FAQ Juridique

Une question d’ordre juridique concernant votre projet de création d'entreprise ?

Retrouvez dans cette FAQ un premier niveau de réponse à vos préoccupations juridiques. Près de 230 questions/réponses sont à votre disposition, classées par thème et sous-thème.

Pour le montage définitif de votre projet, nous vous invitons à vous rapprocher d’un expert juridique.

Veuillez sélectionner le thème et le sous-thème.

Quelles sont les sanctions en cas de non respect des obligations relatives aux données personnelles ?

Lorsque des manquements à la réglementation sur la protection des données personnelles (RGPD) sont portés à sa connaissance, la CNIL peut :

  • Prononcer un rappel à l’ordre
  • Enjoindre de mettre le traitement en conformité, y compris sous astreinte
  • Limiter temporairement ou définitivement un traitement
  • Suspendre les flux de données
  • Ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte
  • Prononcer une amende administrative

En fonction de l’infraction, Le montant des sanctions pécuniaires peut s’élever de 10 à 20 millions d’euros. L’amende peut être portée à 4 % du chiffre d’affaires annuel mondial dans le cas d’une entreprise.

Pour prononcer une amende administrative, la CNIL tient compte des éléments suivants :

  • La nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi
  • Le fait que la violation a été commise délibérément ou par négligence
  • Toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées
  • Le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre
  • Toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;
  • Le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ;
  • Les catégories de données à caractère personnel concernées par la violation
  • La manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation
  • Lorsque des mesures telles qu’un avertissement ou un rappel à l’ordre, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures
  • L’application de codes de conduite approuvés ou de mécanismes de certification approuvés
  • Toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation

De plus, des sanctions pénales sont également prévues pour certaines situations.


Sources juridiques

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
Loi n° 78-17 du 6 janvier 1978 modifiée par la loi ° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
Articles 226-16 et suivants du Code pénal