Face à la multiplication des plaintes et des dossiers, l’exécutif a fait évoluer les procédures de mise en demeure et de sanctions de la Cnil, avec notamment une procédure répressive simplifiée dans les cas les plus simples.
La loi du 24 janvier 2022 sur la responsabilité pénale et à la sécurité intérieure, complétée d’un décret publié le 8 avril, vient modifier les réponses répressives de la Cnil, en simplifiant les procédures menées par le gendarme des données personnelles. Car avec 14 000 plaintes déposées en 2021, le régulateur ne sait plus trop où donner de la tête.
La faute au RGPD, évidemment, qui a vu le nombre de réclamations s’envoler, sans commune proportion avec l’augmentation des moyens alloués à la Cnil. Ces changements viennent donc adapter la réponse de l’autorité administrative en fonction de la complexité des cas qu’elle est amenée à examiner.
20 000 euros d'amende
Ainsi, et c’est sur ce point que « ça va piquer », la présidente de la Cnil peut orienter les dossiers les moins complexes, ou les moins graves, vers une « procédure de sanction dite simplifiée ». Le président de la formation restreinte est alors saisi, de sorte qu’il désigne un rapporteur parmi les agents de la Cnil qui instruira le dossier. Cet agent désigné suit les mêmes étapes de la procédure qu’habituellement, mais est seul juge tandis que le dossier ne passe pas en séance publique (à moins que l’organisation visée n’en fasse la demande).
Le régime des sanctions est là encore simplifié : simple rappel à l’ordre ou amende jusqu’à 20 000 euros, possiblement conjuguée à une injonction avec astreinte plafonnée à 100 euros par jour de retard. A noter que les sanctions prononcées par le biais de cette procédure simplifiée ne pourront être rendues publiques.
Des mises en demeure adaptées
La procédure ordinaire a elle aussi droit à quelques évolutions, à commencer par des délais rallongés pour produire des observations et la la possibilité, pour un nouveau rapporteur, d’utiliser le travail d’instruction mené par un précédent rapporteur. En outre, le président de la formation restreinte voit ses pouvoirs renforcés. Il peut ainsi décider seul qu’il n’y a plus lieu, dans un dossier, de statuer, mais aussi et surtout enjoindre un organisme de fournir les éléments demandés suite à une mise en demeure (si celui-ci ne les a pas fourni dans les délais), sous peine d’une astreinte de 100 euros par jour de retard.
Enfin, la procédure de mise en demeure n’appelle plus nécessairement de réponse écrite des organismes visés, la mise en conformité pouvant être vérifiée par d’autres biais, le contrôle par exemple. En outre, le plafond de 6 mois pour se mettre en conformité disparait, « afin de permettre aux organismes de déployer des programmes de conformité plus longs lorsque certaines situations l’exigent ».