Recevez chaque jour toute l'actualité du numérique

x

Attention aux nouvelles modifications apportées à la procédure de sanctions de la Cnil

Tribune Un nouveau décret a assoupli la procédure de sanction de la CNIL, renforçant considérablement sa capacité en la matière. Les entreprises, et notamment les TPE et PME, doivent être vigilantes car elles sont beaucoup plus exposées qu'auparavant. Décryptage d'Isabelle Cantero, avocat associé du cabinet Caprioli & Associés.
Twitter Facebook Linkedin Flipboard Email
×

Attention aux nouvelles modifications apportées à la procédure de sanctions de la Cnil
Attention aux nouvelles modifications apportées à la procédure de sanctions de la Cnil © Unsplash

En synthèse tout d’abord et pour rappel du contexte, la procédure de sanction de la CNIL mise en place en 2004 prévoit que la Présidente désigne un rapporteur parmi ses membres et qu’elle saisisse la formation restreinte. Seule cette formation est habilitée à prononcer une sanction à l’encontre des responsables du traitement ou des sous-traitants (seulement depuis 2018 pour ces derniers avec l’entrée en vigueur du RGPD), en cas de manquements avérés à la règlementation sur la protection des données personnelles.

Or, depuis le RGPD, le nombre de saisines adressées à la CNIL n’a cessé de croître, porté à plus de 14 000 en 2021 (Rapport annuel de la CNIL de 2021). La CNIL précise que les "dossiers qu’elle étudie sont très variables en termes de gravité, de questions juridiques et technologiques soulevées, ou encore de conséquences pour les personnes. Ils exigent donc une politique répressive différenciée". C’est dans cette optique de différenciation qu’a été créée une procédure de sanction simplifiée à côté de la procédure ordinaire elle-même amendée.


Une procédure ordinaire plus fluide

Le décret n°2022-517 du 8 avril 2022 a modifié les articles 39 à 41 du décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi n°78-17 et vient ainsi assouplir la procédure ordinaire.

D’une part, les délais de production d’écritures sont allongés à un mois contre 15 jours auparavant. Le nombre d’échanges contradictoires entre le mis en cause et les agents de la CNIL n’est plus limité, étant rappelé que "le mis en cause à toujours la possibilité de produire en dernier" et peut se faire assister ou représenter par tout conseil de son choix.

D’autre part, le rapporteur désigné par la Présidente de la Commission parmi ses membres (hors formation restreinte) dispose désormais de la faculté de mettre fin à la procédure s’il estime qu’il n’y a pas lieu de prononcer de mesures correctives.

Enfin, s’il "se déporte d’une affaire ou devient indisponible pour quelque motif que ce soit", le nouveau rapporteur désigné par la Présidente de la Commission poursuivra la procédure sans qu’il lui soit nécessaire de réitérer les actes effectués par son prédécesseur.


Une procédure simplifiée pour les dossiers peu complexes ou de faible gravité

Cette procédure figure au nouvel art. 22-1 de la loi "Informatique et Libertés" modifiée et ses modalités de mise en œuvre sont précisées par les articles 45-1 et 45-2 du décret n°2019-536 du 29 mai 2019 – récemment modifié par le décret n°2022-517 du 8 avril 2022.

La procédure simplifiée est applicable aux dossiers qui ne présentent pas de difficulté particulière, compte tenu de la jurisprudence établie par la CNIL ou des décisions précédemment rendues par la formation restreinte. A titre d’exemples la CNIL a sanctionné à de multiples reprises des manquements liés : à la sécurité des données au point de rappeler les règles standards à respecter, au recueil du consentement pour le dépôt de cookies sur les sites. Sa jurisprudence en somme.

Les mesures susceptibles d’être prononcées à l’encontre du responsable du traitement ou du sous-traitant mis en cause ne seront pas rendues publiques.

Elles sont limitées à : (i) un rappel à l’ordre ; (ii) une injonction de mettre en conformité le traitement sous astreinte dans la limite de 100 € par jour de retard ou (iii) une amende administrative d’un montant maximal de 20.000 euros.

Le Président de la formation restreinte ou le membre qu’il a désigné "statue seul sur l’affaire" sur la base du rapport établi par le rapporteur nommé par la Présidente de la CNIL parmi ses agents.

Dès lors que le dossier présentera des difficultés, sous l’appréciation discrétionnaire de la CNIL, la procédure simplifiée peut être interrompue pour revenir à la procédure ordinaire.

A noter, les modalités de mise en œuvre de la procédure simplifiée font écho à l’appel d’offres de la CNIL "d’externalisation de certaines opérations de traitement de saisines" visant à confier à des organismes tiers une partie de la gestion de la procédure. 


Une place considérable octroyée à des experts externes

Procédure simplifiée ou procédure ordinaire, le rapporteur joue toujours un rôle essentiel.

Ce rôle peut désormais être confié à des experts externes à la CNIL (article 41 du décret n°2019-536 du 29 mai 2019) dans le cadre de la procédure simplifiée. Outre les agents permanents de la commission, la Présidente peut désigner comme rapporteur : "les magistrats, en activité ou honoraires, les membres de la juridiction administrative en activité ou honoraires, les fonctionnaires de catégorie A, les agents contractuels de l'Etat de niveau équivalent et les personnes justifiant d'une qualification dans les domaines relevant de la compétence de la commission et titulaires d'un des diplômes permettant d'accéder à un corps de catégorie A".

Dans le cadre de la procédure ordinaire, ces experts peuvent également assister le rapporteur.

Force est de constater que les modifications règlementaires apportées à la procédure ordinaire mais surtout les modalités d’application de la procédure simplifiée renforcent considérablement le pouvoir de sanction de la CNIL. Concrètement, les TPE et PME sont très exposées. En somme, des myriades de sanctions à venir.

Isabelle Cantero, avocat associé, responsable du pôle données personnelles et vie privée
Caprioli & Associés, Société d’avocats membre du réseau JurisDéfi



Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.