Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Section 3 : Mesures correctrices et sanctions
II.-Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu'il fixe :
1° De satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits ;
2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;
3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;
4° De rectifier ou d'effacer des données à caractère personnel, ou de limiter le traitement de ces données.
Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu'il a prises.
Le délai de mise en conformité peut être fixé à vingt-quatre heures en cas d'extrême urgence.
Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.
Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité.
III.-Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :
1° Un rappel à l'ordre ;
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;
3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation accordée en application du même règlement ou de la présente loi ;
4° Le retrait d'une certification ou l'injonction, à l'organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;
5° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat, la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;
6° La suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes ;
7° A l'exception des cas où le traitement est mis en œuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.
Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement.
Nota
II.-Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut le rappeler à ses obligations légales ou, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu'il fixe :
1° De satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits ;
2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;
3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;
4° De rectifier ou d'effacer des données à caractère personnel, ou de limiter le traitement de ces données.
Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu'il a prises.
Le président peut demander qu'il soit justifié de la mise en conformité dans un délai qu'il fixe. Ce délai peut être fixé à vingt-quatre heures en cas d'urgence. Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.
Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité.
III.-Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou après avoir prononcé à son encontre une ou plusieurs des mesures correctrices prévues au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :
1° Un rappel à l'ordre ;
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;
3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation accordée en application du même règlement ou de la présente loi ;
4° Le retrait d'une certification ou l'injonction, à l'organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;
5° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat, la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;
6° La suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes ;
7° A l'exception des cas où le traitement est mis en œuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.
Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement.
IV.-Lorsque la formation restreinte a été saisie, le président de celle-ci peut enjoindre au mis en cause de produire les éléments demandés par la Commission nationale de l'informatique et des libertés, en cas d'absence de réponse à une précédente mise en demeure, et assortir cette injonction d'une astreinte, dont le montant ne peut excéder 100 € par jour de retard, à la liquidation de laquelle il procède, le cas échéant.
Il peut également constater qu'il n'y a plus lieu de statuer.
II. - Pour l'exercice des missions relevant de la Commission nationale de l'informatique et des libertés en application du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), son président peut accepter des engagements proposés par les fournisseurs de plateformes en ligne et de nature à garantir la conformité du service avec les obligations prévues à l'article 124-5 de la présente loi.
La proposition d'engagements des fournisseurs de plateforme en ligne est suffisamment détaillée, notamment en ce qui concerne le calendrier et la portée de leur mise en œuvre ainsi que leur durée, pour permettre à la Commission nationale de l'informatique et des libertés de procéder à son évaluation.
Au terme de cette évaluation, le président de la Commission nationale de l'informatique et des libertés peut décider de rendre contraignants tout ou partie de ces engagements, pour une période donnée qui ne peut dépasser la durée proposée par le fournisseur de plateformes en ligne.
Un décret en Conseil d'Etat précise la procédure selon laquelle de tels engagements sont proposés au président de la commission, puis acceptés ou rendus contraignants par celui-ci.
III. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi ou lorsque le fournisseur de plateformes en ligne ne respecte pas les obligations résultant de l'article 124-5 de la présente loi ou ses engagements pris au titre du II du présent article, le président de la Commission nationale de l'informatique et des libertés peut le rappeler à ses obligations légales ou, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu'il fixe. Le responsable de traitement ou son sous-traitant ne respectant pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi peut être mis en demeure :
1° De satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits ;
2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;
3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;
4° De rectifier ou d'effacer des données à caractère personnel, ou de limiter le traitement de ces données.
Dans le cas prévu au 4° du présent III, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu'il a prises.
Le président peut demander qu'il soit justifié de la mise en conformité dans un délai qu'il fixe. Ce délai peut être fixé à vingt-quatre heures en cas d'urgence. Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.
Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité.
IV. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou après avoir prononcé à son encontre une ou plusieurs des mesures correctrices prévues au III, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :
1° Un rappel à l'ordre ;
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;
3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation accordée en application du même règlement ou de la présente loi ;
4° Le retrait d'une certification ou l'injonction, à l'organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;
5° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat, la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;
6° La suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes ;
7° A l'exception des cas où le traitement est mis en œuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.
Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement.
