27.3 La procédure de mise en demeure

Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous


Une mise en demeure est une procédure qui intervient après une plainte ou un contrôle et ne constitue pas une sanction. En fonction de la réponse de l’organisme mis en demeure et de sa mise en conformité, plusieurs suites sont possibles.

Qu’est-ce qu’une mise en demeure ?

Une mise en demeure est une injonction du Président de la CNIL adressée à un responsable de traitement ou à un sous-traitant, de cesser un ou plusieurs manquement(s) constaté(s) au Règlement général sur la protection des données (RGPD) dans un délai fixé. Elle intervient après une plainte reçue par la CNIL ou un contrôle (en ligne ou sur place) effectué auprès d’un organisme.

Une mise en demeure n’est pas une sanction.

Le délai pour répondre à une mise en demeure est fixé entre 10 jours et 6 mois et est renouvelable une fois.
En cas d’urgence, le délai peut être de 24 heures.

La mise en demeure reprend les faits et les manquements constatés par la CNIL et  détaille ce qui est attendu des responsables de traitements ou sous-traitants concernés pour se mettre en conformité.

La publicité d’une mise en demeure

Une mise en demeure peut-être publique. Dans ce cas, le bureau de la CNIL, composé du Président et des vice-présidents, adopte une délibération dans laquelle il explique les raisons pour lesquelles il décide de rendre publique la mise en demeure.

La mise en demeure publique fait l’objet d’un communiqué synthétique sur le site de la CNIL et la décision est publiée sur Légifrance. Celle-ci est anonymisée au bout de 2 ans mais reste toujours accessible sur Légifrance.

Si l’organisme s’est mis en conformité, la clôture de la mise en demeure est également rendue publique et anonymisée au bout de deux ans.

Les suites possibles

  1. Si la réponse de l’organisme, accompagnée des justificatifs adéquats, est satisfaisante et qu’elle répond aux exigences de la mise en demeure, un courrier de clôture de mise en demeure lui est adressé. Le cas échéant, la procédure de contrôle est alors également clôturée.
  2. Si la réponse de l’organisme n’est pas complètement satisfaisante, un courrier de demande de compléments peut lui être envoyé afin de clarifier certains points.
  • Si l’organisme répond à cette demande de compléments dans le délai indiqué dans le courrier et que la réponse correspond aux exigences de la mise en demeure, alors un courrier de clôture de mise en demeure lui sera adressé.
  • Si l’organisme ne répond pas au courrier dans le délai imparti ou que la réponse ne répond toujours pas aux exigences de la mise en demeure, une procédure de sanction pourra être engagée à l’encontre de l’organisme.
  1. Si la réponse de l’organisme n’est pas satisfaisante, une procédure sanction pourra être engagée à l’encontre de l’organisme.
  2. Si l’organisme ne répond pas à la mise en demeure dans le délai imposé dans la décision prise par le Président, il pourra faire l’objet d’une procédure de sanction.

A savoir 

Un nouveau contrôle peut être effectué à tout moment, même après une décision de clôture de mise en demeure, afin de vérifier la conformité de l’organisme avec le Règlement général sur la protection des données.

Les manquements les plus couramment relevés dans les mises en demeure

  • Le non-respect de la pertinence de la collecte des données pouvant conduire à une collecte de données non justifiée ou excessive ;
    Par exemple, un site de vente en ligne collecte le statut marital ou le numéro de sécurité sociale d’un client pour effectuer une commande d’un produit sur son site internet.
    En savoir plus
  • Le non-respect de l’information des personnes et de la transparence 
    En savoir plus
  • La collecte de données sensibles sans consentement préalable des personnes concernées 
  • Le non-respect des durées de conservation
    Les données personnelles ne peuvent être conservées de façon indéfinie dans les fichiers informatiques : une durée de conservation doit donc être déterminée en fonction de l’objectif ayant conduit à la collecte de ces données. Une fois cet objectif atteint, ces données devraient être archivées, supprimées ou anonymisées (afin notamment de produire des statistiques).
    En savoir plus
  • Le non-respect de la sécurité
    Les responsables de traitement et sous-traitants sont tenus de mettre en œuvre des mesures techniques et organisationnelles afin de garantir la sécurité des données traitées.
    En savoir plus

Pour approfondir

Article 45-I de la loi « Informatique et Libertés » > Les mises en demeure publiques prononcées par la CNIL 


Source : Comment se passe un contrôle de la CNIL ?


Sommaire du chapitre « 27. LES CONTRÔLES »




Ce contenu est mis à disposition à titre pédagogique par notre organisme de formation « LE NET EXPERT FORMATIONS ». Il entre dans le cadre de formations sur le thème du RGPD que nous proposons. Il ne constitue ni un contenu officiel, ni une liste exhaustive, ni une incitation à des actes malveillants.
Ce document constitue un extrait du support de cours que notre formateur met à la disposition de nos stagiaires.

Notre Formateur/Expert peut aussi être en mesure de vous accompagner pour répondre à une situation ponctuelle.

LeNetExpert Formations