La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés confère au président de la CNIL la possibilité d’avertir un responsable de traitement des données personnelles, ou son sous-traitant, que les opérations de traitement envisagées sont susceptibles de violer les dispositions européennes ainsi que celles de la présente loi.
(Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ; article 20 de la présente loi).
Si en plus, le responsable de traitement ne respecte pas ses obligations et que le manquement constaté est susceptible de faire l’objet d’une mise en conformité, le président peut alors prononcer à son égard une mise en demeure dans le délai qu’il fixe.
Il peut également, le cas échéant, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou plusieurs des sanctions prévues par l’article susvisé.
Cependant, il est indispensable de relever en la matière que le Conseil d’Etat, dans sa décision du 4 novembre 2020, a jugé que le prononcé d’une telle sanction par la formation restreinte de la CNIL n’est pas subordonné à l’intervention préalable d’une mise en demeure du responsable de traitement par le président de cette autorité.
En tout état de cause, la CNIL peut donc infliger une amende sans mise en demeure préalable à un responsable de traitement des données.