La CNIL (Commission nationale de l’informatique et des libertés) dispose de pouvoirs de sanction considérables pour punir les manquements au RGPD et à la loi Informatique et Libertés. Les employeurs figurent parmi les cibles régulières des contrôles et des sanctions, notamment en matière de vidéosurveillance, de géolocalisation et de gestion des données RH.
L’échelle des sanctions
La CNIL dispose d’un arsenal gradué de sanctions :
- Rappel à l’ordre : avertissement sans sanction financière
- Mise en demeure : obligation de se conformer dans un délai fixé
- Injonction sous astreinte (jusqu’à 100 000 € par jour de retard)
- Amende administrative :
- Jusqu’à 10 millions d’euros ou 2 % du CA mondial pour les manquements aux obligations du responsable de traitement (registre, AIPD, DPO, sécurité)
- Jusqu’à 20 millions d’euros ou 4 % du CA mondial pour les manquements aux droits des personnes (droit d’accès, information, consentement) et aux principes fondamentaux (licéité, finalité, minimisation)
- Limitation ou interdiction temporaire ou définitive du traitement
- Publication de la décision de sanction (name and shame)
Exemples de sanctions CNIL contre des employeurs
- Vidéosurveillance illicite : 100 000 € d’amende pour une entreprise ayant filmé en permanence ses salariés sans information ni consultation du CSE
- Géolocalisation disproportionnée : 50 000 € pour géolocalisation permanente de salariés itinérants sans possibilité de désactivation
- Données de santé : 150 000 € pour conservation de données médicales des salariés dans le SIRH sans base légale
- Absence de registre : mise en demeure avec publication pour non-tenue du registre des traitements
- Non-réponse au droit d’accès : 20 000 € d’amende pour refus de communiquer à un salarié les données personnelles le concernant
Les contrôles de la CNIL
La CNIL peut effectuer des contrôles :
- Sur place dans les locaux de l’entreprise
- En ligne : vérification des sites internet et des applications
- Sur pièces : demande de documents et d’informations
- Sur audition : convocation de représentants de l’entreprise
Les contrôles peuvent être déclenchés par :
- Une plainte d’un salarié ou d’un candidat
- Le programme annuel de contrôles thématiques de la CNIL
- Un signalement du DPO ou d’un tiers
- Un article de presse révélant une pratique problématique
Comment prévenir les sanctions
- Réaliser un audit RGPD de l’ensemble des traitements RH
- Tenir à jour le registre des traitements
- Désigner un DPO ou un référent RGPD
- Former les équipes RH aux obligations RGPD
- Répondre aux demandes de droits dans les délais
- Documenter la conformité (accountability)
Le cabinet DAIRIA Avocats accompagne les employeurs sur ces problématiques. Notre plateforme DAIRIA IA permet d’automatiser votre veille juridique en droit social.
FAQ — Questions fréquentes
La CNIL peut-elle sanctionner une PME ?
Oui. Les sanctions sont proportionnées à la taille de l’entreprise. Plusieurs PME ont été sanctionnées pour des manquements en matière RH (vidéosurveillance, données de santé).
La sanction CNIL est-elle cumulable avec une sanction pénale ?
Oui. La CNIL peut transmettre le dossier au procureur de la République. Les sanctions administratives et pénales sont cumulables (principe de complémentarité).
Comment réagir en cas de contrôle CNIL ?
Coopérer pleinement, désigner un interlocuteur unique, rassembler les documents demandés (registre, AIPD, chartes), et consulter immédiatement votre DPO et votre avocat.
