12 avril 2022
Le 24 janvier puis le 8 avril 2022, les procédures répressives de la CNIL ont été modifiées : une procédure simplifiée a notamment été créée pour les dossiers peu complexes. Cette réforme permettra à la CNIL de mieux agir face aux plaintes de plus en plus nombreuses depuis l’entrée en application du RGPD.
La CNIL doit répondre à de nombreuses plaintes (plus de 14 000 en 2021) malgré l’augmentation constante du nombre de mesures correctrices qu’elle prononce (18 sanctions et 135 mises en demeure prononcées en 2021). Ces dossiers que la CNIL étudie sont très variables en termes de gravité, de questions juridiques et technologiques soulevées, ou encore de conséquences pour les personnes. Ils exigent donc une politique répressive différenciée. Les modifications de la loi Informatique et Libertés et de son décret d’application, intervenues le 24 janvier puis le 8 avril 2022, ont donc pour ambition de permettre une plus grande souplesse dans le recours aux mises en demeure ou aux sanctions.
La présidente de la CNIL peut désormais orienter les dossiers peu complexes ou de faible gravité vers une procédure de sanction dite simplifiée. En pratique, la présidente de la CNIL saisit alors le président de la formation restreinte et désigne un rapporteur parmi les agents de la CNIL, qui est chargé d’instruire le dossier. La procédure de sanction simplifiée suit les mêmes étapes que la procédure de sanction ordinaire (pour les délais, la procédure contradictoire, etc.), mais ses modalités de mise en œuvre sont allégées : le président de la formation restreinte (ou un membre qu’il désigne) statue seul et aucune séance publique n’est organisée, sauf si l’organisme demande à être entendu. Les sanctions susceptibles d’être prononcées dans ce cadre sont limitées au rappel à l’ordre, à une amende d’un montant maximum de 20 000 € et à une injonction avec astreinte plafonnée à 100 € par jour de retard. Ces sanctions ne peuvent pas être rendues publiques.
La procédure ordinaire a également été ajustée et clarifiée sur certains points, notamment :
Lorsque la présidente de la CNIL met en demeure un organisme et demande à ce qu’il lui soit répondu dans un délai mais qu’aucune réponse justifiant de la conformité n’est adressée à la CNIL, le président de la formation restreinte peut désormais être saisi en vue d’enjoindre à cet organisme de transmettre les éléments demandés. Cette injonction peut être assortie d’une astreinte d’un montant maximum de 100 € par jour de retard.
La présidente de la CNIL peut désormais adresser des mises en demeure n’appelant pas de réponse écrite des organismes. Dans ce cas, l’organisme est tenu de se mettre en conformité dans le délai fixé par la présidente mais n’a plus à transmettre les éléments qui en attestent à la CNIL dans ce même délai. La mise en conformité pourra être vérifiée par d’autres moyens, par exemple lors d’un contrôle ultérieur. Par ailleurs, le plafond de 6 mois encadrant le délai de conformité déterminé dans les mises en demeure disparaît afin de permettre aux organismes de déployer des programmes de conformité plus longs lorsque certaines situations l’exigent. Document reference
Les procédures de sanction de la CNIL
Tous les jours, GRACES.community sélectionne, gratuitement, pour vous le ou les articles importants pour votre prochaine veille réglementaire.
A propos de GRACES.community : pionner et leader des recrutements en Compliance, Ethiques, Gouvernance, Risques !
Proposer une offre de job : https://graces.community/recruteur/
Consulter les offres qui vous correspondent : https://app.graces.community/register/
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.