Formation RGPD Salariés 2026

Gouvernance, violations et sanctions

Module 5 / 5

Module 5 : Gouvernance & Sanctions 20 min de lecture

5.3 CNIL, sanctions financières et risque pénal

Les sanctions du RGPD ne sont pas qu'administratives. Trois régimes coexistent : sanctions CNIL (jusqu'à 20 millions d'euros), sanctions pénales (jusqu'à 5 ans d'emprisonnement) et responsabilité civile. Tour d'horizon de l'arsenal — et des cas marquants de la jurisprudence française.

1

Les pouvoirs de la CNIL

La CNIL dispose d'une palette graduée allant du rappel à l'ordre à la sanction maximale. Elle peut agir sur plainte, par contrôle inopiné ou dans le cadre d'enquêtes thématiques.

Mesure Objet
AvertissementRappel à l'ordre, sans publication par défaut
Mise en demeureDélai imparti pour se mettre en conformité (1 à 6 mois)
Injonction sous astreinteObligation de faire / cesser, avec sanction quotidienne en cas d'inertie
Limitation temporaire ou définitiveSuspension du traitement litigieux
Amende administrativeJusqu'à 20 M€ ou 4 % du CA mondial — montant le plus élevé retenu
PublicationLa sanction peut être rendue publique (effet réputationnel majeur)
2

Les deux paliers de l'amende administrative (Art. 83)

Palier 1 — jusqu'à 10 M€ ou 2 % du CA

Manquements aux obligations « techniques » :

  • Absence ou défaut de registre
  • Pas de notification de violation
  • Privacy by design non respecté
  • Non-désignation d'un DPO obligatoire
  • Non-coopération avec la CNIL
Palier 2 — jusqu'à 20 M€ ou 4 % du CA

Manquements aux obligations « substantielles » :

  • Violation des principes de l'Art. 5
  • Absence de base légale
  • Atteinte aux droits des personnes (Art. 12-22)
  • Transfert hors UE non sécurisé
  • Refus d'exécuter une injonction CNIL

Le montant de l'amende est proportionné selon dix critères (gravité, durée, intentionnalité, coopération, antécédents…). Pour les grands groupes, l'option « 4 % du CA mondial consolidé » peut représenter plusieurs centaines de millions d'euros.

3

Cas marquants côté employeurs

La CNIL ne sanctionne pas que les géants du numérique. Plusieurs décisions concernent directement la sphère RH et la surveillance des salariés.

Surveillance excessive du temps de travail

Plusieurs entreprises ont été sanctionnées pour des dispositifs jugés disproportionnés : enregistrement permanent d'écran, captures à intervalle régulier, scoring de productivité. La CNIL exige une évaluation préalable et une mesure proportionnée à la finalité.

Vidéosurveillance non conforme

Caméras filmant des postes de travail sans nécessité, sans information préalable du CSE, ni durée de conservation maîtrisée : c'est l'un des contentieux RH les plus fréquents.

Géolocalisation détournée

Géolocalisation maintenue hors temps de travail, ou utilisée pour évaluer la performance : la CNIL a rappelé à plusieurs reprises que la finalité initiale (sécurité, optimisation de tournées) ne pouvait pas servir d'autres usages.

Défaut de sécurité

Bases RH accessibles sans authentification, fichiers laissés ouverts sur Internet, mots de passe stockés en clair : la CNIL sanctionne sévèrement les manquements à l'article 32 RGPD.

Le détail des sanctions est public sur le site de la CNIL (rubrique « Sanctions »). Au-delà des montants, c'est souvent la publication elle-même qui pèse le plus pour l'entreprise (effet réputationnel, marque employeur).

4

Le volet pénal : un risque souvent sous-estimé

Indépendamment des sanctions CNIL, le Code pénal incrimine plusieurs infractions liées aux données personnelles. Elles s'appliquent aux personnes physiques (dirigeants, salariés indélicats).

Article Infraction Peine maximale
226-16 CPTraitement sans formalités préalables / manquement à la sécurité5 ans / 300 000 €
226-17Défaut de mesures de sécurité5 ans / 300 000 €
226-18Collecte par moyen frauduleux ou déloyal5 ans / 300 000 €
226-19Conservation de données sensibles sans base légale5 ans / 300 000 €
226-21Détournement de finalité5 ans / 300 000 €
226-22Divulgation portant atteinte à la considération ou à la vie privée5 ans / 300 000 €
Le salarié indélicat n'est pas couvert

Un salarié qui consulte sans autorisation le dossier RH d'un collègue, divulgue un fichier client, ou utilise un accès professionnel à des fins personnelles peut engager sa propre responsabilité pénale, en plus de la sanction disciplinaire (jusqu'au licenciement pour faute grave). La condamnation pénale est à son nom propre, sans pouvoir s'abriter derrière l'employeur.

5

Réparation civile : le droit à indemnisation

L'article 82 RGPD prévoit que toute personne ayant subi un dommage matériel ou moral du fait d'une violation peut obtenir réparation. Les juridictions françaises commencent à appliquer ce mécanisme.

L'action est civile, et peut être individuelle (devant le tribunal judiciaire) ou collective (action de groupe RGPD prévue par la loi de 2018). Le préjudice moral lié à la perte de contrôle de ses données est désormais reconnu, même sans préjudice financier direct.

Information générale, pas de conseil juridique

Ce chapitre présente le cadre juridique général à titre informatif. Les montants, qualifications et application concrète d'une décision dépendent de chaque espèce et de l'évolution de la jurisprudence. Pour toute situation concrète, consulter un avocat spécialisé, le DPO ou la CNIL.

Synthèse du chapitre

  • Sanctions CNIL : jusqu'à 20 M€ ou 4 % du CA mondial
  • Deux paliers : 2 % pour les obligations techniques, 4 % pour les principes
  • Sanctions pénales : jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende
  • Action civile en réparation possible — préjudice moral reconnu
RGPD pour Salariés