Procédure de sanction simplifiée : quel est le bilan de la CNIL ?

Publié le

10/2023

Douze décisions notifiées, une trentaine de dossiers en cours, des manquements au RGPD divers... Hier, la CNIL a présenté le bilan de la nouvelle procédure de sanction simplifiée qui a été instituée l'an dernier.

Un bilan « satisfaisant ». Depuis la loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure et son décret d’application, la procédure de sanction simplifiée a été instituée dans le cadre des litiges liés à la protection des données personnelles. Combien de dossiers ont été instruits par la CNIL ? Quelles ont été les mesures prononcées ? Quelles différences avec la procédure ordinaire ? Des questions posées à l’occasion d’un webinaire en ligne animé par deux juristes travaillant au sein du service des sanctions de la CNIL.

Une politique répressive différenciée

« L’origine d’un dossier de sanction peut provenir d’une plainte, d’une notification de violation de données, d’un contrôle… », rappelle Jérémie Kouzmine. Face à la recrudescence du dépôt de plaintes déposées auprès de la CNIL (12 000 en 2022 contre 7 000 en 2018), la procédure simplifiée a eu pour ambition d’« absorber ce contentieux » et d’ « appliquer une politique répressive différenciée en fonction des dossiers », explique Oriane Maurice.

Pour engager une procédure simplifiée, l’affaire doit tout de même répondre à plusieurs critères : que le contentieux concerne une doctrine établie de la CNIL, qu’il fasse écho à des décisions précédemment rendues par la formation restreinte, et que les questions de fait et de droit ne soient pas d’une grande complexité.

Possibilité de se faire représenter

Concrètement, il peut s’agir d’« un dossier de plainte déposée pour non-respect d’un organisme de l’application des droits d’une personne concernée », illustre Jérémie Kouzmine.

Autre élément qui distingue la procédure simplifiée de la procédure ordinaire : les sanctions encourues qui peuvent aller jusqu’au prononcé d’une amende plafonnée à 20 000 €, et qui ne peuvent donc pas viser des dossiers ayant un fort enjeu économique.

La procédure reste toutefois « écrite et contradictoire » et « l’organisme peut se faire assister ou représenter par un conseil de son choix, accéder au dossier papier auprès du greffe des services des sanctions, et être entendu si le rapporteur désigné l’estime utile », rassure Oriane Maurice.

Vidéosurveillance au travail

« En 2023, 12 décisions ont été notifiées et plus d’une trentaine de dossiers sont encore en cours de procédure », souligne la juriste. Quels sont les manquements fréquemment retenus ?

« Le défaut de coopération avec la CNIL,
le défaut de sécurité des données,
l’absence de désignation d’un DPO,
le non-respect du droit d’accès,
le non-respect du principe de minimisation des données...

« Beaucoup de plaintes concernent la vidéosurveillance au travail et sont redirigées vers la procédure de sanction simplifiée », précise Jérémie Kouzmine.

Au niveau des organisations, le public et le privé sont autant touchés et ce quelle que soit la taille de l’organisme. S’agissant des sanctions, « le plafond maximal de 20 000 € a déjà été atteint », et les amendes sont souvent « assorties d’une injonction pour se mettre en conformité ».

« L’objectif d’absorption a été rempli. Nous sommes assez satisfaits et il y aura encore plus de dossiers à venir », estime la juriste.