La Commission nationale de l’informatique et des libertés ou CNIL est chargée de veiller à la protection des données personnelles contenues dans les fichiers et les traitements informatiques ou papiers. Il s’agit d’une autorité administrative indépendante. Elle a pour objectif de s’assurer que les outils numériques soient au service du citoyen et qu’ils ne portent pas atteinte à l’identité humaine, aux droits de l’homme, à la vie privée et aux libertés publiques ou individuelles.
Comment se déroule une procédure de sanction par la CNIL ?
La CNIL tient un rôle d’alerte, de conseil et d’informateur envers tous les publics tout en disposant d’un pouvoir de contrôle et de sanction. Les vérifications peuvent être effectuées à la suite de plaintes, de signalements ou après une saisie par rapport à un cas particulier. Une procédure de sanction peut être engagée si la CNIL constate un manquement au RGPD ou à la loi « Informatique et Liberté ».
Quand une action punitive est susceptible d’être prononcée, le président de la CNIL peut nommer un rapporteur et saisir la formation restreinte. Il faut savoir que le rapporteur est désigné parmi les membres du collège. Il ne doit pas faire partie de la formation restreinte. Cette dernière est composée de 5 membres du collège et d’un président élu par ses pairs. Ce comité est destinataire de tous les documents échangés entre le rapporteur et l’organisme mis en cause.
Pendant cette procédure, le responsable de traitement ou le sous-traitant est informé de toutes les démarches engagées. Aussi, si le rapporteur l’estime utile, l’organisme visé peut être entendu lors d’une audition suivie de la rédaction d’un procès-verbal. Le comité peut également demander des contrôles complémentaires s’il pense que c’est nécessaire.
Quelles sont les sanctions que la CNIL peut prononcer ?
Quand la CNIL constate un manquement au RCPD ou à la loi, elle peut prononcer une ou plusieurs mesures après une procédure contradictoire. Pour un processus considéré comme ordinaire, la formation restreinte de la CNIL peut :
- Prononcer un rappel à l’ordre,
- Effectuer le retrait d’une certification,
- Suspendre de flux de données,
- Interdire ou retirer une autorisation, limiter temporaire ou définitivement le traitement,
- Suspendre partiellement ou totalement la décision d’approbation des règles d’entreprise contraignante,
- Enjoindre de se mettre en conformité assortie d’une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard,
- Prononcer une amende administrative : normalement elle ne peut dépasser 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’entreprise. Mais, si le manquement est plus grave, le montant peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Il faut savoir que la formation restreinte peut décréter de rendre publique la décision qu’elle a adoptée. Il faut noter qu’il existe désormais une procédure de sanctions simplifiée pour les dossiers peu complexes ou de faible gravité. Dans ce genre de cas, la CNIL prévoit des mesures punitives moins nombreuses et moins sévères. Aussi, les sanctions encourues par les organismes visés peuvent ne jamais être rendues publiques. Dans ce cas, le président de la formation restreinte peut prendre certaines mesures, notamment :
- Un rappel à l’ordre ;
- Une Injonction de se mettre en conformité, y compris sous astreinte d’un montant maximal de 100 euros par jour de retard ;
- Une amende administrative d’un montant maximal de 20 000 euros.
Ainsi, pour éviter les sanctions de la CNIL et les cyberattaques, l’entreprise doit mettre en place certains systèmes de protection, notamment des solutions anti-malware comme le Mailsafe d’Altospam.
Spam, anti-spam, mta, email, fqdn 
Laisser un commentaire