Comme annoncé dans son plan stratégique 2022-2024¹, et compte tenu de l’augmentation toujours croissante des plaintes et des recours déposés auprès de la CNIL, celle-ci a procédé à une réforme de ses procédures correctrices², afin de pouvoir mieux adapter ses mesures répressives aux risques réellement encourus et ainsi mieux ajuster ses instructions.

Depuis l’entrée en application du RGPD³, le nombre de plaintes et de recours auprès de la CNIL ne cesse d’augmenter (plus de 14 000 pour l’année 2021), ce qui donne un rapport de presque 1 à 100 pour les mises en demeure (135 prononcées en 2021) et d’environ 1 à 1000 pour les sanctions (18 prononcées en 2021).

C’est pourquoi la CNIL avait annoncé, dans son plan d’action 2022-2024⁴ une réforme de sa politique répressive « pour assurer l’effectivité des droits des personnes et la conformité des organismes au RGPD (…), », notamment en réduisant les délais d’instruction.

La nouvelle loi relative à la responsabilité pénale et à la sécurité intérieure⁵, puis la publication du décret du 8 avril dernier pris pour application de la Loi « Informatique et Libertés »⁶, permettent désormais à la CNIL de mettre en œuvre ce nouveau dispositif au service de sa politique répressive.

Cette réforme met en place cinq modifications notables :

• Une politique répressive plus adaptée : cette évolution a « pour ambition de permettre une plus grande souplesse dans le recours aux mises en demeure ou aux sanctions ».

En fonction de la nature des problématiques juridiques et technologiques, ainsi que des enjeux concernant la gravité des impacts pour les personnes concernées, la CNIL a désormais une « politique répressive différenciée ».

• Une nouvelle procédure de sanction dite « simplifiée » pour les dossiers peu complexes ou de faible gravité.

Elle se déroule comme la procédure de sanction ordinaire, mais avec :

• un mode opératoire « allégé » :
  • un seul membre de la commission restreinte instruit le dossier et statue,
  • pas de séance publique a priori,
  • pas de publication prévue,

• une limitation des sanctions possibles :
  • rappel à l’ordre,
  • amende,
  • injonction,
• un plafonnement des sanctions :
  • 20 000€ pour les amendes,
  • 100€ d’astreintes par jour de retard en cas de non respect d’une injonction.

• Une réforme de la procédure de sanction ordinaire avec notamment :
  • des délais allongés « pour permettre de produire des observations »,
  • la possibilité pour un rapporteur de la CNIL de reprendre « le travail d’instruction d’un précédent rapporteur rendu indisponible,
  • la possibilité pour le président de la formation restreinte « de décider seul qu’il n’y a plus lieu de statuer » (par exemple : « lorsque l’organisme mis en cause a disparu »).

• Un nouveau pouvoir d’injonction pour la formation restreinte de la CNIL : « Le président de la formation restreinte peut désormais être saisi en vue d’enjoindre à l’organisme mis en cause de transmettre les éléments demandés. Cette injonction peut être assortie d’une astreinte d’un montant maximum de 100 € par jour de retard » ;

• Un ajustement de la procédure de mise en demeure par la CNIL : enfin, « La présidente de la CNIL peut désormais adresser des mises en demeure n’appelant pas de réponse écrite […]. L’organisme est tenu de se mettre en conformité dans le délai fixé par la présidente mais n’a plus à transmettre les éléments qui en attestent […]. La mise en conformité pourra être vérifiée par d’autres moyens, par exemple lors d’un contrôle ultérieur » ;

Avec ces allègements de procédures pour les cas de manquements considérés non complexes et n’engendrant pas de risques graves pour les droits et libertés des personnes concernées, associé à une limitation des sanctions et un plafonnement de leurs montants, la CNIL se donne la possibilité de sanctionner plus souvent des manquements, somme toute, assez courants mais qui perdurent malgré les nombreuses plaintes qui lui sont notifiées chaque année.

Parallèlement, la CNIL se donne les moyens de se concentrer plus spécialement sur les cas de figure complexes avec une augmentation de ces temps d’instruction (procédure de sanction ordinaire), associée au renforcement des pouvoirs du président de la formation restreinte de la CNIL.

Cette réforme a vocation à permettre un accroissement substantiel des sanctions de la CNIL en 2022 et devrait déclencher des mises en conformité globales tous secteurs confondus.

Pour en savoir plus :

1. Plan stratégique de la CNIL annoncé pour la période 2022-2024, 17 février 2022
2. Réforme des procédures correctrices , CNIL, 12 avril 2022
3. Règlement UE 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, 27 avril 2016
4. Annexe 1, priorité 2 du plan stratégique de la CNIL annoncé pour la période 2022-2024, 17 février 2022
5. LOI n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure
6. Décret n° 2022-517 du 8 avril 2022 modifiant le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

Par Gilles Trouessin | News, Protection des données, Sécurité | Commentaires fermés