Scroll Top

Nouvelle procédure simplifiée de sanctions pour la CNIL

Nouvelle procédure simplifiée de sanctions pour la CNIL
Par Florent Gastaud 2 février 2022

La loi n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure publiée au journal officiel le 25 janvier 2022 vient doter la Commission Nationale de l’Informatique et des Libertés (CNIL) d’une nouvelle procédure simplifiée pour le prononcé de sanctions financières d’un montant limité, applicable aux seules affaires simples et de faible gravité. Elle vient également apporter, à la marge, quelques modifications aux mesures correctrices et de sanctions prévues par l’article 20 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Une nouvelle mesure simplifiée de sanctions pour le président de la cnil

Tandis que l’année 2021 est, selon la CNIL, une année “sans précédent” sur le plan de son action répressive, tant par le nombre de mesures adoptées (135 mises en demeure pour seulement 18 sanctions) que par le montant global des amendes qu’elle a prononcées (214 millions d’euros), l’autorité de protection des données française se voit attribuer par le législateur un nouvel instrument répressif. Par ce mécanisme, la CNIL compte pouvoir sanctionner plus rapidement de “petits” manquements courants aux réglementations sur la protection des données personnelles, à l’instar de ce que sont en capacité de faire certains de ses homologues européens, comme l’AEPD (Agencia Española de Protección de Datos), qui prononce plus de 150 sanctions par an, souvent de montants peu élevés.

Évaluons donc la nouvelle “machine à amende” dont est dotée l’autorité française.

Des sanctions financières limitées

Le nouvel article 22-1 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés créé par la loi n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure vient offrir à l’arsenal répressif de la CNIL un nouvel instrument de sanctions. Ce nouvel instrument a pour objectif de simplifier le prononcé de sanctions financières d’un montant limité, applicable aux seules affaires simples et de faible gravité.

En pratique, le nouvel article 22-1 ouvre la possibilité au Président de la CNIL, statuant seul, ou à l’un des membres de la CNIL qu’il aura désigné à cet effet, de prononcer des sanctions administratives limitées dans leurs montants :

  • une injonction de mettre en conformité le traitement avec les obligations résultant du RGPD et de la loi dite “Informatique et Libertés”, ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie d’une astreinte dont le montant ne peut excéder 100€ par jour de retard à compter d’une date fixée par le Président de la CNIL ; et
  • une amende administrative ne pouvant excéder 20 000 euros.

Notons qu’au même titre que les mesures prévues par l’article 20 de la dite “Informatique et Libertés”, ces sanctions ne sont pas applicables dans les cas où le traitement est mis en œuvre par l’Etat.

Des sanctions uniquement applicables aux affaires ne “présentant pas de difficulté particulière

Cette nouvelle procédure simplifiée ne requiert donc pas, contrairement au processus de sanction prévu par l’article 20 de la loi dite “Informatique et Libertés”, la saisie de la formation restreinte de la CNIL et l’ensemble de la procédure contradictoire découlant d’une telle saisie.

Aux fins de contrebalancer la perte de garanties offertes par la saisie de la formation restreinte de la CNIL, la nouvelle procédure de sanction simplifiée, au delà de ne permettre que le prononcé de sanctions financières limitées, ne peut être déclenchée que dans certaines circonstances définies par le nouvel article 22-1de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés :

« Le président de la commission peut engager les poursuites selon la procédure simplifiée lorsqu’il estime que les mesures correctrices prévues aux 1°, 2° et 7° du III de l’article 20 constituent la réponse appropriée à la gravité des manquements constatés (…) En outre, le président de la Commission nationale de l’informatique et des libertés ne peut engager les poursuites selon la procédure simplifiée que lorsque l’affaire ne présente pas de difficulté particulière, eu égard à l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu’elle présente à trancher.»

La mise en œuvre de la procédure simplifiée nécessite donc que deux critères soient réunis :

  1. d’une part, le Président de la CNIL doit estimer que les mesures prévues au titre de cette procédure constituent la réponse appropriée à la gravité des faits ;
  2. d’autre part, l’affaire ne doit pas présenter de difficulté particulière, eu égard à l’existence d’une jurisprudence établie, de décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu’elle présente à trancher.

