Comme annoncé dans son plan stratégique 2022-20241, et compte tenu de l’augmentation toujours croissante des plaintes et des recours déposés auprès de la CNIL, celle-ci a procédé à une réforme de ses procédures correctrices2, afin de pouvoir mieux adapter ses mesures répressives aux risques réellement encourus et ainsi mieux ajuster ses instructions.
Depuis l’entrée en application du RGPD3, le nombre de plaintes et de recours auprès de la CNIL ne cesse d’augmenter (plus de 14 000 pour l’année 2021), ce qui donne un rapport de presque 1 à 100 pour les mises en demeure (135 prononcées en 2021) et d’environ 1 à 1000 pour les sanctions (18 prononcées en 2021).
C’est pourquoi la CNIL avait annoncé, dans son plan d’action 2022-20244 une réforme de sa politique répressive « pour assurer l’effectivité des droits des personnes et la conformité des organismes au RGPD (…), », notamment en réduisant les délais d’instruction.
La nouvelle loi relative à la responsabilité pénale et à la sécurité intérieure5, puis la publication du décret du 8 avril dernier pris pour application de la Loi « Informatique et Libertés »6, permettent désormais à la CNIL de mettre en œuvre ce nouveau dispositif au service de sa politique répressive.
Cette réforme met en place cinq modifications notables :
En fonction de la nature des problématiques juridiques et technologiques, ainsi que des enjeux concernant la gravité des impacts pour les personnes concernées, la CNIL a désormais une « politique répressive différenciée ».
Elle se déroule comme la procédure de sanction ordinaire, mais avec :
Avec ces allègements de procédures pour les cas de manquements considérés non complexes et n’engendrant pas de risques graves pour les droits et libertés des personnes concernées, associé à une limitation des sanctions et un plafonnement de leurs montants, la CNIL se donne la possibilité de sanctionner plus souvent des manquements, somme toute, assez courants mais qui perdurent malgré les nombreuses plaintes qui lui sont notifiées chaque année.
Parallèlement, la CNIL se donne les moyens de se concentrer plus spécialement sur les cas de figure complexes avec une augmentation de ces temps d’instruction (procédure de sanction ordinaire), associée au renforcement des pouvoirs du président de la formation restreinte de la CNIL.
Cette réforme a vocation à permettre un accroissement substantiel des sanctions de la CNIL en 2022 et devrait déclencher des mises en conformité globales tous secteurs confondus.
Pour en savoir plus :
Par Gilles Trouessin | News, Protection des données, Sécurité | Commentaires fermés