Qu’est-ce qu’une mise en demeure ?

Une mise en demeure est une injonction du Président de la CNIL adressée à un responsable de traitement ou à un sous-traitant, de cesser un ou plusieurs manquement(s) constaté(s) au Règlement général sur la protection des données (RGPD) dans un délai fixé. Elle intervient après une plainte reçue par la CNIL ou un contrôle (en ligne ou sur place) effectué auprès d’un organisme.

Une mise en demeure n’est pas une sanction.

Le délai pour répondre à une mise en demeure est fixé entre 10 jours et 6 mois et est renouvelable une fois.

En cas d’urgence, le délai peut être de 24 heures.

La mise en demeure reprend les faits et les manquements constatés par la CNIL et détaille ce qui est attendu des responsables de traitements ou sous-traitants concernés pour se mettre en conformité.

La publicité d’une mise en demeure

Une mise en demeure peut-être publique. Dans ce cas, le bureau de la CNIL, composé du Président et des vice-présidents, adopte une délibération dans laquelle il explique les raisons pour lesquelles il décide de rendre publique la mise en demeure.

La mise en demeure publique fait l’objet d’un communiqué synthétique sur le site de la CNIL et la décision est publiée sur Légifrance. Celle-ci est anonymisée au bout de 2 ans mais reste toujours accessible sur Légifrance.

Si l’organisme s’est mis en conformité, la clôture de la mise en demeure est également rendue publique et anonymisée au bout de deux ans.

Les suites possibles

Si la réponse de l’organisme, accompagnée des justificatifs adéquats, est satisfaisante et qu’elle répond aux exigences de la mise en demeure, un courrier de clôture de mise en demeure lui est adressé. Le cas échéant, la procédure de contrôle est alors également clôturée. Si la réponse de l’organisme n’est pas complètement satisfaisante, un courrier de demande de compléments peut lui être envoyé afin de clarifier certains points.

Si l’organisme répond à cette demande de compléments dans le délai indiqué dans le courrier et que la réponse correspond aux exigences de la mise en demeure , alors un courrier de clôture de mise en demeure lui sera adressé.

, alors un de mise en demeure lui sera adressé. Si l’organisme ne répond pas au courrier dans le délai imparti ou que la réponse ne répond toujours pas aux exigences de la mise en demeure, une procédure de sanction pourra être engagée à l’encontre de l’organisme.

Si la réponse de l’organisme n’est pas satisfaisante, une procédure sanction pourra être engagée à l’encontre de l’organisme. Si l’organisme ne répond pas à la mise en demeure dans le délai imposé dans la décision prise par le Président, il pourra faire l’objet d’une procédure de sanction.

A savoir Un nouveau contrôle peut être effectué à tout moment, même après une décision de clôture de mise en demeure, afin de vérifier la conformité de l’organisme avec le Règlement général sur la protection des données.

Les manquements les plus couramment relevés dans les mises en demeure

Le non-respect de la pertinence de la collecte des données pouvant conduire à une collecte de données non justifiée ou excessive ;

Par exemple, un site de vente en ligne collecte le statut marital ou le numéro de sécurité sociale d’un client pour effectuer une commande d’un produit sur son site internet.

En savoir plus

Le non-respect de l’information des personnes et de la transparence

En savoir plus

La collecte de données sensibles sans consentement préalable des personnes concernées

préalable des personnes concernées Le non-respect des durées de conservation

Les données personnelles ne peuvent être conservées de façon indéfinie dans les fichiers informatiques : une durée de conservation doit donc être déterminée en fonction de l’objectif ayant conduit à la collecte de ces données. Une fois cet objectif atteint, ces données devraient être archivées, supprimées ou anonymisées (afin notamment de produire des statistiques).

En savoir plus

Le non-respect de la sécurité

Les responsables de traitement et sous-traitants sont tenus de mettre en œuvre des mesures techniques et organisationnelles afin de garantir la sécurité des données traitées.

En savoir plus