Ce second critère offre une certaine marge d’appréciation au Président de la CNIL pour estimer ce qui peut ou non relever d’une “difficulté particulière“, et n’est pas sans rappeler le mécanisme des procédures de référé dans lequel le juge des référés est le juge de l’évidence, de l’incontestable.

Nous pouvons cependant regretter l’absence de réels critères objectifs exhaustifs. Les seuls éléments pouvant participer à une telle objectivité, comme l’existence de “décisions précédemment rendues par la formation restreinte de la commission” ou “d’une jurisprudence établie n’étant que des exemples de ce qui peut caractériser l’absence de “difficulté particulière”.

Notons sur ce dernier point que le terme “eu égard” doit être lu en ce qu’il caractérise des éléments pouvant “notamment” permettre d’établir l’absence de “difficulté particulière“. C’est en tous les cas ce qui ressort du rapport fait au nom de la commission des lois constitutionnelles, de la législation et de l’administration générale de la république, après engagement de la procédure accélérée, sur le projet de loi relatif à la responsabilité pénale et à la sécurité intérieure.

Une procédure pouvant être interrompue ou refusée

Au titre des garde fous complémentaires imaginés par nos législateurs, la procédure simplifiée prévue à l’article 22-1 de la loi dite “Informatique et libertés” pourra être refusée ou interrompue par le Président de la formation restreinte de la CNIL, ou le cas échéant le membre de la CNIL désigné par le Président de la CNIL, s’ils estiment que les critères de la procédure simplifiée ne sont pas réunis ou pour tout autre motif.

En cas de renvoi, un rapporteur sera désigné parmi les membres de la commission, qui pourra s’appuyer sur le dossier déjà constitué pour rendre ses conclusions.

Des décisions non publiques

Conformément au nouvel article 22-1 de la loi dite “Informatique et libertés”, les décisions prises dans le cadre de cette nouvelle procédure simplifiée ne pourront pas être rendues publiques.

Une mesure particulièrement bien accueillie par la CNIL

Dans le cadre de son examen du projet de loi, la CNIL s’est montrée particulièrement enthousiaste des nouveaux pouvoirs qui lui sont confiés.

Pour argumenter sa position, elle indiquait notamment que l’ancienne procédure de sanction n’était pas adaptée au traitement du volume important de réclamations qu’elle reçoit chaque année (13 585 en 2020), considérant ainsi qu’une procédure simplifiée applicable aux dossiers qui justifient une faible sanction financière et qui présentent une grande simplicité des questions de fait ou de droit posées lui apparaît indispensable pour apporter des réponses appropriées à l’ensemble des plaintes reçues.

Des retouches à la marge de l’article 20 de la loi dite “Informatique et Libertés”

Au delà de créer une nouvelle procédure simplifiée de sanction, la loi n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure est également venue apporter quelques modifications, non substantielles, aux mesures correctrices et de sanctions dont était déjà dotée la CNIL.

Rappel des obligations légales par le Président de la CNIL

Il est désormais prévu que le président de la CNIL puisse au titre de l’article 20-II de la loi dite “Informatique et Libertés”, “rappeler à ses obligations légales” un responsable de traitement ou un sous-traitant ne respectant pas ses obligations en matière de traitements de données personnelles. Cette mesure non répressive a pour vocation, pour les manquements les moins graves, de constituer une alternative à l’ouverture d’une procédure de sanction devant la formation restreinte. Du côté de la CNIL, on observe que cette mesure avait déjà été validée au bénéfice de la CNIL par le Conseil d’Etat au travers de sa décision du 21/06/2018 (Conseil d’État, 10ème – 9ème chambres réunies, 21/06/2018, 414139)

Les mises en demeure du Président de la CNIL ne devront plus systématiquement être clôturées

Afin d’assouplir la procédure de mise en demeure, les nouvelles dispositions de l’article 20-II de la loi dite “Informatique et Libertés” ouvrent la possibilité au Président de la CNIL de ne plus systématiquement clôturer les mises en demeure prononcées.

Le président peut demander qu’il soit justifié de la mise en conformité dans un délai qu’il fixe. Ce délai peut être fixé à vingt-quatre heures en cas d’urgence. Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.

