Depuis le début de l’année 2022, la CNIL a réformé à deux reprises ses procédures correctrices. Ces modifications datant du 24 janvier et du 8 avril, ont fait émerger une simplification des actions répressives à l’encontre des dossiers jugés les moins complexes. Cette simplification a pour objectif de pouvoir mieux réagir aux plaintes qui parviennent à la Commission à la suite de violations de droit.
Comment fonctionne une action répressive de la CNIL ?
Suite à un contrôle ou une plainte à l’égard d’un organisme, la CNIL peut prononcer des sanctions envers les responsables de traitement qui ne respectent pas les exigences du RGPD ou de la loi.
La Commission, dans sa formation restreinte, comprend 5 membres et un président de formation. Elle a le pouvoir de prononcer des sanctions pécuniaires importantes. Le RGPD permet de condamner les réfractaires jusqu’à 4% du chiffre d’affaire annuel d’un organisme ou jusqu’à 20 millions d’euros. Ces sanctions peuvent être rendues publiques.
Durant l’année 2021, la CNIL a prononcé 18 sanctions dont le montant total s’est élevé à plus de 214 millions d’euros. Google a été l’entreprise la plus lourdement sanctionnée avec pas moins de 150 millions d’euros. Cette sanction répondait au non-respect de la réglementation sur les cookies.
En revanche, les sanctions ne sont pas réservées qu’aux GAFAMs. Des entreprises nationales de tailles plus modestes sont aussi visées par la Commission. Au cours de l’année 2021 par exemple, une entreprise de bricolage a été condamnée à 500 000 euros d’amende pour non-respect des durées de conservation des données, défaut d’information des personnes, non-respect des demandes d’effacement, défaut de sécurité ainsi que pour le non-consentement à la prospection commerciale.
Pour des manquements en matière d’opposition à la prospection téléphonique, la CNIL a infligé une sanction de 500 000 euros à un organisme en 2019. Le dépôt de cookies publicitaires sans consentement préalable des internautes a été sanctionné à hauteur de 50 000 euros pour une société de presse française en 2021.
Ces infractions aux principes du RGPD seront dorénavant contrôlées et sanctionnées plus aisément.
Comment la réforme influe-t-elle les actions répressives de la CNIL ?
On constate un nombre grandissant de plaintes (14 000 en 2021) qui sont adressés à la CNIL depuis l’entrée en vigueur du RGPD le 25 mai 2018. Cela a poussé l’autorité administrative indépendante, à créer une procédure de sanction simplifiée afin de traiter des dossiers moins complexes en plus grand nombre.
Ainsi, la présidente de la CNIL pourra saisir le président de la formation restreinte pour qu’il statue seul ou qu’il désigne un membre de la formation pour statuer en autonomie sur un dossier. La formation restreinte n’a ainsi pas besoin de se réunir au complet.
Les sanctions prononcées à l’issue de cette procédure simplifiée sont limitées à un rappel à l’ordre, des amendes de 20 000 euros maximum et des injonctions de 100 euros maximum par jour de retard. Ces sanctions ne peuvent cependant pas être rendues publiques.
La méthode de mise en demeure des organismes a également été modifiée. La présidente de la Commission peut désormais adresser des mises en demeure qui n’appellent pas de réponse par les organismes, mais qui imposent un délai pour se mettre en conformité. L’organisme n’a plus besoin de prouver sa mise en conformité mais elle pourra être contrôlée ultérieurement par la Commission.
Que change la procédure simplifiée pour les entreprises ?
Les sanctions prononcées à la suite d’une action répressive simplifiée sont moins effrayantes pour les entreprises. En revanche, elles sont plus fréquentes. La mise en conformité de l’ensemble des activités des entreprises est donc plus que nécessaire.
A la suite de l’entrée en vigueur du RGPD et après avoir laissé un délai de presque 4 ans aux entreprises, la CNIL va désormais être plus offensive à l’égard des réfractaires de la protection des données personnelles.
Lou GOMEZ-REY
M2 Cyberjustice 2021-2022
Sources :
https://www.laprofessioncomptable.com/article/actualites/cnil-vers-une-action-repressive-simplifiee