Entrée en vigueur le 26 janvier 2022
Modifié par : LOI n°2022-52 du 24 janvier 2022 - art. 33
I.-Le président de la Commission nationale de l'informatique et des libertés peut avertir un responsable de traitement ou son sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi.
II.-Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut le rappeler à ses obligations légales ou, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu'il fixe :
1° De satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits ;
2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;
3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;
4° De rectifier ou d'effacer des données à caractère personnel, ou de limiter le traitement de ces données.
Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu'il a prises.
Le président peut demander qu'il soit justifié de la mise en conformité dans un délai qu'il fixe. Ce délai peut être fixé à vingt-quatre heures en cas d'urgence. Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.
Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité.
III.-Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou après avoir prononcé à son encontre une ou plusieurs des mesures correctrices prévues au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :
1° Un rappel à l'ordre ;
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;
3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation accordée en application du même règlement ou de la présente loi ;
4° Le retrait d'une certification ou l'injonction, à l'organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;
5° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du titre III de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat, la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;
6° La suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes ;
7° A l'exception des cas où le traitement est mis en œuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.
Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement.
IV.-Lorsque la formation restreinte a été saisie, le président de celle-ci peut enjoindre au mis en cause de produire les éléments demandés par la Commission nationale de l'informatique et des libertés, en cas d'absence de réponse à une précédente mise en demeure, et assortir cette injonction d'une astreinte, dont le montant ne peut excéder 100 € par jour de retard, à la liquidation de laquelle il procède, le cas échéant.
Il peut également constater qu'il n'y a plus lieu de statuer.
Le Conseil d'Etat transmet une question prioritaire de constitutionnalité relative à l'article L.34-5 du code des postes et des communications électroniques (sanctions concurrentes de la Cnil et de l'Arcep pour les mêmes faits). Le Conseil d'Etat a été saisi d'une question prioritaire de constitutionnalité (QPC) relatives à l'article L. 34-5 du code des postes et des communications électroniques. […] La société Orange, […] qui organise le pouvoir de sanction de l'Autorité de régulation des communications électroniques (Arcep), et avec l'article 20 de la loi n° 78-17 du 6 janvier 1978, qui prévoit le pouvoir de sanction de la Commission nationale de l'informatique et des libertés (Cnil), […]
Lire la suite…Par ailleurs, toute rediffusion, commerciale ou non, est subordonnée à l'accord du rapporteur public qui en est l'auteur. aujourd'hui et qui porte sur la conformité des articles L. 35-4 et L. 36-11 du CPCE au principe de légalité des délits et des peines et à celui d'égalité devant la loi, garantis par les articles 6 et 8 de la Déclaration des droits de l'homme et du citoyen de 1789, ainsi que sur la conformité de l'article 20 de la loi du 6 janvier 1978 fondant les pouvoirs de la CNIL. 1. […] Nous vous proposons donc de considérer l'article L. 36-11 du CPCE comme étant non applicable au litige. 1.3. […]
Lire la suite…[…] Les Hospices Civils de Lyon ont saisi la Commission Nationale de l'Informatique et des Libertés d'une demande d'avis sur la mise en oeuvre d'un traitement automatisé dont la finalité principale est l'aide à la gestion du service médical. Vu les articles 15 et 20 de la loi N° 78-17 du 6 janvier 1978, Vu l'article 12 du décret N° 78-774 du 17 juillet 1978, Après avoir entendu en son rapport Monsieur Antoine PEZE et en ses observations Monsieur le Commissaire du Gouvernement et avoir pris acte des dispositions figurant dans le projet d'acte réglementaire joint au dossier,
[…] Le Conseil supérieur de l'audiovisuel, Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 15 et 20; Vu la loi no 86-1067 du 30 septembre 1986 modifiée relative à la liberté de communication, notamment ses articles 33 et 34; Vu le décret no 87-796 du 29 septembre 1987 pris pour l'application des articles 33 et 34 de la loi no 86-1067 du 30 septembre 1986 relative à la liberté de communication et relatif aux services de radiodiffusion sonore et de télévision distribués par câble; Vu la demande d'avis déposée auprès de la Commission nationale de l'informatique et des libertés le 18 janvier 1991;
[…] La Mairie de LIMONEST a saisi la Commission Nationale de l'Informatique et des Libertés d'une demande d'avis sur la mise en oeuvre d'un traitement automatisé dont la finalité est la gestion de la liste des électeurs au Conseil des Prud'hommes. Vu les articles 15 et 20 de la loi n° 78-17 du 6 janvier 1978, Vu l'article 12 du décret n° 78-774 du 17 juillet 1978, Vu l'article 14 de la loi n° 82-372 du 6 mai 1982, Après avoir entendu en son rapport M. Vincent RICHET, et en ses observations Monsieur le Commissaire du Gouvernement, et avoir pris acte des dispositions figurant dans le projet d'acte réglementaire joint au dossier,
[…] 20 Article L. 4237 ................................................................................................................................. 20 Article L. 4238 ............................ […] ..................................................................................................... 20 Article L. 4239 ................................................................................................................................. 20 Article […]
Lire la suite…