Pour la CNIL, les instructions devant être menées aux fins de clôturer l’ensemble des mises en demeure prononcées étaient « particulièrement lourdes et chronophages , alors que cet instrument est souvent particulièrement approprié pour obtenir une mise en conformité rapide ».

Une astreinte de 100€ par jour de retard en cas d’absence de transmission des documents nécessaires à l’instruction d’un dossier

Dernier apport notable de la loi n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure, la création d’un article 20-IV au sein de la loi dite “Informatique et Libertés”, offrant la capacité au Président de la formation restreinte de la CNIL de prononcer une injonction accompagnée d’une astreinte de 100€ par jour de retard, pour absence de transmission d’éléments demandés par la Commission. En pratique, de tels éléments sont demandés par la formation restreinte en vue de l’instruction d’un dossier (comme par exemple la copie d’un contrat liant un responsable de traitement à un sous-traitant, le registre des activités de traitement, etc.).

Cette injonction avec astreinte peut désormais être prononcée en amont des mesures contradictoires pouvant être prononcées au titre de l’article 20-III de la loi dite “Informatique et Libertés” (rappel à l’ordre, retrait d’une certification, injonction de mise en conformité assortie d’une astreinte d’un montant maximal de 100 000€, prononcé d’une amende administrative d’un montant maximal de 20 000 000 d’euros ou 4% du chiffre d’affaires, etc.), dès lors que :

  • le responsable de traitement ou le sous-traitant s’est vu solliciter par la formation restreinte de la CNIL pour produire des éléments demandés par la Commission ; et
  • le responsable de traitement ou le sous-traitant concerné n’a pas répondu dans les délais lui ayant été accordés dans le cadre d’une précédente mise en demeure.

Là encore, la CNIL a très favorablement accueillie cette nouvelle mesure en considérant que « ces décisions de faible portée, très fréquemment attribuées à un juge statuant seul en matière administrative ou judiciaire, ne nécessitent pas l’intervention de l’ensemble de la formation restreinte et permettront de fluidifier et de simplifier l’action répressive de la Commission lorsque celle-ci se justifie »

Notons que ce nouveau pouvoir attribué au Président de la formation restreinte de la CNIL aurait très certainement été utile et cohérent dans le cadre de la sanction prononcée à l’égard de l’entité “La Société nouvelle de l’annuaire français (SNAF)” en septembre 2021, au titre de laquelle la formation restreinte avait considéré que la SNAF avait méconnu les obligations de coopération lui incombant en ne transmettant pas l’ensemble des éléments demandés par la CNIL. 👓 Lire notre article “Une microentreprise sanctionnée par la CNIL à 3000€ d’amende

En conclusion, la CNIL et plus particulièrement son Président, se voit doter de nouveaux pouvoirs répressifs qui devraient lui permettre de prononcer beaucoup plus de sanctions administratives dans les prochaines années, pour des dossiers se caractérisant, d’une part, par un faible niveau de gravité (le montant maximal des sanctions financières étant peu élevé) et, d’autre part, par l’absence de difficultés particulières, notamment eu égard aux décisions précédemment rendues par la formation restreinte ou à la simplicité des questions de fait ou de droit qu’ils soulèvent. Cette nouvelle procédure interroge cependant sur les réelles capacités de contradictoire dont vont disposer les responsables de traitement ou les sous-traitants sanctionnés : aucune réelle mesure n’étant prévue au sein des nouveaux articles de loi en la matière.

Nos contenus similaires

Une microentreprise sanctionnée par la CNIL à 3000€ d’amende BRICO PRIVÉ : 500 000€ d’amende pour 6 manquements réglementaires Cookies : la CNIL sanctionne GOOGLE par une amende de 100 millions d’euros
Florent Gastaud / About Author
Florent est le fondateur du cabinet Mon DPO externe. Il accompagne des groupes français et internationaux dans leur mise en conformité aux lois et règlementations applicables en matière de protection des données personnelles (RGPD, loi informatique et libertés, etc.). Il est désigné DPO externalisé de plusieurs groupes.
Voir tous les articles dans Florent Gastaud
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Requis