Avec plus de 14 000 plaintes par an à la CNIL et une année 2021 battant des records de sanctions (135 mises en demeure dont 18 sanctions, pour un montant de 214 106 000 euros[1]) la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure, publiée au journal officiel le 25 janvier 2022, accorde à la Commission Nationale de l’Informatique et des Libertés (CNIL) une nouvelle procédure de poursuites dite « simplifiée » afin de faire face au volume conséquent de plaintes qui lui sont adressées.
Modification et instauration de mesures correctrices et de sanctions :
Les dispositions de la loi du 24 janvier 2022 viennent modifier l’article 20-II de la loi dite « Informatique et Libertés »[2] et ajouter un nouvel article 22-1 qui permettent dorénavant au Président de la CNIL de :
- Rappeler à ses obligations légales un responsable de traitement ou un sous-traitant ne respectant pas le cadre juridique en matière de protection des données à caractère personnel. Dans sa délibération en date du 25 mars 2021[3], la CNIL a estimé que cette mesure (pouvant être assimilée à un rappel à l’ordre) : « permettra, pour des manquements mineurs qui ne justifient pas le prononcé de mesures publiques ou de sanctions financières de favoriser la mise en conformité des responsables de traitement et sous-traitants ayant méconnu les obligations légales qui s’imposent à eux » ;
- Prononcer une injonction sous astreinte ne pouvant toutefois excéder 100 euros par jour de retard notamment en cas d’absence de réponse à une précédente mise en demeure de transmission des documents nécessaires à l’instruction du dossier. Dans sa délibération, la CNIL estime que cette mesure ne nécessite pas l’intervention de l’ensemble de la formation restreinte et permet de fluidifier et simplifier l’action répressive de la CNIL.
- Prononcer une amende administrative jusqu’à 20 000 euros. Dans sa délibération, la CNIL estime que la « procédure de sanction actuelle n’est plus adaptée au traitement du volume des réclamations reçues ».
Le président de la formation restreinte ou le membre qu’il a désigné statue sur la base d’un rapport effectué par un agent des services de la CNIL.
Le rapport est ensuite notifié au responsable de traitement ou au sous-traitant qui est informé du fait qu’il peut se faire représenter ou assister, présenter des observations écrites et demander à être entendu. Le président de la formation restreinte ou le membre désigné peut solliciter des observations de toute personne pouvant contribuer à information.
Enfin, il est prévu que les sanctions prononcées ne sont pas rendues publiques, contrairement aux sanctions pouvant être prononcées par la formation restreinte.
Conditions pour engager cette procédure :
Contrairement à la procédure classique, cette procédure ne requiert pas la saisie de la formation restreinte de la CNIL mais elle est soumise à certaines garanties :
- L’affaire ne présente pas de difficulté particulière au regard (i) de la jurisprudence établie, (ii) des décisions précédemment rendues par la CNIL, et (iii) de la simplicité des questions de fait et de droit à trancher ;
- Mesures prévues constituent la réponse appropriée à la gravité des faits.
Allégement de la procédure de mise en demeure :
Conformément aux nouvelles dispositions de l’article 20 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, le président de la CNIL peut ne plus clôturer les mises en demeure prononcées.
La CNIL estime que « ces dispositions permettront ainsi d’assouplir la procédure de mise en demeure ».
En effet, les instructions devant être menées aux fins de clôturer les mises en demeure étaient « particulièrement lourdes et chronophages, alors que cet instrument est souvent particulièrement approprié pour obtenir une mise en conformité rapide ».
Procédure pouvant être interrompue ou refusée
Au rang des garanties apportées par le législateur, l’article 22-1 introduit par la loi du 24 janvier 2022 prévoit que le président de la formation restreinte ou le membre qu’il a désigné peut, pour tout motif, refuser de recourir à la procédure simplifiée ou l’interrompre. Dans ce cas, le président de la Commission nationale de l’informatique et des libertés reprend la procédure conformément aux exigences et aux garanties prévues à l’article 22.
Cette procédure est subordonnée à la publication d’un décret en Conseil d’Etat qui viendra notamment préciser les modalités de mise en œuvre de la procédure simplifiée ainsi que les garanties applicables en matière de prévention des conflits d’intérêts pour les agents désignés rapporteurs.
Nous viendrons prochainement illustrer cette nouvelle procédure par une infographie !
Source : https://www.legifrance.gouv.fr/jorf/article_jo/JORFARTI000045067962
[1] CNIL, Journée de la protection des données : focus sur une année record pour l’action répressive de la CNIL, 28 janvier 2022 < https://www.cnil.fr/fr/bilan-sanctions-mises-en-demeure-2021>
[2] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[3] CNIL, Délibération du 25 mars 2021 n°2021-035