C’est quoi
- La CNIL (Commission nationale de l’informatique et des libertés) est l’autorité française de protection des données, chargée de faire appliquer le RGPD et la loi Informatique et Libertés.
- C’est une autorité administrative indépendante : elle ne reçoit pas d’instruction du gouvernement dans ses décisions.
- Elle exerce plusieurs grandes missions : informer et protéger les personnes, accompagner et conseiller les organisations, contrôler les traitements de données et, en cas de manquement, sanctionner.
Un double rĂ´le
- Un rôle d’accompagnement se traduit par la publication de guides, de référentiels, de recommandations et d’avis, ainsi que par des échanges avec les DPO (délégués à la protection des données).
- Un rôle de contrôle et de sanction s’appuie sur de larges pouvoirs d’enquête (contrôles sur place, en ligne, sur pièces, auditions) et sur une procédure de sanction formalisée.
Sanctions
- En cas de non-respect du RGPD, la CNIL peut prononcer différentes mesures : mise en demeure, injonction de se conformer, limitation ou suspension d’un traitement, et amendes administratives.
- Les amendes peuvent aller jusqu’à 20 millions d’euros ou, pour une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial, ainsi que la publicité de la décision de sanction.
Exemples de sanctions
Ressources
Le 5 septembre 2024, la CNIL a sanctionné la société CEGEDIM SANTÉ d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.
La loi Informatique et Libertés (article 66.III) prévoit que les traitements de données personnelles dans le domaine de la santé ne peuvent être mis en œuvre qu’après autorisation de la CNIL ou à la condition d’être conformes à un référentiel mentionné (article 66.II) : Quelles formalités pour les traitements de données de santé ?