• Actualités
  • CNIL: Adoption d'une procédure de sanction simplifiée
CNIL: Adoption d'une procédure de sanction simplifiée

CNIL: Adoption d'une procédure de sanction simplifiée

Mardi, Mai 24, 2022 Compliance RGPD

Aux termes de la loi n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure, un nouvel article 22-1 a été inséré au sein de la loi n° 78-17 du 6 janvier 1978 « Informatique et Libertés » et ayant pour effet de créer une nouvelle procédure de sanction simplifiée au bénéfice de la CNIL.

Cet ajout vient, en conséquence, modifier le décret n° 2019-536 en date du 29 mai 2019, il convient alors de se reporter désormais au décret n°2022-517 en date du 8 avril 2022 (article 45-1 à 45-2).

Cette nouvelle procédure de sanction simplifiée a pour effet de permettre à la CNIL de pourvoir plus efficacement aux plaintes qui lui sont soumises et dont le nombre ne cesse d’augmenter.

En outre, cette procédure dite simplifiée, a vocation à différencier les procédures répressives eu égard à la nature et la gravité des manquements.

1.     Quelles sont les conditions d’ouverture de la procédure simplifiée de sanction par la CNIL ?

Aux termes de l’article 22-1, alinéas 2 et 3 de loi n° 78-17 du 6 janvier 1978 « Informatique et Libertés », le recours à la procédure simplifiée est subordonné à deux conditions cumulatives, appréciées par le président de la CNIL.

En premier lieu, le président de la CNIL doit apprécier la nature des sanctions encourues au regard de la gravité des manquements constatés.

Il est nécessaire que le président de la Commission estime que certaines des sanctions susceptibles d'être prononcée à l'encontre d'un responsable de traitement ou d'un sous-traitant constituent la « réponse appropriée » à la gravité des manquements constatés (Article 22-1 alinéa 2 de la loi du 6 janvier 1978).

Cette appréciation relève, en conséquence, de l’appréciation du président de la CNIL.

Trois (3) types de sanctions sont susceptibles d’être prononcées dans le cadre de la procédure simplifiée :

-       Un rappel à l’ordre ;

-       Une injonction de mise en conformité, pouvant être assortie d’une astreinte, d’un montant maximal de 100 euros par jour de retard ;

-       Une amende administrative, dont le montant ne peut excéder 20.000 euros.

En second lieu, la mise en œuvre de la procédure simplifiée suppose que l’affaire ne présente pas de « difficulté particulière ». Le critère d’absence de difficulté particulière s’apprécie par rapport à la simplicité des questions de fait et de droit de l’affaire ainsi qu’à l’existence de jurisprudence établie ou de décisions précédemment rendues par la formation restreinte de la CNIL.

2.    Le déroulement de la procédure simplifiée

Lorsqu’un contrôle met en exergue un manquement à la loi informatique et libertés ou au RGPD, le président de la CNIL statue sur l’opportunité de déclencher la procédure simplifiée, si les conditions précédemment décrites sont réunies.

Le cas échéant, le président de la CNIL procède à la désignation d’un rapporteur parmi les agents de la CNIL qui a pour rôle d’instruire le dossier. En outre, le président de la CNIL informe le président de la formation restreinte de la mise en œuvre de cette procédure simplifiée.

Le président de la formation restreinte ou le membre qu’il désigne à seul vocation à statuer sur les poursuites (Article 22-1, alinéa 5 de la loi du 6 janvier 1978).

La procédure simplifiée est une procédure écrite (Article 45-1, décret n°2022-517).

Toutefois, le responsable de traitement ou, le sous-traitant, visé par la procédure simplifiée peut être entendu par le rapporteur si ce dernier l’estime utile. Dans cette hypothèse, un procès-verbal est dressé à l’issue de cette audition. En outre, le rapporteur peut procéder à des mesures de contrôle supplémentaire s’il juge celles-ci opportunes.  

1ère étape : l’élaboration du rapport de sanction

Le rapporteur établi un rapport, qui fait l’objet d’une notification au responsable de traitement ou au sous-traitant mis en cause (article 22-1 alinéas 5 et 6 de la loi du 6 janvier 1978).

Ce rapport comporte la ou les sanctions envisagées.

2ème étape : la notification du rapport et le principe du contradictoire

La CNIL procède à la notification du rapport de sanction auprès du mis en cause.

Le mise en cause dispose d’un (1) mois, à compter de la notification, pour formuler des observations écrites. L’organisme mis en cause peut se faire représenter ou assister par le conseil de son choix et être entendu (article 22-1 alinéa 6 de la loi du 6 janvier 1978).

3ème étape : la prise de décision de la CNIL

Lorsque le rapporteur estime que l’instruction du dossier est achevée, il en informe l’organisme mis en cause ainsi que le président de la formation restreinte.

Le responsable de traitement ou le sous-traitant mis en cause est informé de la tenue de la séance de la formation restreinte au moins quinze (15) jours avant.

Le président de la formation restreinte ou le membre de la formation restreinte désigné statue seul sur la procédure.

En tout état de cause, les décisions prises dans le cadre de la procédure simplifiée ne peuvent faire l’objet d’une publication article 22-1 alinéa 6 de la loi du 6 janvier 1978).

Les décisions sont uniquement portées à la connaissance de la formation restreinte et de la présidence de la CNIL. Le public peut être informé des sanctions prononcées dans le cadre de la procédure simplifiée uniquement de manière anonymisée

Recherche