Procédure de sanction de la CNIL
Procédures répressives de la CNIL : pourquoi faire compliqué lorsque l’on peut faire simple ?
La Commission Nationale de l’Informatique et des Libertés[1] (CNIL) publie aujourd’hui presque quotidiennement l’annonce d’une nouvelle sanction prise contre un responsable de traitement fautif. Parmi elles, les décisions résultant d’une procédure simplifiée se multiplient.
MAIS QUELLE EST DONC CETTE PROCÉDURE ?
Depuis près d’un an, la CNIL dispose d’un outil supplémentaire pour sanctionner les responsables de traitement non conformes : la procédure simplifiée. Et pour cause, afin de faire face à l’afflux des plaintes reçues, l’autorité de contrôle n’a pas eu d’autres choix que de réformer ses méthodes répressives[2].
Il devenait en effet essentiel de simplifier la procédure de contrôle originellement suivie par la CNIL (dite « ordinaire ») pour lui permettre d’investiguer sur TOUS les manquements à la législation en vigueur en matière de protection des données personnelles, aussi minimes puissent-ils paraître.
C’est dans ce cadre qu’a été adopté l’article 22-1 de la loi Informatique et Libertés du 06 janvier 1978[3]. Cette nouvelle disposition assouplit les obligations imposées au gendarme français de la protection des données pour enquêter et éventuellement poursuivre les organismes manquant à leurs obligations légales.
L’autorité de contrôle ne souhaitait pas concentrer son temps, son énergie et ses moyens financiers à enquêter seulement sur les dossiers « graves », au risque d’assurer l’impunité de tous les autres organismes blâmables.
EN QUOI CETTE PROCÉDURE EST-ELLE SIMPLIFIÉE ?
Si l’ouverture d’une procédure ordinaire ou simplifiée trouve généralement leur source dans des motifs identiques (plaintes, coopération, auto-saisine de la CNIL…), les modalités dans lesquelles se déroulent ces contrôles diffèrent.
-
Des situations moins complexes
La procédure simplifiée a vocation à être mise en œuvre dans les cas ne présentant aucune difficulté juridique ou factuelle (aucun débat subsistant sur les questions de fait et de droit, décisions similaires déjà rendues par la CNIL, affaire relevant d’une jurisprudence établie, etc.). Le dossier doit être simple comme bonjour.
Il faut également que la gravité des faits soit relative, pour que la ou les réponse(s) appropriée(s) à ces violations puisse(nt) faire partie des trois mesures pouvant être ordonnées dans le cadre d’une procédure simplifiée.
-
Des sanctions limitées
Lors d’une procédure simplifiée, l’autorité régulatrice ne peut pas faire usage du large panel de sanctions dont elle dispose à l’occasion des procédures ordinaires. Elle ne peut prononcer que :
-
Un rappel à l’ordre ;
-
ET / OU une amende administrative d’un montant maximum de 20 000 € ;
-
AVEC OU SANS astreinte, plafonnée à 100 € par jour de retard.
Si ces sanctions ne peuvent pas être rendues publiques, contrairement à celles prononcées à l’issue d’une procédure ordinaire, la CNIL peut se déplacer sur site pour réaliser ses actes d’enquête. Difficile, dans ces conditions, de garder cette procédure simplifiée parfaitement secrète. Les responsables de traitement ne sont donc pas à l’abri que ces investigations portent malgré tout significativement atteinte à leur réputation…
« Procédure simplifiée » ne rime pas avec « simple contrôle » Les conséquences pour l’organisme ne sont pas à prendre à la légère ! La perte de confiance du public est économiquement plus risquée encore que les sanctions administratives encourues.
-
Des organes répressifs plus faciles à mobiliser
Pour initier la procédure simplifiée, la Présidente de la Commission doit saisir à cet effet le Président de la formation restreinte[4], qui désignera alors à son tour un agent de la CNIL chargé d’instruire le dossier.
Rien n’oblige la Présidente de la CNIL à recourir à une procédure simplifiée. Il s’agit d’une décision discrétionnaire de sa part, si le dossier apparaît pouvoir être examiné selon ces modalités. De la même manière, le Président de la formation restreinte peut à tout moment choisir de renvoyer l’affaire vers une procédure de sanction ordinaire.
L’agent de la CNIL désigné devra, après avoir éventuellement entendu le mis en cause ou procédé à des vérifications complémentaires, rédiger un rapport sur les manquements reprochés à l’organisme. Il doit, si des violations sont constatées lors de la clôture des investigations, proposer une ou plusieurs des trois mesures de sanctions possibles.
Contrairement à la procédure ordinaire, la procédure simplifiée est en principe écrite, ce qui implique qu’il ne se tient normalement aucune séance publique pour débattre des faits.
