Newsletter - AVOCATS NORMANDIE

En 2022, la CNIL (Commission nationale de l’informatique et des libertés) a mis en place une procédure de sanction simplifiée, applicable si l’affaire ne présente pas de difficulté particulière. Cette procédure s’avère un outil répressif efficace, comme en témoigne son bilan temporaire sur 2024.

La procédure de sanction simplifiée, un dispositif récent…

Origine. - Une procédure de sanction peut être engagée par la CNIL en cas de manquement constaté au Règlement général sur la protection des données (RGPD) ou à la loi Informatique et libertés.

Les dossiers que la CNIL est amenée à traiter, sont très divers en termes de gravité, de questions juridiques et technologiques soulevées, ou encore de conséquences pour les personnes. En outre, depuis l’entrée en application du RGPD en mai 2018, les plaintes se sont faites de plus en plus nombreuses.

Fort de ces constats, une politique répressive davantage modulable a été mise en place en 2022. Ainsi, en parallèle de la procédure de sanction ordinaire, il existe depuis le 26 janvier 2022 une procédure de sanction simplifiée pour les affaires sans difficulté particulière (loi n°78-17 du 6 janvier 1978, art. 22-1).

Fonctionnement. - Cette procédure simplifiée peut s'appliquer quand la situation apparaît peu complexe eu égard à l'existence d'une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la CNIL ou encore de la simplicité des questions de fait et de droit qu'elle présente à trancher.

Elle suit les mêmes étapes que la procédure de sanction ordinaire, mais ses modalités de mise en œuvre sont allégées : une seule personne statue (le président de la formation restreinte ou un membre qu’il désigne) et aucune séance publique n’est organisée, sauf si l’entité mise en cause demande à être entendue. C’est donc plus rapide.

Quant aux sanctions susceptibles d’être prononcées, elles ne peuvent pas être rendues publiques et consistent en :

-un rappel à l’ordre ;

-une amende d’un montant maximum de 20 000 € ;

-une injonction de mettre le traitement en conformité, y compris sous astreinte plafonnée à 100 € par jour de retard.

… qui démontre d’ores et déjà son efficacité

Les chiffres. - Depuis janvier 2024, soit sur 9 mois, la CNIL a prononcé 28 sanctions sur la base de la procédure simplifiée, et ce, pour un montant total de 290 500 €.

En comparaison, sur la totalité de l’année 2023, il y en avait eu 24 pour un montant total de 229 500 €.

Les sanctions simplifiées sont donc en augmentation et leur récente évolution laisse à penser que cette tendance n’est pas près de s’infléchir. À eux seuls, les quatre derniers mois cumulent en effet 11 des sanctions déjà prononcées sur 2024.

Les manquements sanctionnés. – Il ressort des décisions rendues depuis juin 2024, que les principaux manquements sanctionnés selon la procédure simplifiée concernent :

-le non-respect du principe de minimisation des données (vidéosurveillance des salariés et enregistrements de conversations téléphoniques de manière systématique et en intégralité) ;

-l’absence de registre de traitement (ont ainsi été sanctionnées deux sociétés de moins de 250 employés)

-l’absence de moyens permettant de refuser les cookies aussi facilement que de les accepter ;

-le défaut de coopération avec la CNIL ;

-le non-respect des droits des personnes (absence de réponse dans les délais prévus) ;

-le manquement à l’information des personnes (clients et salariés).

Communiqué de la CNIL du 08 octobre 2024