Depuis avril 2022, une nouvelle procédure de sanction a été introduite au sein de la Commission nationale de l’informatique et des libertés : la procédure de sanction simplifiée. Cette procédure vise à traiter les dossiers ne présentant pas de difficulté particulière et permettre à la CNIL d’assurer un traitement plus optimal des plaintes dont le nombre ne cesse d’augmenter.
Afin de ne pas se limiter aux dossiers complexes, la CNIL tient, à travers cette nouvelle procédure, à étendre son action répressive aux dossiers ne présentant pas de difficulté en matière de fait et de droit.
Cette réforme est issue d’un nouveau décret d’application de la loi Informatique et Libertés de 1978. Découvrons l’ensemble du dispositif.
En quoi consiste la procédure de sanction simplifiée ?
En cas de manquements à la loi ou au règlement général de la protection des données (RGPD) à l’issue de contrôles ou de plaintes, certaines mesures peuvent être prononcées à titre de sanction par la CNIL (Commission nationale de l’informatique et des libertés).
Il est ainsi possible, pour le président de la CNIL, de rappeler à la loi l’organisme qui commet un manquement.
Le président de la CNIL peut également mettre en demeure un organisme de se conformer aux règles en cas de manquement aux dispositions du RGPD ou de la loi. Généralement privées, ces mises en demeure peuvent être rendues publiques.
Enfin, deux procédures de sanctions se distinguent :
- la procédure de sanction ordinaire ;
- la procédure simplifiée de sanction.
La procédure de sanction ordinaire est la procédure classique en matière de sanction. Elle est engagée soit à la suite d’un signalement ou d’un dépôt de plainte, soit à l’issue d’un contrôle de la commission.
La procédure de sanction simplifiée est une nouvelle procédure introduite par le décret du 8 avril 2022. Elle est destinée aux affaires peu complexes et d’une faible gravité.
Comment se déroule la procédure de sanction simplifiée ?
La procédure de sanction simplifiée est une procédure écrite. Des observations orales peuvent néanmoins être présentées à la demande de l’organisme mis en cause. Cette phase orale s’organise au moyen d’une séance réunissant le président de la formation restreinte, le rapporteur et le mis en cause.
La formation restreinte
La procédure de sanction simplifiée est réalisée par formation restreinte de la CNIL.
La formation restreinte se compose de 5 membres et d’un président.
La formation restreinte n’est réunie que sur convocation de son président ou de son vice-président en cas d’absence du président.
La convocation est transmise par tout moyen et comprend les éléments suivants :
- le lieu ;
- la date et l’heure ;
- l’ordre du jour.
Elle est également transmise aux rapporteurs concernés par la séance ainsi qu’au commissaire du gouvernement.
Les cas de recours
Pour qu’un dossier soit soumis à la procédure de sanction simplifiée, certains critères sont nécessaires.
On vérifie ainsi trois éléments :
- l’existence d'une précédente jurisprudence ;
- l’existence de décisions rendues précédemment par la formation restreinte ;
- le dossier est simple à traiter en matière de fait et de droit.
L’ouverture de la procédure
Lorsqu’une demande de procédure simplifiée de sanction est effectuée, le président de la CNIL informe le président de la formation restreinte et désigne un rapporteur.
L’organisme concerné par le dossier en est informé.
Le président de la formation restreinte décide d’accepter ou de refuser le recours à cette procédure. Il peut également suspendre à tout moment la procédure. Dans un tel cas, le dossier sera traité en procédure ordinaire et un commissaire-rapporteur sera désigné par le président de la CNIL.
En cas d’acceptation de la procédure par le président de la formation restreinte, il sera destinataire de tous les documents lors de la procédure écrite.
Déroulement de la procédure
Un rapporteur parmi les agents de service de la CNIL est désigné par le président de la CNIL. Cet agent dispose obligatoirement d’une habilitation et reste sous l’autorité du président de la CNIL durant l’exercice de sa mission.
Après avoir éventuellement auditionné l’organisme en cause ou procédé à des vérifications complémentaires, le rapporteur doit rédiger un rapport sur les manquements commis par l’organisme. En cas de violations des règles constatées, il est tenu de proposer au moins une des trois mesures de sanctions existantes :
- un rappel à l’ordre ;
- une injonction de se conformer aux règles assortie éventuellement d’une astreinte ;
- une amende administrative.
Ce rapport est transmis au président de la formation restreinte ainsi qu’à l’organisme. Le président de la formation restreinte statue sur la base de ce rapport. Il peut solliciter d’autres observations avant de rendre sa décision.
