Article 84 – Sanctions

Article 84 - Sanctions

1. Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l'objet des amendes administratives prévues à l'article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives.

2. Chaque État membre notifie à la Commission les dispositions légales qu'il adopte en vertu du paragraphe 1 au plus tard le 25 mai 2018 et, sans tarder, toute modification ultérieure les concernant.

En savoir plus...

L'article 84 du RGPD impose aux États membres d'adopter en droit national des dispositions spécifiques pour les violations du RGPD qui ne sont pas soumises à la discipline de l'article 83 RGPD. Ces dispositions doivent également être efficaces, proportionnées et dissuasives. Conformément à l'article 84, paragraphe 2, du RGPD, les États membres sont tenus de communiquer ces mesures législatives à la Commission européenne.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Le RGPD ne mentionne pas la possibilité, pour une autorité de contrôle, de prononcer une amende aux contrevenants à cet article.
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).

Considérants pertinents

[Amendes administratives et autres sanctions]
148. Afin de renforcer l'application des règles du présent règlement, des sanctions y compris des amendes administratives devraient être infligées pour toute violation du présent règlement, en complément ou à la place des mesures appropriées imposées par l'autorité de contrôle en vertu du présent règlement. En cas de violation mineure ou si l'amende susceptible d'être imposée constitue une charge disproportionnée pour une personne physique, un rappel à l'ordre peut être adressé plutôt qu'une amende. Il convient toutefois de tenir dûment compte de la nature, de la gravité et de la durée de la violation, du caractère intentionnel de la violation et des mesures prises pour atténuer le dommage subi, du degré de responsabilité ou de toute violation pertinente commise précédemment, de la manière dont l'autorité de contrôle a eu connaissance de la violation, du respect des mesures ordonnées à l'encontre du responsable du traitement ou du sous-traitant, de l'application d'un code de conduite, et de toute autre circonstance aggravante ou atténuante. L'application de sanctions y compris d'amendes administratives devrait faire l'objet de garanties procédurales appropriées conformément aux principes généraux du droit de l'Union et de la Charte, y compris le droit à une protection juridictionnelle effective et à une procédure régulière.

[Sanctions pénales en cas d'infraction au RGPD et à ses adaptations locales]
149. Les États membres devraient pouvoir déterminer le régime des sanctions pénales applicables en cas de violation du présent règlement, y compris de violation des dispositions nationales adoptées en application et dans les limites du présent règlement. Ces sanctions pénales peuvent aussi permettre la saisie des profits réalisés en violation du présent règlement. Toutefois, l'application de sanctions pénales en cas de violation de ces dispositions nationales et l'application de sanctions administratives ne devrait pas entraîner la violation du principe ne bis in idem tel qu'il a été interprété par la Cour de justice.

[Amendes administratives au Danemark et en Estonie]
151. Les systèmes juridiques du Danemark et de l'Estonie ne permettent pas d'imposer des amendes administratives comme le prévoit le présent règlement. Les règles relatives aux amendes administratives peuvent être appliquées de telle sorte que, au Danemark, l'amende est imposée par les juridictions nationales compétentes sous la forme d'une sanction pénale et en Estonie, l'amende est imposée par l'autorité de contrôle dans le cadre d'une procédure de délit, à condition qu'une telle application des règles dans ces États membres ait un effet équivalent aux amendes administratives imposées par les autorités de contrôle. C'est pourquoi les juridictions nationales compétentes devraient tenir compte de la recommandation formulée par l'autorité de contrôle qui est à l'origine de l'amende. En tout état de cause, les amendes imposées devraient être effectives, proportionnées et dissuasives.

[Mise en place d'un système pénal local si nécessaire]
152. Lorsque le présent règlement n'harmonise pas les sanctions administratives ou, si nécessaire dans d'autres circonstances, par exemple en cas de violation grave du présent règlement, les États membres devraient mettre en œuvre un système qui prévoit des sanctions effectives, proportionnées et dissuasives. La nature de ces sanctions, pénales ou administratives, devrait être déterminée par le droit des États membres.

Droit souple

Lignes directrices et recommandations

> CEPD - Lignes directrices 04/2022 - Méthode de calcul des amendes "RGPD"

24 mai 2023, v2.0

Références

Cet article cite...

> Article 83 - Conditions générales pour imposer des amendes administratives

Cet article est cité par...

