Sanction CNIL : création d’une procédure simplifiée
L’article 33 de la loi du 24 janvier 2022 vient d’introduire un nouvel article 22-1 dans la loi informatique et liberté de 1978 qui prévoit la création d’une procédure de sanction « simplifiée ».
Il s’agit d’une procédure moins lourde et plus rapide que l’originale prévue à l’article 22 de la loi informatique et libertés. Elle vise à permettre à la CNIL de sanctionner plus facilement les manquements moins importants au RGPD.
A titre de rappel, le RGPD prévoit plusieurs vecteurs pouvant entrainer une sanction CNIL, à savoir notamment une plainte ou un contrôle sur place ou en ligne.
Contexte : une procédure préexistante de sanction CNIL lourde
La procédure initiale prévue à l’article 22 de la loi de 1978 prévoit des mécanismes lourds et potentiellement longs. En effet, elle suppose plusieurs allers-retours entre l’organisme visé et le rapporteur dans un premier temps. Une audience, suivie d’une délibération des six membres de la formation restreinte de la Commission.
Cette lourdeur procédurale se justifie au regard des enjeux de défense corrélatifs à l’importance de la sanction CNIL pouvant être prononcée au terme de la procédure.
Ainsi à titre d’exemples, une sanction CNIL peut être prononcée parmi les sanctions suivantes :
– une limitation temporaire ou définitive du traitement ou son interdiction,
– une amende administrative pouvant aller jusqu’à 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial (nota : ces deux plafonds peuvent être doublés dans certains cas)
Solution : la création d’une procédure de sanction CNIL simplifiée
Cette procédure de sanction CNIL peut être mise en œuvre à l’initiative du président de la CNIL si les faits ne présentent pas de difficulté particulière au regard des questions de droit ou de fait, ou de la jurisprudence antérieure et si le panel de sanctions décrites ci-après est approprié pour sanctionner l’atteinte constatée.
La procédure est menée par une seule personne, elle suppose moins de discussions et ira donc plus vite. Il est cependant d’ores et déjà prévue que si en cours d’examen des faits le président de la formation restreinte ou le membre de la commission désigné par lui pour conduire la procédure l’estiment justifié, ils peuvent à tout moment interrompre cette procédure simplifiée pour basculer sur la procédure classique prévue à l’article 22.
Dans le cadre de cette procédure, la sanction CNIL prononcée sera cependant moins lourde et parmi les suivantes :
– un rappel à l’ordre,
– une injonction de mettre en conformité le traitement qui peut être assortie d’une astreinte dont le montant ne peut excéder 100 euros par jour de retard à compter de la date fixée par la décision,
– une amende dans la limite d’un montant de 20 000 euros
En résumé, la CNIL dispose donc désormais d’une procédure lui permettant de sanctionner de façon plus rapide et adaptée des atteintes au RGPD simples et moins graves.
Vous souhaitez en savoir plus sur ce sujet, un avocat RGPD du cabinet SOLVOXIA se tient à votre disposition.