Réforme des procédures correctrices de la CNIL : vers une action répressive simplifiée
Le 24 janvier puis le 8 avril 2022, les procédures répressives de la CNIL ont été modifiées : une procédure simplifiée a notamment été créée pour les dossiers peu complexes. Cette réforme permettra à la CNIL de mieux agir face aux plaintes de plus en plus nombreuses depuis l’entrée en application du RGPD.
Une réponse répressive plus adaptée à la complexité des dossiers
La CNIL doit répondre à de nombreuses plaintes (plus de 14 000 en 2021) malgré l’augmentation constante du nombre de mesures correctrices qu’elle prononce (18 sanctions et 135 mises en demeure prononcées en 2021).
Ces dossiers que la CNIL étudie sont très variables en termes de gravité, de questions juridiques et technologiques soulevées, ou encore de conséquences pour les personnes. Ils exigent donc une politique répressive différenciée.
Les modifications de la loi Informatique et Libertés et de son décret d’application, intervenues le 24 janvier puis le 8 avril 2022, ont donc pour ambition de permettre une plus grande souplesse dans le recours aux mises en demeure ou aux sanctions.
Une procédure de sanction simplifiée
La présidente de la CNIL peut désormais orienter les dossiers peu complexes ou de faible gravité vers une procédure de sanction dite simplifiée.
En pratique, la présidente de la CNIL saisit alors le président de la formation restreinte et désigne un rapporteur parmi les agents de la CNIL, qui est chargé d’instruire le dossier.
La procédure de sanction simplifiée suit les mêmes étapes que la procédure de sanction ordinaire (pour les délais, la procédure contradictoire, etc.), mais ses modalités de mise en œuvre sont allégées : le président de la formation restreinte (ou un membre qu’il désigne) statue seul et aucune séance publique n’est organisée, sauf si l’organisme demande à être entendu.
Les sanctions susceptibles d’être prononcées dans ce cadre sont limitées au rappel à l’ordre, à une amende d’un montant maximum de 20 000 € et à une injonction avec astreinte plafonnée à 100 € par jour de retard. Ces sanctions ne peuvent pas être rendues publiques.
Une réforme de la procédure de sanction ordinaire
La procédure ordinaire a également été ajustée et clarifiée sur certains points, notamment :
- des délais rallongés pour produire des observations ;
- la possibilité, pour un nouveau rapporteur, d’utiliser le travail d’instruction mené par un précédent rapporteur devenu indisponible ;
- la possibilité pour le président de la formation restreinte de décider seul qu’il n’y a plus lieu de statuer (par exemple si l’organisme a disparu depuis le début de la procédure de sanction).
De nouveaux pouvoirs pour le président de la formation restreinte
Lorsque la présidente de la CNIL met en demeure un organisme et demande à ce qu’il lui soit répondu dans un délai mais qu’aucune réponse justifiant de la conformité n’est adressée à la CNIL, le président de la formation restreinte peut désormais être saisi en vue d’enjoindre à cet organisme de transmettre les éléments demandés.
Cette injonction peut être assortie d’une astreinte d’un montant maximum de 100 € par jour de retard.
Un ajustement de la procédure de mise en demeure
La présidente de la CNIL peut désormais adresser des mises en demeure n’appelant pas de réponse écrite des organismes. Dans ce cas, l’organisme est tenu de se mettre en conformité dans le délai fixé par la présidente mais n’a plus à transmettre les éléments qui en attestent à la CNIL dans ce même délai. La mise en conformité pourra être vérifiée par d’autres moyens, par exemple lors d’un contrôle ultérieur.
Par ailleurs, le plafond de 6 mois encadrant le délai de conformité déterminé dans les mises en demeure disparaît afin de permettre aux organismes de déployer des programmes de conformité plus longs lorsque certaines situations l’exigent.