La procédure de sanction simplifiée
Lorsqu’un manquement au RGPD ou à la loi Informatique et Libertés est constaté, une procédure de sanction simplifiée peut être engagée à l’encontre d’un organisme si l'affaire ne présente pas de difficulté particulière.
Cela peut être le cas au regard :
- de l’existence d'une jurisprudence établie ;
- des décisions précédemment rendues par la formation restreinte ;
- de la simplicité des questions de fait et de droit qu'elle présente à trancher.
Dans ce cas, le président de la CNIL désigne un rapporteur parmi les agents des services de la CNIL et en informe le président de la formation restreinte :
- le président de la formation restreinte prend l’affaire ou la confie à un membre qu’il désigne;
- le responsable de traitement ou le sous-traitant mis en cause en est informé ;
- le président de la formation est destinataire de tous les documents lors de la procédure écrite entre le rapporteur et l’organisme mis en cause.
Le président de la formation restreinte a la faculté de refuser le recours à cette procédure pour tout motif, ou de la suspendre à tout moment. Auquel cas, le dossier rebasculera en procédure ordinaire avec la désignation d’un commissaire-rapporteur par le président de la Commission, l’ensemble des pièces antérieures demeurant au dossier, permettant ainsi d’assurer la continuité de la procédure.
Durant la procédure simplifiée, l’organisme visé peut être entendu si le rapporteur l’estime utile. Dans ce cas, l’audition est suivie de la rédaction d’un procès-verbal. S’il l’estime nécessaire, le rapporteur peut également demander à ce qu’il soit procédé à des contrôles complémentaires.
Rapport et échanges
Le rapport de sanction
Le rapport proposant de prononcer à l’encontre de l’organisme une ou plusieurs des trois mesures prévues à l’article 22-1 de la loi Informatique et Libertés est notifié à l’organisme. En cas de sanction financière, le rapport comporte le montant de la sanction proposée par le rapporteur.
L’organisme peut prendre connaissance et copie des pièces du dossier auprès du service des sanctions de la CNIL s’il en fait la demande.
L’organisme peut se faire assister ou représenter par le conseil de son choix.
Observations de l’organisme
L’organisme dispose, à compter de la réception du rapport, d’un délai d’un mois pour formuler des observations écrites.
Le rapporteur peut répondre à l’organisme dans un délai d’un mois à compter de la réception des observations. L’organisme a toujours la possibilité de répondre au rapporteur.
Lorsqu’il estime le dossier prêt, le rapporteur informe le mis en cause et le président de la formation restreinte que l’instruction est close.
L'organisme est informé de la date de la séance de la formation restreinte au moins quinze jours avant sa tenue.
Format de la procédure
La procédure simplifiée est une procédure écrite.
À sa demande, il pourra être entendu lors d’une séance à laquelle il pourra présenter des observations orales.
Dans ce cas, une séance est organisée réunissant le mis en cause, le rapporteur et le président de la formation restreinte.
Prise de décision
Le président de la formation restreinte (ou le membre de la formation restreinte désigné par ce dernier) rend sa décision seul.
Dans ce cadre, il peut prononcer l’une ou plusieurs des trois mesures suivantes :
- rappel à l’ordre ;
- injonction de mettre le traitement en conformité, y compris sous astreinte d’un montant maximal de 100 € par jour de retard ;
- amende administrative d’un montant maximal de 20 000 €.
Les amendes de la CNIL sont recouvrées par le Trésor Public.
![[Infographie] - Comprendre la chaîne répressive de la CNIL](/sites/cnil/files/thumbnails/image/infogsanction.jpg "[Infographie] - Comprendre la chaîne répressive de la CNIL (PDF, 171 ko) - Nouvelle fenêtre")
