La CNIL est désormais dotée d’une nouvelle procédure de sanction dite « simplifiée » pour les dossiers peu complexes et de faible gravité. Ses procédures ordinaires et de mise en demeure sont également modifiées.
La Commission Nationale de l’Informatique et des Libertés (CNIL) est confrontée depuis de nombreuses années à un accroissement de son activité répressive et de contrôle. Le nombre de plaintes reçues a quasiment doublé depuis 2016, pour atteindre 14 000 en 2021. Parmi ces 14 000 plaintes, 135 ont abouti à des mises en demeure et 18 à des sanctions[1]. Il ne s’agit pourtant là que d’une partie des missions de contrôle de la CNIL, qui peut également contrôler des entités traitant des données à caractère personnel à la suite de signalements, ou lorsque l’actualité le requiert.
Face à cet accroissement et dans l’objectif de fluidifier et simplifier l’action répressive de la CNIL, la loi n° 78-17 du 6 janvier 1978 dite « Informatique et Libertés » a été modifiée par la loi n° 2022-52 du 24 janvier 2022. Cette loi, dont le décret d’application n°2022-517 a été adopté le 8 avril 2022, a permis de modifier le régime des procédures correctrices de la CNIL et d’introduire notamment une nouvelle procédure simplifiée de sanction.
Instauration d’une procédure de sanction simplifiée
La loi du 25 janvier 2022 a ajouté un nouvel article 22-1 à la Loi Informatique et Libertés[2] attribuant à la CNIL une nouvelle procédure de sanction dite « simplifiée », applicable aux dossiers peu complexes ou de faible gravité.
Alors que jusqu’à présent l’ensemble des six membres de la formation restreinte étaient mobilisés pour la totalité des dossiers, tout degré de complexité confondu, la nouvelle procédure simplifiée permettra au seul président de l’une des formations restreintes ou à l’un de ses membres de statuer seul sur la base d’un rapport établi par un agent de la CNIL.
Le recours à la procédure dite simplifiée est conditionné au respect de deux conditions cumulatives :
- Les sanctions prévues pour cette procédure (le rappel à l’ordre, l’amende administrative et l’injonction) « constituent la réponse appropriée à la gravité des manquements constatés »; et
- L’affaire ne doit pas présenter de difficulté particulière. Tel est le cas lorsqu’elle s’inscrit dans le cadre d’une jurisprudence établie ou lorsque les questions qu’elle soulève ont déjà été traitées par la formation restreinte. Il en va de même lorsque les questions de fait et de droit soulevées par l’affaire ne présentent pas de complexité.
Pour le reste, les étapes et les délais sont quasiment identiques à ceux de la procédure ordinaire.
Un agent de la CNIL, désigné en tant que rapporteur, établit un rapport qui sera transmis à l’organisme mis en cause. Ce dernier disposera d’un délai d’un mois à compter de la notification de ce rapport pour formuler ses observations.
Si cette procédure simplifiée est en principe intégralement écrite, l’organisme mis en cause a le droit de demander à être entendu. Le rapporteur dispose également du droit de solliciter les observations de toute personne pouvant contribuer à son information.
Dans le cadre de cette procédure simplifiée, la CNIL peut prononcer des amendes d’un montant maximum de 20 000 euros ainsi que des injonctions de mise en conformité, avec le cas échéant une astreinte plafonnée à 100 € par jour de retard. Enfin, les décisions adoptées par la voie de cette procédure simplifiée ne pourront être rendues publiques.
Assouplissement des procédures ordinaires et de mise en demeure
Les prérogatives du président de la CNIL et du président de la formation restreinte ont été élargies afin d’optimiser le traitement des manquements.
Lorsqu’il prononçait une mise en demeure[3], le président de la CNIL devait jusqu’alors demander au responsable de traitement ou au sous-traitant de justifier de sa mise en conformité avant de clôturer la procédure.
Cette étape n’est désormais plus obligatoire, et devient une simple faculté à la disposition du président de la CNIL. Ce dernier pourra décider, le cas échéant, d’ordonner à l’organisme traitant des données de justifier de sa conformité dans le délai qu’il aura fixé. S’il n’ordonne pas cette justification, la CNIL pourra alors vérifier par d’autres moyens que la mise en conformité a été effectuée, notamment en réalisant des contrôles ultérieurs.
Le délai laissé aux organismes pour se mettre en conformité après mise en demeure sera au minimum de dix jours, le président pouvant toutefois le ramener à vingt-quatre heures en cas d’urgence. L’ancien délai maximum de six mois disparait pour laisser aux organismes le temps de déployer des programmes de mise en conformité plus longs et plus élaborés lorsque cela apparait nécessaire[4].
Pour les manquements les moins graves, la réforme a introduit une alternative au prononcé d’une mise en demeure. Le président de la CNIL peut maintenant n’exprimer qu’un seul rappel aux obligations légales à l’encontre de l’organisme qui ne respecte pas les obligations de protection des données personnelles[5].
Enfin la réforme a accordé de nouveaux pouvoirs au président de la formation restreinte, qui peut désormais :
- Prononcer une injonction à l’encontre de l’organisme mis en cause n’ayant pas répondu à une mise en demeure de produire tout élément justifiant de sa mise en conformité. Cette injonction peut le cas échéant être assortie d’une astreinte dont le montant ne peut excéder 100 € par jour de retard[6] ;
- Décider seul qu’il n’y a plus lieu de statuer, par exemple si l’organisme mis en cause a disparu depuis le début de la procédure de sanction.
Comment appréhender les contrôles de la CNIL ?
Les contrôles de la peuvent avoir lieu sur place, en ligne, sur convocation ou sur pièces.
Préparer ces contrôles passe avant tout par la mise en conformité dynamique des traitements de données personnelles mis en œuvre par l’organisme.
L’organisme doit aussi veiller à une actualisation minutieuse de l’ensemble des documents que la CNIL est susceptible de vérifier et dont elle peut exiger la copie lors du contrôle, et notamment du registre des activités de traitement. Il convient par ailleurs de former le personnel susceptible d’échanger avec les agents. Le comportement de l’organisme étant pris en compte dans la détermination du montant des amendes[7], une attitude coopérative doit être adoptée sans délai.
Enfin les représentants de l’organisme doivent par exemple garder à l’esprit que, hormis quelques exceptions (secret professionnel des avocats, secret pour des traitements journalistiques et secret médical), il est impossible d’opposer aux contrôleurs de la CNIL le secret professionnel pour tenter de justifier un refus de communiquer des documents.
Lire la loi n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure et son décret d’application n° 2022-517 du 8 avril 2022 modifiant le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[1] Voir nos précédents billets sur les sanctions de la CNIL prononcées à l’encontre de Free mobile et Google et Facebook
[2] Article 22-1 de la Loi Informatique et Libertés
[3] Article 20, II de la Loi Informatique et Libertés
[4] Article 38 du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[5] Art. 20, II, alinéa 1er de la Loi Informatique et Libertés
[6] Art. 20, IV de la Loi Informatique et Libertés
[7] Article 83 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
