📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Sanctions CNIL 2024 : les TPE/PME de plus en plus contrôlées.

Actualités RGPD

Sommaire

La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’organisme chargé de veiller à ce que les entreprises respectent leurs obligations en matière de protection des données personnelles. Elle peut, à ce titre, réaliser des contrôles et prononcer des sanctions en cas de manquements.

En 2024, l’autorité de contrôle a intensifié son action et force est de constater que les TPE et PME sont aussi concernées par ces mesures. Focus sur le bilan de la CNIL en 2024 et sur le déroulement des contrôles de l’autorité de protection des données. 

Bilan 2024 des sanctions de la CNIL 

En 2023, la CNIL a prononcé 42 sanctions pour un montant total de 89 179 500 euros. En 2024, ce chiffre a doublé : elle a en effet prononcé 87 sanctions, totalisant 55 212 400 euros d’amendes. 

La CNIL a également prononcé 180 mises en demeure et 64 rappels aux obligations légales, ce qui est inédit s’agissant ce type de mesures. Au total, ce sont donc 331 mesures correctrices que l’autorité indépendante a prononcé en 2024. 

Les secteurs d’activités concernés par ces sanctions sont très variés : 

  • Prospection commerciale : la CNIL a eu l’occasion de rappeler, à travers ses décisions, la nécessité pour chaque organisme de s’assurer que les données qu’il traite ont été obtenues légalement par leur partenaire 
  • Données de santé : l’autorité indépendante a prononcé plusieurs décisions importantes en matière d’anonymisation des données de santé. 
  • Surveillance des salariés : des entreprises ont été sanctionnées pour une surveillance excessive de leurs employés, notamment via des logiciels de suivi inappropriés. 

Parmi les principaux manquements constatés, l’autorité indépendante a relevé : l’absence de registre des activités de traitement, la collecte excessive de données, le non-respect des droits des personnes ou encore des défauts de sécurité.

Contrairement à une idée reçue, les contrôles et sanctions de la CNIL concernent aussi les TPE et PME !

Les TPE/PME également concernées par les contrôles

Les TPE et PME ne sont pas exempts des contrôles de la CNIL. Bien au contraire, elles sont de plus en plus concernées par ces vérifications. Entre 2023 et 2024, le nombre de contrôles a connu une augmentation spectaculaire de 300 %, traduisant la volonté accrue de la CNIL de s’assurer du respect du RGPD par toutes les structures. 

En ce qui concerne les sanctions, en 2024 près de 8 sanctions sur 10 ont été prononcées à l’encontre des TPE/PME. Sur les 87 sanctions, 69 ont été réalisées dans le cadre de la procédure simplifiée instaurée en 2022. Cela montre une volonté de la CNIL d’accélérer ses contrôles et sanctions, et ce aussi pour les plus petits organismes. 

Il est donc primordial pour toutes les entreprises, y compris les TPE et PME, de mettre en place des mesures appropriées afin de protéger les données personnelles qu’elles traitent et de se conformer au RGPD.

Cela est d’autant plus important qu’une éventuelle sanction de la CNIL aurait plusieurs conséquences : 

  • Coût financier : les amendes de la CNIL peuvent atteindre plusieurs milliers d’euros selon la gravité de la sanction. Or, ceci peut constituer une somme importante pour une petite structure. 
  • Coût organisationnel : la mise en conformité suite à une amende peut être couteuse et chronophage. Il est donc nécessaire d’anticiper 
  • Réputation entachée : une sanction pourrait impacter négativement la réputation d’une structure. De nombreux partenaires exigent en effet désormais une preuve de conformité et ils pourraient ainsi hésiter à collaborer suite à une sanction de la CNIL 

Cet article pourrait vous intéresser : En 2024, les TPE/PME sont de plus en plus sanctionnées par la CNIL : on vous explique pourquoi.

Face à la hausse des contrôles et sanctions de la CNIL en 2024 et aux conséquences attachées, il est essentiel pour toutes les entreprises, quelle que soit leur taille, de comprendre le processus de contrôle afin de s’y préparer plus sereinement. 

Comment se déroule un contrôle de la CNIL ? 

Toutes les structures, publiques ou privées, établies en France ou effectuant des traitements de données personnelles sur des résidents français peuvent faire l’objet d’un contrôle. C’est au Président de la CNIL de décider d’effectuer un contrôle, sur la proposition des services. 