> Article 28 - Sous-traitant

> Article 83 - Conditions générales pour imposer des amendes administratives

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année:

Autorité:

Thème:

Secteur:

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Article(s) LIL	Lien
SAN-2020-018	Nestor	08/12/2020	2020	France	CNIL ou équivalent	A classer		Prescription d'un manquement au RGPD - Délai raisonnable	Le rapporteur rappelle que la Commission a été saisie de quatre plaintes entre 2018 et 2019, que des contrôles ont été effectués par la délégation de la CNIL en mai 2019 et en février 2020 et que le rapporteur désigné en décembre 2019 aux fins d’instruction de ces éléments a notifié son rapport le 28 février 2020. La formation restreinte considère donc que la Commission a appliqué un délai raisonnable entre les constats effectués par la délégation de contrôle et la saisine de la formation restreinte.	83, 84	68136ec0621ef3fe8935bf9fa91f0f6e4a202509	20	Cliquer pour accéder à la décision
433311	Sergic	04/11/2020	2020	France	Conseil d'Etat	A classer		Faculté, pour la CNIL, de sanctionner sans mise en demeure préalable - Existence	3. Il résulte clairement [des] dispositions [de l'article 83] que le prononcé d'une sanction par la formation restreinte de la CNIL n'est pas subordonné à l'intervention préalable d'une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL.	83, 84	68136ec0621ef3fe8935bf9fa91f0f6e4a202509		Cliquer pour accéder à la décision
389448	Théâtre national de Bretagne	28/09/2016	2016	France	Conseil d'Etat	A classer		Publicité d'une sanction - Absence de limitation dans le temps - Exclusion	10. Considérant qu'en l'espèce, eu égard au retentissement causé par le courriel litigieux dans le débat politique local, la sanction complémentaire contestée, qui vise à renforcer le caractère dissuasif de la sanction principale en lui assurant une publicité à l'égard tant des destinataires du courriel que d'un public plus large, est justifiée, dans son principe, au regard de la gravité des manquements aux dispositions du 2° de l'article 6 de la loi du 6 janvier 1978 ; que, toutefois, si la délibération attaquée prévoit que cette publication est effectuée sur le site internet de la CNIL et sur le site Légifrance, elle ne précise pas la durée de son maintien en ligne sur ces deux sites ; qu'en omettant de fixer la durée pendant laquelle la publication de l'avertissement resterait accessible de manière non anonyme sur ces deux sites, la formation restreinte de la CNIL doit être regardée comme ayant infligé une sanction sans borne temporelle ; que, dans ces conditions, la sanction complémentaire est, dans cette mesure, excessive ; qu'il suit de là qu'elle doit être annulée seulement en tant qu'elle n'a pas fixé la durée de son maintien en ligne de manière non anonyme ;	84	68136ec0621ef3fe8935bf9fa91f0f6e4a202509		Cliquer pour accéder à la décision
354629	Foncia	12/03/2014	2014	France	Conseil d'Etat	A classer		Décision de publier une sanction - Motivation spécifique obligatoire - Rejet	8. Considérant, en troisième lieu, que si la décision par laquelle la CNIL rend publique la sanction prononcée a le caractère d'une sanction complémentaire, aucune disposition non plus qu'aucun principe n'impose qu'elle fasse l'objet d'une motivation spécifique, distincte de la motivation d'ensemble de la sanction principale qu'elle complète ; que, dès lors, le moyen tiré de ce que cette sanction complémentaire aurait été infligée irrégulièrement faute d'être motivée par l'intérêt général est sans incidence sur la légalité de la décision attaquée ;	84	68136ec0621ef3fe8935bf9fa91f0f6e4a202509		Cliquer pour accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

Note importante : Le flux RSS correpondant à cet article semble vide. Nous avons très récemment re-structuré la partie 'veille' afin de vous proposer des actualités plus précises sur le RGPD annoté, mais il va falloir un peu de temps pour 'remplir' la partie actualité de chaque article. En attendant, nous vous proposons le flux ci-dessous, qui utilise une catégorie plus large.

