Gouvernance, violations et sanctions
Module 5 / 5
5.3 CNIL, sanctions financières et risque pénal
Les sanctions du RGPD ne sont pas qu'administratives. Trois régimes coexistent : sanctions CNIL (jusqu'à 20 millions d'euros), sanctions pénales (jusqu'à 5 ans d'emprisonnement) et responsabilité civile. Tour d'horizon de l'arsenal — et des cas marquants de la jurisprudence française.
Les pouvoirs de la CNIL
La CNIL dispose d'une palette graduée allant du rappel à l'ordre à la sanction maximale. Elle peut agir sur plainte, par contrôle inopiné ou dans le cadre d'enquêtes thématiques.
| Mesure | Objet |
|---|---|
| Avertissement | Rappel à l'ordre, sans publication par défaut |
| Mise en demeure | Délai imparti pour se mettre en conformité (1 à 6 mois) |
| Injonction sous astreinte | Obligation de faire / cesser, avec sanction quotidienne en cas d'inertie |
| Limitation temporaire ou définitive | Suspension du traitement litigieux |
| Amende administrative | Jusqu'à 20 M€ ou 4 % du CA mondial — montant le plus élevé retenu |
| Publication | La sanction peut être rendue publique (effet réputationnel majeur) |
Les deux paliers de l'amende administrative (Art. 83)
Palier 1 — jusqu'à 10 M€ ou 2 % du CA
Manquements aux obligations « techniques » :
- Absence ou défaut de registre
- Pas de notification de violation
- Privacy by design non respecté
- Non-désignation d'un DPO obligatoire
- Non-coopération avec la CNIL
Palier 2 — jusqu'à 20 M€ ou 4 % du CA
Manquements aux obligations « substantielles » :
- Violation des principes de l'Art. 5
- Absence de base légale
- Atteinte aux droits des personnes (Art. 12-22)
- Transfert hors UE non sécurisé
- Refus d'exécuter une injonction CNIL
Le montant de l'amende est proportionné selon dix critères (gravité, durée, intentionnalité, coopération, antécédents…). Pour les grands groupes, l'option « 4 % du CA mondial consolidé » peut représenter plusieurs centaines de millions d'euros.
Cas marquants côté employeurs
La CNIL ne sanctionne pas que les géants du numérique. Plusieurs décisions concernent directement la sphère RH et la surveillance des salariés.
Surveillance excessive du temps de travail
Plusieurs entreprises ont été sanctionnées pour des dispositifs jugés disproportionnés : enregistrement permanent d'écran, captures à intervalle régulier, scoring de productivité. La CNIL exige une évaluation préalable et une mesure proportionnée à la finalité.
Vidéosurveillance non conforme
Caméras filmant des postes de travail sans nécessité, sans information préalable du CSE, ni durée de conservation maîtrisée : c'est l'un des contentieux RH les plus fréquents.
Géolocalisation détournée
Géolocalisation maintenue hors temps de travail, ou utilisée pour évaluer la performance : la CNIL a rappelé à plusieurs reprises que la finalité initiale (sécurité, optimisation de tournées) ne pouvait pas servir d'autres usages.
Défaut de sécurité
Bases RH accessibles sans authentification, fichiers laissés ouverts sur Internet, mots de passe stockés en clair : la CNIL sanctionne sévèrement les manquements à l'article 32 RGPD.
Le détail des sanctions est public sur le site de la CNIL (rubrique « Sanctions »). Au-delà des montants, c'est souvent la publication elle-même qui pèse le plus pour l'entreprise (effet réputationnel, marque employeur).
Le volet pénal : un risque souvent sous-estimé
Indépendamment des sanctions CNIL, le Code pénal incrimine plusieurs infractions liées aux données personnelles. Elles s'appliquent aux personnes physiques (dirigeants, salariés indélicats).
| Article | Infraction | Peine maximale |
|---|---|---|
| 226-16 CP | Traitement sans formalités préalables / manquement à la sécurité | 5 ans / 300 000 € |
| 226-17 | Défaut de mesures de sécurité | 5 ans / 300 000 € |
| 226-18 | Collecte par moyen frauduleux ou déloyal | 5 ans / 300 000 € |
| 226-19 | Conservation de données sensibles sans base légale | 5 ans / 300 000 € |
| 226-21 | Détournement de finalité | 5 ans / 300 000 € |
| 226-22 | Divulgation portant atteinte à la considération ou à la vie privée | 5 ans / 300 000 € |
Le salarié indélicat n'est pas couvert
Un salarié qui consulte sans autorisation le dossier RH d'un collègue, divulgue un fichier client, ou utilise un accès professionnel à des fins personnelles peut engager sa propre responsabilité pénale, en plus de la sanction disciplinaire (jusqu'au licenciement pour faute grave). La condamnation pénale est à son nom propre, sans pouvoir s'abriter derrière l'employeur.
Réparation civile : le droit à indemnisation
L'article 82 RGPD prévoit que toute personne ayant subi un dommage matériel ou moral du fait d'une violation peut obtenir réparation. Les juridictions françaises commencent à appliquer ce mécanisme.
L'action est civile, et peut être individuelle (devant le tribunal judiciaire) ou collective (action de groupe RGPD prévue par la loi de 2018). Le préjudice moral lié à la perte de contrôle de ses données est désormais reconnu, même sans préjudice financier direct.
Information générale, pas de conseil juridique
Ce chapitre présente le cadre juridique général à titre informatif. Les montants, qualifications et application concrète d'une décision dépendent de chaque espèce et de l'évolution de la jurisprudence. Pour toute situation concrète, consulter un avocat spécialisé, le DPO ou la CNIL.
Synthèse du chapitre
- →Sanctions CNIL : jusqu'à 20 M€ ou 4 % du CA mondial
- →Deux paliers : 2 % pour les obligations techniques, 4 % pour les principes
- →Sanctions pénales : jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende
- →Action civile en réparation possible — préjudice moral reconnu