V. - Lorsque le fournisseur de plateformes en ligne ne respecte pas les obligations résultant de l'article 124-5 de la présente loi ou ses engagements pris au titre du II du présent article, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après avoir prononcé à son encontre une ou plusieurs des mesures correctrices prévues au III, saisir la formation restreinte de la commission en vue du prononcé, après une procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :
1° Un rappel à l'ordre ;
2° Une injonction de mettre en conformité le service avec les obligations prévues au présent chapitre. Cette injonction est assortie d'un délai d'exécution qui ne peut être inférieur à trois jours. Elle peut être assortie d'une astreinte dont le montant journalier ne peut excéder 5 % des revenus ou du chiffre d'affaires mondial journalier moyen du fournisseur de plateformes en ligne concerné au cours de l'exercice précédent et qui prend effet au terme du délai d'exécution ;
3° Une amende administrative ne pouvant excéder 6 % du chiffre d'affaires mondial du fournisseur de plateformes en ligne réalisé au cours de l'exercice précédent.
Dans le cadre de l'application de l'article 124-5, toute inexécution des demandes de la Commission nationale de l'informatique et des libertés émises en application de l'article 19 ainsi que la transmission d'informations inexactes, incomplètes ou trompeuses est susceptible de faire l'objet des mesures prévues aux 2° et 3° du présent V. Toutefois, le montant maximal de l'amende administrative est ramené à 1 % du chiffre d'affaires mondial.
Ces mesures sont précédées, lorsqu'elles ne visent pas le responsable de traitement ou le fournisseur de plateformes en ligne lui-même, d'un rappel à l'ordre comportant les informations prévues au dernier alinéa du 2 de l'article 51 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité.
VI. - Lorsque la formation restreinte a été saisie, le président de celle-ci peut enjoindre au mis en cause de produire les éléments demandés par la Commission nationale de l'informatique et des libertés, en cas d'absence de réponse à une précédente mise en demeure, et assortir cette injonction d'une astreinte, dont le montant ne peut excéder 100 € par jour de retard, à la liquidation de laquelle il procède, le cas échéant.
Lorsque la formation restreinte a été saisie et que le manquement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, son président peut également adopter, après une procédure contradictoire et selon des modalités précisées par décret en Conseil d'Etat, une injonction à caractère provisoire. Cette injonction peut porter sur toute mesure de nature à mettre fin au manquement et être assortie d'une astreinte dont le montant, qui ne peut excéder 100 000 euros par jour de retard à compter de la date figurant dans l'injonction, est fixé en tenant compte de la nature, de la gravité et de la durée du manquement allégué ainsi que des avantages tirés de ce manquement et des manquements commis précédemment.
L'injonction ainsi adoptée et, le cas échéant, l'astreinte dont elle est assortie prennent fin au plus tard à la date à laquelle se prononce la formation restreinte ou son président sur le fondement du présent article et des articles 21,22 et 23 ou, dans le cas prévu à l'article 22-1, à la date à laquelle sont engagées des poursuites.
Les astreintes sont liquidées par la formation restreinte, qui en fixe le montant définitif, et recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine.
Il peut également constater qu'il n'y a plus lieu de statuer.
Nota
I. - Pour l'exercice des missions relevant de la Commission nationale de l'informatique et des libertés en application du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données), les membres et les agents habilités dans les conditions définies au second alinéa de l'article 10 de la présente loi peuvent obtenir communication de tous les documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support. Le secret ne peut leur être opposé. Ils peuvent, à cette fin, adresser aux personnes de contact, au sens du g du 4 de l'article 19 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité, une demande motivée pour obtenir, dans le délai fixé par la demande et qui ne peut être inférieur à sept jours, les informations requises pour vérifier le respect des exigences énoncées au chapitre IV du même règlement.
II. - Lorsqu'il est constaté qu'une organisation altruiste en matière de données reconnue ne respecte pas les exigences énoncées au chapitre IV du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité, le président de la Commission nationale de l'informatique et des libertés notifie ces constatations à l'organisation concernée et lui donne la possibilité de répondre dans un délai de trente jours à compter de la réception de la notification.
III. - Si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, le président de la Commission nationale de l'informatique et des libertés peut, après avoir émis la notification prévue au II du présent article, mettre en demeure une organisation altruiste en matière de données reconnue de se conformer, dans le délai qu'il fixe, aux exigences énoncées au chapitre IV du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité.
Le président peut demander qu'il soit justifié de la mise en conformité dans un délai qu'il fixe. Ce délai peut être fixé à vingt-quatre heures en cas d'urgence. Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.
Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité.
IV. - Lorsque l'organisation altruiste en matière de données reconnue ne respecte pas les obligations résultant du chapitre IV du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé la notification prévue au II du présent article ou après avoir prononcé à son encontre la mise en demeure prévue au III, saisir la formation restreinte de la commission en vue du prononcé, après une procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :
1° L'une des sanctions énoncées au 5 de l'article 24 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité ;
2° Une amende administrative dont le montant tient compte des critères fixés à l'article 34 du même règlement et ne peut excéder les plafonds prévus au 4 de l'article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
1° L'interruption provisoire de la mise en œuvre du traitement, y compris d'un transfert de données hors de l'Union européenne, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III lorsqu'ils sont mis en œuvre pour le compte de l'Etat ;
2° La limitation du traitement de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III lorsqu'ils sont mis en œuvre pour le compte de l'Etat ;
3° La suspension provisoire de la certification délivrée au responsable de traitement ou à son sous-traitant ;
4° La suspension provisoire de l'agrément délivré à un organisme de certification ou un organisme chargé du respect d'un code de conduite ;
5° La suspension provisoire de l'autorisation délivrée sur le fondement du III de l'article 66 de la présente loi ;
6° L'injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans le cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;
7° Un rappel à l'ordre ;
8° L'information du Premier ministre pour qu'il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est au nombre de ceux qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat. Le Premier ministre fait alors connaître à la formation restreinte les suites qu'il a données à cette information au plus tard quinze jours après l'avoir reçue.
II.-En cas de circonstances exceptionnelles prévues au 1 de l'article 66 du règlement (UE) 2016/679 du 27 avril 2016, lorsque la formation restreinte adopte les mesures provisoires prévues aux 1° à 4° du I du présent article, elle informe sans délai de la teneur des mesures prises et de leurs motifs les autres autorités de contrôle concernées, le comité européen de la protection des données mentionné à l'article 68 du même règlement et la Commission européenne.
Lorsque la formation restreinte a pris de telles mesures et qu'elle estime que des mesures définitives doivent être prises, elle met en œuvre les dispositions du 2 de l'article 66 du règlement (UE) 2016/679 du 27 avril 2016.
III.-Pour les traitements relevant du règlement (UE) 2016/679 du 27 avril 2016, lorsqu'une autorité de contrôle compétente en application du même règlement n'a pas pris de mesure appropriée dans une situation où il est urgent d'intervenir afin de protéger les droits et libertés des personnes concernées, la formation restreinte, saisie par le président de la commission, peut demander au comité européen de la protection des données un avis d'urgence ou une décision contraignante d'urgence dans les conditions et selon les modalités prévues aux 3 et 4 de l'article 66 dudit règlement.
IV.-En cas d'atteinte grave et immédiate aux droits et libertés mentionnés à l'article 1er de la présente loi, le président de la commission peut en outre demander, par la voie du référé, à la juridiction compétente d'ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés.
Nota
1° L'interruption provisoire de la mise en œuvre du traitement, y compris d'un transfert de données hors de l'Union européenne, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III lorsqu'ils sont mis en œuvre pour le compte de l'Etat ;
2° La limitation du traitement de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III lorsqu'ils sont mis en œuvre pour le compte de l'Etat ;
3° La suspension provisoire de la certification délivrée au responsable de traitement ou à son sous-traitant ;
4° La suspension provisoire de l'agrément délivré à un organisme de certification ou un organisme chargé du respect d'un code de conduite ;
5° La suspension provisoire de l'autorisation délivrée sur le fondement du III de l'article 66 de la présente loi ;
6° L'injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans le cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;
7° Un rappel à l'ordre ;
8° L'information du Premier ministre pour qu'il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est au nombre de ceux qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat. Le Premier ministre fait alors connaître à la formation restreinte les suites qu'il a données à cette information au plus tard quinze jours après l'avoir reçue.
II.-En cas de circonstances exceptionnelles prévues au 1 de l'article 66 du règlement (UE) 2016/679 du 27 avril 2016, lorsque la formation restreinte adopte les mesures provisoires prévues aux 1° à 4° du I du présent article, elle informe sans délai de la teneur des mesures prises et de leurs motifs les autres autorités de contrôle concernées, le comité européen de la protection des données mentionné à l'article 68 du même règlement et la Commission européenne.
