En bref
La CNIL contrôle les organismes via quatre modalités (sur place, en ligne, sur pièces, sur audition) et peut sanctionner par des amendes atteignant 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
La CNIL, autorité de contrôle indépendante au titre du RGPD
Art. 58 RGPD
« L'autorité de contrôle dispose de pouvoirs d'enquête, de pouvoirs correctifs et de pouvoirs d'autorisation et de conseil, exercés conformément aux garanties procédurales prévues par le droit de l'État membre. »
Source : RGPD — Règlement (UE) 2016/679
Les quatre modalités de contrôle de la CNIL
Art. 19, loi n° 78-17 du 6 janv. 1978
« Les membres et agents habilités de la CNIL peuvent procéder à des vérifications sur place, en ligne, sur pièces et sur audition portant sur tout traitement de données à caractère personnel. »
Préparez votre dossier de conformité en amont
Constituez un dossier complet et à jour comprenant registre des traitements, analyses d'impact, contrats de sous-traitance, preuves de consentement et procédures de gestion des droits. Lors d'un contrôle, la production rapide de ces pièces témoigne de votre diligence et facilite considérablement les échanges avec les agents de la CNIL.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Procédure de sanction devant la formation restreinte
Art. 20, loi n° 78-17 du 6 janv. 1978
« La formation restreinte de la CNIL peut prononcer un rappel à l'ordre, une injonction de mise en conformité sous astreinte, une limitation ou une interdiction du traitement, une amende administrative et ordonner la publicité de sa décision. »
Ne pas confondre mise en demeure et sanction
La mise en demeure de la CNIL n'est pas une sanction mais une injonction préalable offrant un délai de régularisation. Y répondre de manière circonstanciée et dans le délai imparti peut éviter l'ouverture d'une procédure formelle devant la formation restreinte. Ignorer cette phase est une erreur grave.
Échelle des sanctions et critères d'appréciation
Art. 83 RGPD
« L'amende administrative peut atteindre 20 000 000 d'euros ou, dans le cas d'une entreprise, 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. »
Source : RGPD — Règlement (UE) 2016/679
Plafond maximal d'amende RGPD
Amende maximale applicable aux violations des principes fondamentaux du traitement ou des droits des personnes concernées.
Source : Règlement (UE) 2016/679, art. 83 § 5
Jurisprudence marquante et évolution du régime répressif
Cass. soc., 8 octobre 2014, n° 13-14.991
« Les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL constituent un moyen de preuve illicite devant être écarté des débats. »
Source : JUDILIBRE — Cour de cassation
Cass. com., 25 juin 2013, n° 12-17.037
« Un fichier de clientèle informatisé contenant des données à caractère personnel non déclaré auprès de la CNIL n'est pas dans le commerce ; sa vente a un objet illicite entraînant nullité. »
Source : JUDILIBRE — Cour de cassation
Voies de recours et articulation avec les autres branches du droit
Saisissez le Conseil d'État dans le délai de deux mois
En cas de désaccord avec une sanction de la CNIL, un recours de plein contentieux devant le Conseil d'État permet de contester tant la régularité de la procédure que la proportionnalité de l'amende. Faites-vous assister d'un avocat spécialisé en droit public et en droit des données personnelles.
Aucune étude de cas associée.
Questions fréquentes
Quels sont les quatre types de contrôle que peut exercer la CNIL ?
La CNIL exerce quatre formes de contrôle définies par la loi : le contrôle sur place dans les locaux de l'organisme, le contrôle en ligne des sites web et applications, le contrôle sur pièces par demande de documents, et le contrôle sur audition par convocation dans ses locaux.
Quel est le montant maximal d'amende que la CNIL peut prononcer ?
L'amende administrative peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise, le montant le plus élevé étant retenu. Pour les manquements techniques moins graves, le plafond est de 10 millions d'euros ou 2 % du chiffre d'affaires.
Comment contester une décision de sanction prononcée par la CNIL ?
Un recours de plein contentieux peut être formé devant le Conseil d'État dans un délai de deux mois à compter de la notification de la décision. Le juge administratif vérifie la proportionnalité de la sanction et peut réformer le montant de l'amende.
La CNIL peut-elle effectuer un contrôle sans prévenir l'organisme concerné ?
Oui, la CNIL peut réaliser des contrôles sur place sans information préalable du responsable de traitement. Seul le contrôle de locaux à usage d'habitation nécessite l'autorisation du juge des libertés et de la détention. Les contrôles en ligne sont également conduits sans préavis.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
- Procédure à Dunkerque
- Procédure à Pau
- Procédure à Fort De France
- Procédure à Saint Etienne Du Rouvray
- Procédure à Merignac
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,99 € · paiement sécurisé · document prêt en quelques minutes