17 avril 2019)

Cette affaire concerne l’engagement par la formation restreinte de la CNIL d’une procédure de sanction sans mise en demeure préalable. Le Conseil d’État confirme que, dans certains cas, notamment lorsque le manquement n’est pas susceptible d’être régularisé, l’autorité de contrôle peut directement engager une procédure de sanction administrative, en application des pouvoirs du article 58, paragraphe 2, du RGPD.

Cette décision illustre la faculté pour l’autorité de contrôle d’adopter des mesures correctrices (dont des sanctions pécuniaires) en dérogation aux procédures habituelles, dès lors que cela est justifié par la nature et la gravité de la violation.

Recommandations 

G29 

Lignes directrices sur l’application et la fixation des amendes administratives – wp253 (3 octobre 2017)