Lorsque la formation restreinte a pris de telles mesures et qu'elle estime que des mesures définitives doivent être prises, elle met en œuvre les dispositions du 2 de l'article 66 du règlement (UE) 2016/679 du 27 avril 2016.
III.-Pour les traitements relevant du règlement (UE) 2016/679 du 27 avril 2016, lorsqu'une autorité de contrôle compétente en application du même règlement n'a pas pris de mesure appropriée dans une situation où il est urgent d'intervenir afin de protéger les droits et libertés des personnes concernées, la formation restreinte, saisie par le président de la commission, peut demander au comité européen de la protection des données un avis d'urgence ou une décision contraignante d'urgence dans les conditions et selon les modalités prévues aux 3 et 4 de l'article 66 dudit règlement.
IV.-En cas d'atteinte grave et immédiate aux droits et libertés mentionnés à l'article 1er de la présente loi ou, lorsqu'il s'agit d'un mineur, en cas de non-exécution ou d'absence de réponse à une demande d'effacement des données à caractère personnel, le président de la commission peut en outre demander, par la voie du référé, à la juridiction compétente d'ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés.
La formation restreinte peut rendre publiques les mesures qu'elle prend. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu'elle désigne, aux frais des personnes sanctionnées.
Sans préjudice des obligations d'information qui incombent au responsable de traitement ou à son sous-traitant en application de l'article 34 du règlement (UE) 2016/679 du 27 avril 2016, la formation restreinte peut ordonner que ce responsable ou ce sous-traitant informe individuellement, à ses frais, chacune des personnes concernées de la violation relevée des dispositions de la présente loi ou du règlement précité ainsi que, le cas échéant, de la mesure prononcée.
Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l'amende administrative s'impute sur l'amende pénale qu'il prononce.
L'astreinte est liquidée par la formation restreinte, qui en fixe le montant définitif.
Les sanctions pécuniaires et les astreintes sont recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine.
Nota
La formation restreinte peut rendre publiques les mesures qu'elle prend. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu'elle désigne, aux frais des personnes sanctionnées.
Sans préjudice des obligations d'information qui incombent au responsable de traitement ou à son sous-traitant en application de l'article 34 du règlement (UE) 2016/679 du 27 avril 2016, la formation restreinte peut ordonner que ce responsable ou ce sous-traitant informe individuellement, à ses frais, chacune des personnes concernées de la violation relevée des dispositions de la présente loi ou du règlement précité ainsi que, le cas échéant, de la mesure prononcée.
Lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l'amende administrative s'impute sur l'amende pénale qu'il prononce.
L'astreinte est liquidée par la formation restreinte, qui en fixe le montant définitif.
Les sanctions pécuniaires et les astreintes sont recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine.
Nota
Par une décision n° 2025-1154 QPC du 8 août 2025, le Conseil constitutionnel a déclaré contraires à la Constitution les mots " déposer des observations " figurant à la deuxième phrase du premier alinéa de l’article 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction résultant de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l’espace numérique, ainsi que les mots " La formation restreinte peut entendre toute personne dont l’audition lui paraît susceptible de contribuer utilement à son information " figurant à la dernière phrase du même alinéa du même article.
L’abrogation de ces dispositions est reportée au 1er octobre 2026.
Les mesures prises avant la publication de la présente décision ne peuvent être contestées sur le fondement de cette inconstitutionnalité.
Jusqu’à l’entrée en vigueur d’une nouvelle loi ou jusqu’à la date de l’abrogation de ces dispositions, la personne mise en cause devant la formation restreinte doit se voir notifier son droit de se taire.
Le président de la commission peut engager les poursuites selon la procédure simplifiée lorsqu'il estime que les mesures correctrices prévues aux 1°, 2° et 7° du III de l'article 20 constituent la réponse appropriée à la gravité des manquements constatés, sous réserve que l'amende administrative encourue, mentionnée au 7° du même III, n'excède pas un montant de 20 000 € et que l'astreinte encourue, mentionnée au 2° dudit III, n'excède pas un montant de 100 € par jour de retard à compter de la date fixée par la décision.
En outre, le président de la Commission nationale de l'informatique et des libertés ne peut engager les poursuites selon la procédure simplifiée que lorsque l'affaire ne présente pas de difficulté particulière, eu égard à l'existence d'une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu'elle présente à trancher.
