Instauration d’une nouvelle procédure simplifiée de sanction devant la CNIL

Loi n°2022-52, 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure

En cas de manquement aux obligations résultant de la loi du 6 janvier 1978, dite « informatique et libertés », ou de non-conformité au RGPD, la formation restreinte de la CNIL saisie par le président de la CNIL peut prononcer à l’égard du responsable de traitement une ou plusieurs mesures correctrices.

D’après le rapport de la CNIL de 2021, 13 585 plaintes ont été reçues en 2020.  Face à ce nombre en constante croissance, la loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure a instauré une nouvelle procédure simplifiée de sanction.

L’article 33 de cette loi publiée au journal officiel du 25 janvier 2022 insère un nouvel article 22-1 dans la loi « informatique et libertés ». Aux termes de cet article, le président de la CNIL, lorsqu’il estime que les conditions sont réunies, peut engager les poursuites devant la formation restreinte selon une procédure simplifiée qui permet au président de la formation restreinte de la CNIL ou à l’un de ses cinq membres désigné à cet effet de statuer seul sur l’affaire et de prononcer trois types de sanctions :

  • Le rappel à l’ordre ;
  • L’injonction de mise en conformité avec le RGPD, y compris sous astreinte si que cette dernière n’excède pas 100 euros par jour de retard ;
  • Une amende administrative d’un montant ne pouvant excéder 20.000 euros.

Ces sanctions ne peuvent pas être rendues publiques.

La mise en œuvre de cette procédure simplifiée est soumise à deux conditions cumulatives :

  • Que les mesures correctrices mentionnées ci-dessus constituent la réponse appropriée à la gravité des manquements constatés ;
  • Que l’affaire ne présente pas de difficulté particulière, eu égard à l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit à trancher

Il est entendu que le président de la formation restreinte ou le membre désigné peut, pour tout motif, refuser de recourir à la procédure simplifiée ou l’interrompre. Dans ce cas, les nouvelles dispositions de la loi « informatique et libertés » prévoient que le président de la CNIL devra initier la procédure classique et collégiale devant la formation restreinte.

Dans le cadre de cette procédure simplifiée, le « juge unique » statue sur la base d’un rapport établi par un agent des services de la CNIL et non par le Rapporteur (lui-même membre du collège des commissaire). Le rapport est notifié au responsable de traitement ou au sous-traitant informé de la possibilité de se faire représenter par un avocat, de présenter des observations écrites et de demander à être entendu.

A cet égard, le président de la formation restreinte ou le membre désigné peut également solliciter les observations de toute personne pouvant contribuer à son information. A l’issu de la procédure, la formation restreinte est informée des décisions prises selon la procédure simplifiée.

L’application effective de cette nouvelle procédure est subordonnée à un décret en Conseil d’Etat qui devra préciser les modalités de mises en œuvre de la procédure simplifiée ainsi que les garanties applicables en matière de prévention des conflits d’intérêts pour les agents désignés rapporteurs.