1 – Les types de contrôle 

Les contrôles sont réalisés par des agents de la CNIL et ils peuvent prendre 4 formes différentes : 

  • le contrôle sur place : les membres de la CNIL (généralement deux) se rendent au sein des locaux de la structure et réalisent des investigations concernant les traitements de données personnelles. Les agents de la CNIL peuvent être accompagnés d’experts pendant le contrôle, tel qu’un médecin s’il s’agit de traitements de données médicales. 
  • le contrôle sur audition : dans ce type de contrôle, après réception de convocations au moins 8 jours avant le jour du contrôle, des représentants de l’organisme (responsable de traitement ou sous-traitant) se présentent dans les locaux de la Commission et répondent aux questions qui leur sont posées concernant les traitements concernés. 
  • le contrôle en ligne : les agents de la CNIL peuvent effectuer des vérifications en consultant directement les ressources en ligne de l’organisme contrôlé 
  • le contrôle sur pièces : la CNIL envoie un questionnaire par courrier à l’organisme afin d’apprécier la conformité de ses traitements. La structure devra alors répondre en joignant les documents nécessaires 

Ces contrôles peuvent être effectués de façon complémentaire : un contrôle sur pièces peut ainsi précéder un contrôle sur place. 

2 – L’objet des contrôles 

Les contrôles de la CNIL portent sur les traitements de données personnelles réalisés par l’entreprise. Elle va notamment observer la nature des données collectées, la manière dont elles sont collectées, l’utilisation qui est faite des données ainsi que leur conservation dans le système d’informations

La CNIL va par ailleurs accorder une importance majeure sur ces points : 

  • le respect des droits des personnes : l’entreprise permet-elle l’exercice des droits consacrés par le RGPD ? 
  • les traitements des données sensibles, notamment les données sur les personnes mineures
  • les relations contractuelles entre les responsables de traitements et les sous-traitants 

3 – Suite à un contrôle 

Après un contrôle de la CNIL, deux situations peuvent se présenter :

  • Si aucun manquement majeur n’est relevé, l’entreprise reçoit un courrier confirmant la clôture du dossier, accompagné éventuellement de quelques observations.
  • Si des manquements graves au RGPD sont constatés, la CNIL envoie une mise en demeure précisant les mesures correctives à mettre en place dans un délai de 10 jours à 6 mois. Cette mise en demeure n’est pas une sanction, mais un avertissement. Si l’entreprise ne se met pas en conformité dans les délais, la CNIL peut alors prononcer une sanction financière pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Toutefois, elle privilégie souvent un rappel à l’ordre ou une injonction sous astreinte avant de décider d’infliger des sanctions financières. 

La décision finale (rappel à l’ordre, injonction sous astreinte ou sanction pécuniaire) dépend de la gravité des manquements et du comportement de l’entreprise, notamment sa bonne foi et son niveau de coopération.

Cet article pourrait également vous intéresser : La SNCF ne vous demandera bientôt plus votre genre lors de l’achat d’un billet : la CJUE rappelle les limites de la collecte des données personnelles

4 – Est-il possible de s’opposer à un contrôle de la CNIL ? 

Une entreprise peut, dans certains cas, s’opposer à un contrôle de la CNIL, mais cette opposition doit être justifiée par un motif légitime, comme la violation du secret professionnel. Cette opposition doit être consignée dans un procès-verbal, transmis au juge des libertés et de la détention, qui dispose de 48 heures pour autoriser ou non le contrôle. C’est donc toujours le juge qui a le dernier mot.

Cependant, il ne faut pas confondre ce droit d’opposition avec le délit d’entrave, qui est passible d’un an de prison et de 15 000 € d’amende. Il y a délit d’entrave si :

  • L’entreprise empêche un contrôle autorisé par le juge.
  • Elle refuse de fournir, dissimule ou détruit des documents demandés.
  • Elle modifie des informations pour fausser le contrôle.

Ainsi, si une entreprise souhaite s’opposer à un contrôle, elle doit avoir une justification solide et respecter les règles en vigueur pour éviter toute sanction supplémentaire.

La protection des données personnelles concerne donc tous les organismes, des grandes multinationales aux plus petites entreprises. En adoptant de bonnes pratiques et en restant informées, les entreprises peuvent non seulement éviter des sanctions, mais aussi renforcer la confiance de leurs clients et partenaires. 

Confiez-nous votre conformité
on saura la faire passer de 😡 à 😎
Prendre RDV maintenant
Partager le post

Articles connexes

Joséphine Iachino
Joséphine Iachino
Juriste en protection des données / Master 2 Droit Algorithmique et Gouvernance des Données.
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.

Recevez gratuitement

notre guide RGPD

Découvrez les clés de la conformité RGPD.

Vos données sont en sécurité 🔒. En entrant votre nom et e-mail, vous acceptez de recevoir notre guide RGPD et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.