Propriété intellectuelle, IT, RGPD

16/05/2022

Protection des données à caractère personnel : les procédures de sanction de la CNIL évoluent

Propriété intellectuelle, IT, Protection des données

En raison de l’augmentation du nombre de plaintes liée à l’entrée en vigueur du Règlement sur la Protection des Données Personnelles, la CNIL a fait évoluer ses procédures de sanction pour une meilleure flexibilité dans le recours aux mises en demeure et aux sanctions pour les affaires les moins complexes (loi du 24 janvier 2022 n°2022-52 relative à la responsabilité pénale et à la sécurité intérieure et décret n°2022-517 du 8 avril 2022 modifiant le décret n°2019-536 du 29 mai 2019).

La procédure de sanction de la CNIL s’inscrit dans le prolongement des contrôles (contrôles en ligne, sur place, sur pièces ou sur audition) effectués par les agents auprès des organismes publics ou privés.  Ces contrôles sont généralement diligentés à la suite de plaintes ou de signalements. En cas de manquements constatés, elle peut décider de mettre en demeure ou de sanctionner l’organisme concerné.
  1. Création d’une procédure de sanction simplifiée 
  Le recours à la procédure de sanction simplifiée résulte d’une décision du Président de la CNIL et ne concerne que les dossiers relativement simples ou lorsque le(s) manquement(s) est/ sont de faible gravité Si et seulement si, les deux conditions suivantes sont cumulativement satisfaites :
  • l’affaire ne présente pas de difficulté particulière (existence d’une jurisprudence établie, question ayant déjà fait l’objet de décisions de la formation restreinte, simplicité des questions de fait et de droit à trancher) ;
  • au regard du/des manquement(s) constaté(s), la sanction appropriée est : 
  • un rappel à l’ordre ; 
  • une amende dont le montant ne peut excéder 20.000€ ; 
  • en cas de mise en conformité assortie d’une injonction, le montant de cette dernière ne peut être supérieur à 100€ par jour de retard. 
Un rapporteur est alors désigné et sera en charge de l’instruction du dossier. Le rapporteur transmettra à l’organisme concerné ses conclusions et une proposition de mesure correctrice. Chacune des parties disposera d’un délai d’un mois pour adresser ses observations éventuelles.   Le rapporteur peut refuser de recourir la procédure simplifiée ou l’interrompre à tout moment. Dans ce cas, l’affaire est instruite selon la procédure ordinaire.  La décision de sanction est prise par l’un des membres de la formation restreinte sans commission. Il s’agit d’une procédure écrite. A la demande de l’organisme, une séance publique peut être organisée.  Ces décisions ne sont pas rendues publiques
  1. Evolutions des procédures existantes
 
  • la procédure de mise en demeure : 
    • suppression du délai maximal de 6 mois accordé dans le cadre d’une demande de mise en conformité au regard du/des manquement(s) constaté(s) au terme du courrier de mise en demeure adressé par la CNIL; 
    • en l’absence de réponse de l’organisme mis en demeure sur les mesures correctrices mises en place, le président de la formation restreinte peut être saisi en vue d’enjoindre la transmission des éléments demandés laquelle peut être prononcée sous astreinte dont le montant ne peut excéder 100€par jour de retard;
    • possibilité de prononcer des mises en demeure ne nécessitant pas de réponse de la part de l’organisme mis en cause tout en prévoyant à l’encontre de ce dernier une obligation de mise en conformité dans le délai défini aux termes de ce courrier. Dans ce cas, la CNIL pourra procéder, à la suite de l’expiration de ce délai, à un contrôle pour s’assurer de la conformité des mesures correctrices mises en place ; 
 
  • la procédure ordinaire devant la commission restreinte  (en l’absence de clôture de la mise en demeure) : 
    • assouplissement de la procédure : le nombre d’échanges contradictoires n’est plus encadré et les délais pour produire des observations est allongé, un mois contre 15 jours antérieurement ; 
    • possibilité pour le rapporteur de solliciter de l’organisme mis en cause toute pièce ou information qu’il estime utile ainsi que la réalisation par les agents de la CNIL des contrôles complémentaires ; 
    • autorisation à solliciter le concours de personnes extérieures chargées d’assister le rapporteur dans sa mission d’instruction du dossier ; 
    • possibilité pour le rapporteur d’utiliser le travail d’instruction mené par un précédent rapporteur devenu indisponible. 
  L’équipe Distribution Aklea