PIPC (autorité coréenne)

12 janvier 2025

Amende d’environ 1,7 millions d’euros contre le Bureau administratif des tribunaux pour fuite de numéro de registre et violation des obligations de sécurité La PIPC (présidée par Ko Hak-soo) a tenu sa première réunion plénière le 8 janvier et a décidé d’imposer une amende administrative de 2,7 milliards de wons et une amende de 6 […]

Disponible sur: veille.portail-rgpd.com

CJUE – Arrêt C-394/23

09 janvier 2025

RGPD et transport ferroviaire : l’identité de genre du client n’est pas une donnée nécessaire pour l’achat d’un titre de transport Dans un arrêt publié ce 9 janvier 2025, la CJUE a estimé que la collecte de données relatives à la civilité des clients n’est pas objectivement indispensable, en particulier, lorsqu’elle a pour finalité une […]

Disponible sur: veille.portail-rgpd.com

APD (autorité belge)

08 janvier 2025

Un employeur réprimandé pour traitement illicite de données pénales de l’un de ses employés L’autorité belge a aujourd’hui publié une décision de sanction par laquelle elle condamne une entreprise (restée anonyme) pour traitement illicite de données. Dans cette affaire, un employé d’un organisme public (plaignant) a déposé plainte contre son employeur après avoir constaté qu’une […]

Disponible sur: veille.portail-rgpd.com

UODO (autorité polonaise)

07 janvier 2025

En Pologne, l’UODO estime que les numéros de cadastre constituent des données à caractère personnel et ne peuvent donc pas être publiées L’ancien Géomètre en chef du pays a récemment demandé à l’autorité de contrôle qu’elle modifie sa position sur la question de la qualification des numéros de parcelle cadastrales : en effet, un précédent […]

Disponible sur: veille.portail-rgpd.com

GPDP (autorité italienne)

02 janvier 2025

Télémarketing : le fournisseur d’électricité et de gaz se voit infliger une amende de 679 000 euros par la Garante Dans sa newsletter du 23 décembre, l’autorité a annoncé avoir condamné Illumia spa, une société opérant dans la fourniture de services d’électricité et de gaz, à 678 897 euros d’amendes pour avoir traité de manière […]

Disponible sur: veille.portail-rgpd.com

UODO (autorité polonaise)

02 janvier 2025

Des erreurs organisationnelles lors de la reconstruction du site web peuvent entraîner la divulgation de données : Panek SA condamné à 358 000 euros d’amende L’autorité polonaise a aujourd’hui annoncé avoir condamné la société Panek SA pour n’avoir pas mis en œuvre les mesures techniques et organisationnelles appropriées garantissant la sécurité du traitement des données, […]

Disponible sur: veille.portail-rgpd.com

GPDP (autorité italienne)

02 janvier 2025

L’autorité italienne rappelle que les certificats d’arrêt de travail ne doivent pas contenir de données de santé Dans sa newsletter du 23 décembre, l’autorité a annoncé avoir condamné une autorité locale de santé à hauteur de 17 000 euros pour avoir délivré un certificat d’arrêt de travail indiquant le service qui avait fourni le service […]

Disponible sur: veille.portail-rgpd.com

AP (autorité néerlandaise)

02 janvier 2025

Amende de 40 000 euros pour Coolblue pour l’utilisation non sollicitée de cookies L’Autorité de protection des données (AP) a infligé une amende de 40 000 euros à Coolblue pour le traitement illégal de données personnelles en 2020. Il est reproché à l’entreprise d’e-commerce de produits informatiques d’avoir collecté, via des cookies, des données personnelles […]

Disponible sur: veille.portail-rgpd.com

PIPC (autorité coréenne)

02 janvier 2025

Corée : élaboration d’un guide sur les données « synthétiques » (fictives) La Commission de protection des informations personnelles (présidée par Ko Hak-soo, ci-après ‘Commission de protection des informations’) a récemment publié un « Guide sur la création et l’utilisation de données synthétiques » (ci-après le ‘guide’) pour soutenir la création et l’utilisation sûres des données synthétiques, […]

Disponible sur: veille.portail-rgpd.com

Tietosuoja (autorité finlandaise)

20 décembre 2024

950 000 euros d’amende pour le Sambla Group, fournisseur de services de comparaison de prêts, en raison de négligences en matière de sécurité des données L’autorité finlandaise a annoncé aujourd’hui avoir imposé une amende de 950 000 euros au Sambla Group, fournisseur de services de comparaison de prêts, en raison de sa faible sécurité des […]

Disponible sur: veille.portail-rgpd.com