Le Président de la formation restreinte ou un membre de la CNIL désigné par lui statue purement et simplement, seul, sur les documents mis à sa disposition – là où l’ensemble des membres de la formation restreinte délibère sur le cas qui leur est soumis dans la procédure ordinaire. Un débat (non public) ne sera organisé que si l’organise mis en cause la demande. Ce dernier pourra alors présenter oralement ses observations, uniquement devant le rapporteur et le Président de la formation restreinte.
-
Des étapes allégées, mais des droits identiques
Cette simplification du déroulement de la procédure ne doit pas conduire à une réduction des prérogatives reconnues aux responsables de traitement mis en cause. Ceux-ci disposent notamment :
-
Des mêmes délais de procédure. L’organisme bénéficie ainsi d’un délai d’un mois pour présenter ses observations sur le rapport dressé par l’agent de la CNIL, qui pourra à son tour y répondre dans un délai d’un mois ;
-
Du même droit à une procédure contradictoire, c’est-à-dire qu’ils doivent avoir connaissance des arguments qui seront soumis à l’appréciation de l’autorité de contrôle. Les organismes ont notamment le droit d’accéder à leur dossier une fois l’instruction clôturée.
-
Du même droit, d’être assisté et/ou représenté par un avocat.
QUEL BILAN POUR LA PROCÉDURE SIMPLIFIÉE ?
La CNIL a déclaré n’avoir eu recours qu’à quatre reprises à la procédure simplifiée en 2022[5]. Nous attirons votre attention sur le fait que ce chiffre relativement faible ne révèle pas un désintérêt de l’autorité régulatrice pour cette procédure, bien au contraire.
Pour rappel, la procédure simplifiée ne peut être mise en œuvre que depuis le mois d’avril 2022. Compte tenu des délais d’investigation et d’échanges d’observations, les premières décisions rendues dans ce cadre commencent donc seulement à être publiées. Rien qu’entre les mois de janvier et mars 2023, la CNIL a ainsi émis pas moins de sept nouvelles sanctions prises dans ce cadre.
QUAND | QUI | QUOI | POURQUOI |
---|---|---|---|
Le 23/01/2023 | Société de conseil en systèmes et logiciels informatiques. | Amende de 5 000 € et injonction | Violation des règles applicables en matière de : – Coopération avec la CNIL ; – Consentement (cookies) et d’information des personnes ; – Droit à l’effacement ; – Registre des activités de traitement ; – Mesures de sécurité. |
Le 08/02/2023 | Commune. | Amende de 5 000 € et injonction. | Violation des règles applicables en matière de : – Coopération avec la CNIL ; – Désignation obligatoire d’un délégué à la protection des données. |
Le 08/02/2023 | Médecin généraliste. | Amende de 3 000 € et injonction. | Violation des règles applicables en matière de : – Coopération avec la CNIL ; – Droit d’accès des personnes concernées. |
Le 08/02/2023 | Société exerçant une activité de détail d’habillement en magasin spécialisé | Amende de 10 000 € et injonction. | Défaut de coopération avec la CNIL. |
Le 03/03/2023 | Société exerçant une activité de sécurité privée. | Amende de 15 000 €. | Violation des règles applicables en matière de : – Minimisation des données ; – Information des personnes ; – Registre des activités de traitement. |
Le 28/03/2023 | Société de programmation informatique. | Amende de 20 000 €. | Violation des règles applicables en matière de : – Encadrement des relations entre le responsable de traitement et le sous-traitant ; – Mesures de sécurité. |
Le 28/03/2023 | Société de marketing. | Amende de 10 000 € et injonction. | Défaut de coopération avec la CNIL. |
Le 28/03/2023 | Société de marketing. | Amende de 10 000 € et injonction. | Défaut de coopération avec la CNIL. |
[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.
[2] Nous vous parlions déjà de la réforme des procédures répressives de la CNIL dans un précédent article sur le sujet, disponible à l’adresse suivante : https://www.rgpd-experts.com/cnil-nouvelles-sanctions-et-nouvelles-procedures/
[3] Issu de la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure, et de son décret d’application n°2022-517 du 08 avril 2022.
[4] La formation restreinte était habituellement l’organe répressif de la CNIL, jusqu’à l’adoption de la procédure simplifiée. Composée de 5 membres et d’un Président distinct de celui de la CNIL, elle demeure l’organe répressif compétent si l’affaire suit la procédure ordinaire.
[5] « Procédure de sanction simplifiée : la CNIL présente son premier bilan 2022 », 31 janvier 2023 : https://www.cnil.fr/fr/procedure-de-sanction-simplifiee-la-cnil-presente-son-premier-bilan-2022
Depuis plus de 18 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.