Le nouveau Régime de sanction de la CNIL

Alors que la Commission nationale de l’informatique et des libertés (ci-après « CNIL » ou « Commission ») vient de terminer une année particulièrement prolifique dans son action répressive[1], la loi Responsabilité pénale et sécurité intérieure[2], adoptée le 24 janvier 2022, vient restructurer et simplifier une partie du régime de sanctions de la Commission.

Les pouvoirs du président de la formation restreinte sont au cœur de cette réforme. Afin de faciliter le traitement d’affaires dont les problématiques sont familières à la Commission, l’article 33 de la loi Responsabilité pénale et sécurité intérieure introduit au sein de la loi Informatique et libertés une procédure dite simplifiée[3].

Cette procédure permet au président de la formation (ou à un membre désigné) de statuer seul. Pour cela, il doit être démontré que les actions correctrices qu’il s’apprête à mettre en œuvre « constituent la réponse appropriée à la gravité des manquements constatés » et que « l’affaire ne présente pas de difficulté particulière, eu égard à l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu’elle présente à trancher ».

Comme pour la formation restreinte, le président ou le membre désigné « statue sur la base d’un rapport établi par un agent des services de la Commission nationale de l’informatique et des libertés » habilité. Ce rapport est remis au responsable de traitement et à l’éventuel sous-traitant, qui pourront faire part de leurs observations.

Au titre de la procédure simplifiée, le président peut prononcer certaines des sanctions habituellement émises par la formation restreinte de la CNIL. Ainsi, il lui est possible de prononcer :

• Un rappel à l’ordre ;
• Une injonction de mise en conformité des traitements visés avec les obligations du RGPD[4] et/ou de la loi Informatique et libertés ou une injonction « de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits ». Elle peut être assortie d’une astreinte dont le montant ne peut excéder 100€ par jour de retard ;
• Une amende administrative ne pouvant excéder 20 000€.

Étant donné la diminution des acteurs impliqués, il sera désormais plus simple pour la CNIL de traiter de dossiers usuels et de fluidifier son action, lui permettant d’autre part de déployer la formation restreinte sur des dossiers plus conséquents. Toutefois, les décisions rendues dans le cadre de cette procédure ne pourront être rendues publiques.

[1] CNIL, Journée de la protection des données : focus sur une année record pour l’action répressive de la CNIL, 28 jan. 2022 [en ligne ; consulté le 31 jan. 2022] [2] Loi n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure

[3] Article 22-1, Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[4] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

---

Par Clémence Durand | 03 Février 2022 | News, Protection des données,  Sécurité | Commentaires fermés