L’organisme a également la possibilité d’être entendu et de présenter des observations écrites. Il dispose d’un mois pour le faire. A compter de la réception des observations, le rapporteur dispose également d’un mois s’il souhaite y répondre.
Une fois l’instruction close, l'organisme est informé 15 jours à l’avance de la date de la séance de la formation restreinte.
Est-ce que la procédure simplifiée de sanction respecte le principe du contradictoire ?
Le principe du contradictoire est un principe fondant toute procédure judiciaire. Il a traduit la notion de procès équitable.
Ce principe garantit à toute partie à un procès de pouvoir être appelée et entendue avant d’être jugée. Il garantit également le droit à chacun de prendre connaissance des arguments sur lesquels repose son jugement (transmission des pièces et conclusions, communication, etc.).
Le principe du contradictoire est consacré à l’article 6 de la Convention européenne des droits de l’homme. Il constitue l’un des fondements au droit de la défense.
Le principe du contradictoire est garanti dans l’ensemble des procédures de sanction de la CNIL : la procédure ordinaire et la procédure simplifiée.
Quelle est l’issue de la procédure de sanction simplifiée ?
Sur la base du rapport rendu ainsi que les éventuelles observations, le président de la formation restreinte rend sa décision seul.
Étant une procédure simplifiée, il ne peut prononcer que l’une ou plusieurs de ces trois mesures :
- un rappel à l’ordre ;
- une injonction de mettre le traitement en conformité assortie d’une astreinte d’un montant de 100 euros maximum par jour de retard ;
- une amende administrative d’un montant maximal de 20 000 euros.
Les autres membres de la formation restreinte sont ensuite informés des décisions prises par le président de la formation restreinte.
Quelle est la différence entre la procédure de sanction ordinaire et simplifiée ?
La procédure de sanction simplifiée se distingue de la procédure de sanction ordinaire par sa simplification.
En effet, bien que les étapes soient similaires à celles de la procédure ordinaire, ses modalités de mise en œuvre sont allégées.
Aucune séance publique n’est organisée sauf sur demande de l’organisme en cause. Par ailleurs, le président de la formation restreinte statue seul. Lors de la procédure ordinaire, tous les membres de la formation restreinte délibèrent sur le dossier.
En outre, la procédure simplifiée est écrite, et exceptionnellement orale contrairement à la procédure ordinaire.
Concernant les sanctions, seules trois sanctions limitées peuvent être prononcées lors de la procédure de sanction simplifiée :
- le rappel à l’ordre ;
- l’injonction de mettre en conformité légale le traitement assortie d’une astreinte d’un montant de 100 euros maximum par jour de retard ;
- une amende administrative d’un montant de 20 000 euros maximum.
Ces sanctions ne peuvent être rendues publiques contrairement aux décisions rendues à l’issue d’une procédure ordinaire.
En procédure ordinaire, les sanctions pouvant être infligées sont plus étendues que celles de la procédure simplifiée :
- le rappel à l’ordre ;
- l’injonction de mettre en conformité le traitement avec les obligations légales assortie d’une astreinte dont le montant maximal de 100 000 euros par jour de retard ;
- la limitation définitive ou temporaire du traitement, son interdiction ou le retrait d’une autorisation ;
- le retrait d’une certification ;
- la suspension des flux de données adressées à un destinataire des pays tiers ou à une organisation internationale ;
- la suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes ;
- une amende administrative d’un montant pouvant être plus élevé que le maximum prévu en cas de procédure simplifiée.
En matière pécuniaire, le montant des sanctions peut s’élever à 20 millions d’euros ou à 4 % du chiffre d’affaires annuel mondial.
Comment saisir la CNIL pour une procédure de sanction simplifiée ?
Une procédure de sanction simplifiée peut résulter de trois causes :
- à l’issue d’un contrôle ;
- suite à un signalement, une alerte ;
- suite à une plainte déposée.
Les alertes portent nécessairement sur les manquements à la réglementation en matière de protection des données personnelles (RGPD, loi Informatique et Libertés, cybersécurité, etc.). Elles portent sur des faits produits ou pouvant être produits très probablement.
Le lancement d’alerte peut être effectué par voie électronique, téléphonique ou par courrier.
Il est également possible d’adresser directement une plainte à la CNIL par voie électronique ou par courrier postal.
La plainte doit être rédigée en langue française et indiquer un certain nombre de mentions telles que l’organisme visé par la plainte, l’identité du plaignant ainsi que toutes les informations et pièces utiles au dossier.
Crédit image : CNIL