Le président de la formation restreinte ou le membre qu'il a désigné peut, pour tout motif, refuser de recourir à la procédure simplifiée ou l'interrompre. Dans ce cas, le président de la Commission nationale de l'informatique et des libertés reprend la procédure conformément aux exigences et aux garanties prévues à l'article 22.
Le président de la formation restreinte ou le membre qu'il a désigné statue sur la base d'un rapport établi par un agent des services de la Commission nationale de l'informatique et des libertés, habilité dans les conditions définies au dernier alinéa de l'article 10 et placé, pour l'exercice de cette mission, sous l'autorité du président de la Commission nationale de l'informatique et des libertés.
Le rapport mentionné au cinquième alinéa du présent article est notifié au responsable de traitement ou au sous-traitant, qui est informé du fait qu'il peut se faire représenter ou assister, présenter des observations écrites et demander à être entendu. Le président de la formation restreinte ou le membre qu'il a désigné peut solliciter les observations de toute personne pouvant contribuer à son information. Il statue ensuite et ne peut rendre publiques les décisions qu'il prend.
La formation restreinte est informée des décisions prises selon la procédure simplifiée par le président de la formation restreinte ou par le membre qu'il a désigné.
Lorsque le président de la formation restreinte ou le membre qu'il a désigné a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l'amende administrative s'impute sur l'amende pénale qu'il prononce.
L'astreinte est liquidée et le montant définitif en est fixé par le président de la formation restreinte ou le membre qu'il a désigné. Le dernier alinéa de l'article 22 est applicable aux décisions prises selon la procédure simplifiée.
Les modalités de mise en œuvre de la procédure simplifiée ainsi que les garanties applicables en matière de prévention des conflits d'intérêts pour les agents désignés rapporteurs sont fixées par décret en Conseil d'Etat.
Le président de la commission peut engager les poursuites selon la procédure simplifiée lorsqu'il estime que les mesures correctrices prévues aux 1°, 2° et 7° du IV et 1° et 2° du V de l'article 20 constituent la réponse appropriée à la gravité des manquements constatés, sous réserve que l'amende administrative encourue, mentionnée au 7° du IV et au 3° du V du même article 20, n'excède pas un montant de 20 000 € et que l'astreinte encourue, mentionnée au 2° des IV et V dudit article 20, n'excède pas un montant de 100 € par jour de retard à compter de la date fixée par la décision.
En outre, le président de la Commission nationale de l'informatique et des libertés ne peut engager les poursuites selon la procédure simplifiée que lorsque l'affaire ne présente pas de difficulté particulière, eu égard à l'existence d'une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu'elle présente à trancher.
Le président de la formation restreinte ou le membre qu'il a désigné peut, pour tout motif, refuser de recourir à la procédure simplifiée ou l'interrompre. Dans ce cas, le président de la Commission nationale de l'informatique et des libertés reprend la procédure conformément aux exigences et aux garanties prévues à l'article 22.
Le président de la formation restreinte ou le membre qu'il a désigné statue sur la base d'un rapport établi par un agent des services de la Commission nationale de l'informatique et des libertés, habilité dans les conditions définies au dernier alinéa de l'article 10 et placé, pour l'exercice de cette mission, sous l'autorité du président de la Commission nationale de l'informatique et des libertés.
Le rapport mentionné au cinquième alinéa du présent article est notifié au responsable de traitement ou au sous-traitant, qui est informé du fait qu'il peut se faire représenter ou assister, présenter des observations écrites et demander à être entendu. Le président de la formation restreinte ou le membre qu'il a désigné peut solliciter les observations de toute personne pouvant contribuer à son information. Il statue ensuite et ne peut rendre publiques les décisions qu'il prend.
La formation restreinte est informée des décisions prises selon la procédure simplifiée par le président de la formation restreinte ou par le membre qu'il a désigné.
Lorsque le président de la formation restreinte ou le membre qu'il a désigné a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que l'amende administrative s'impute sur l'amende pénale qu'il prononce.
L'astreinte est liquidée et le montant définitif en est fixé par le président de la formation restreinte ou le membre qu'il a désigné. Le dernier alinéa de l'article 22 est applicable aux décisions prises selon la procédure simplifiée.
Les modalités de mise en œuvre de la procédure simplifiée ainsi que les garanties applicables en matière de prévention des conflits d'intérêts pour les agents désignés rapporteurs sont fixées par décret en Conseil d'Etat.