TGS

Les nouveaux pouvoirs de la CNIL augurent-ils une multitude de sanctions ?

Le 03.02.2022 0 commentaires
sanctions-CNIL

C’est au travers de la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure que la CNIL s’est vue accordée un nouveau pouvoir de sanction dit « simplifié ».

A l’origine, un tel pouvoir avait été prévu dans le projet de loi 4D : différenciation, décentralisation, déconcentration et décomplexification (renommée loi 3DS), toujours en discussion parlementaire.

L’article 33 de cette loi vient modifier plusieurs articles de la loi Informatiques et Libertés (articles 10 et 20) et surtout en créer un nouveau (article 22-1).

Ce nouveau pouvoir reposera sur la présidente de la CNIL, qui aura la possibilité, pour les dossiers dits « de faible importance », de mettre à la charge  du président de la formation restreinte ou de l’un de ses membres désigné à cet effet  la possibilité de statuer seul et de prendre 3 types de mesures :

> Un rappel à l’ordre ;
> Une amende administrative (maximum : 20.000 euros) ;
> Une injonction sous astreinte (maximum : 100 euros par jour).

Cette procédure simplifiée, qui évite de réunir l’entièreté de la formation restreinte n’est possible que sous 2 conditions cumulatives :

> L’affaire ne doit pas présenter de difficulté particulière, « eu égard à l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu’elle présente à trancher » = une affaire qui ne soulève pas de questions innovantes en matière de protection des données personnelles.
> La procédure simplifiée et les mesures pouvant être prises doivent constituer « la réponse appropriée à la gravité des manquements constatés »

De plus, si le pouvoir de lancer la procédure simplifiée appartient discrétionnairement à la présidente de la CNIL, le président de la formation restreinte / le membre désigné, pourra « pour tout motif, refuser de recourir à la procédure simplifiée ou l’interrompre ». Dans ce cas, la procédure classique reprendra sa place.

Le président de la formation restreinte / le membre désigné statue sur la base d’un rapport établi par un agent de la CNIL et le Responsable de Traitement ou le Sous-traitant qui font l’objet de la procédure conserveront le droit de se faire assister / représenter / émettre des observations écrites.

Enfin, si cette procédure est simplifiée dans sa mise en oeuvre, la décision finale ne pourra jamais être rendue publique.

 

Quelles sont les raisons derrière la mise en place de ce nouveau pouvoir ?

Le changement de paradigme qu’a causé le RGPD : nous sommes passés d’une logique de formalités préalables à une logique de conformité.

La CNIL est chargée de contrôler cette conformité mais la procédure de traitement des plaintes ne lui permet de traiter qu’une quantité limitée d’affaires : environ 50 mises en demeure par an et une bonne dizaine de sanctions.

La CNIL a rappelé, le 28 janvier 2022, à l’occasion de la journée de la protection des données, que l’année 2021 avait été une année sans précédent eu égard au nombre de mesures adoptées (18 sanctions et 135 mises en demeure) et par le montant cumulé des sanctions (plus de 214 millions d’euros).

Si le fonctionnement de contrôle jusqu’à présent était davantage approprié pour contrôler la mise en conformité d’entreprises majeures (ex : multiples décisions à l’encontre des GAFAM : Amazon, Google, Facebook etc.. / leaders sur leur marché : Carrefour France etc.. ). Ce nouveau dispositif apportera plus de souplesse et d’agilité à la CNIL qui pourra contrôler (et éventuellement sanctionner) de manière accrue les plus petites entités publiques ou privées.

De telles procédures ont donc été saluées par la CNIL car elles ne nécessiteront pas l’intervention de la formation restreinte et permettront de fluidifier l’action de la CNIL lorsque celle-ci le justifie.

 

Conformité RGPD : quelles sont les questions à se poser ? 

Si les nouvelles attributions de la CNIL restent suspendues à la parution de décrets d’application, cela n’empêche pas les entreprises de continuer leurs actions de conformité selon un plan d’action qui pourrait s’articuler comme la CNIL l’avait décrit avant même l’entrée en vigueur du RGPD. 

> Quelles données sont traitées ? Y a-t-il des données dites sensibles ?
> Quel est le fondement juridique du traitement : exécution du contrat, envoi de newsletters fondé sur le consentement… ?
> Les mentions d’informations sur les supports de collecte (site internet, bon de commande) sont-elles conformes ?
> Les contrats avec les partenaires et fournisseurs contiennent-ils une clause de données personnelles conforme au RGPD ?
> Comment bien répondre aux demandes d’exercice des droits ? Suis-je en mesure de respecter les délais (1 mois pour rappel) ?
> Quelles sont les mesures de sécurité déployées (physique de mes locaux / logiques sur mon ordinateur/ téléphone...) ?

Les entreprises doivent être désormais conscientes des risques de sanction et la célérité avec laquelle elles devront répondre aux mises en demeure de la CNIL.

Article rédigé avec la contribution d'Ivan Juszezak

Articles similaires

RPGD et conformité des TPE
Le 19.10.2021
par  Caroline BELOTTI  - Avocat(e)

RPGD et conformité des TPE : pourquoi la CNIL a-t-elle condamné la SNAF ?

La CNIL a sanctionné récemment une microentreprise, pour non-conformité au Règlement Général sur la Protection des Données (RGPD). Cette sanction symbolique rappelle que toutes les entreprises, quelle que soit leur taille, doivent respecter le RGPD.
Le 29.04.2020
par  Caroline BELOTTI  - Avocat(e)

Gestion des ressources humaines et obligations issues du RGPD : publication du référentiel de la CNIL

Couvrant les principaux traitements RH, le nouveau référentiel publié par la CNIL a vocation à préciser le cadre à respecter depuis l’entrée en vigueur du RGPD le 25 mai 2018. Cet article met en lumière les nouvelles précautions à prendre.
Le 02.06.2020
par  Christelle VERDIER  - Avocat(e) |  Caroline BELOTTI  - Avocat(e)

Covid-19 et données de santé des salariés : quelles obligations de l’employeur ?

Dans le cadre de son obligation de sécurité, l’employeur sera amené à traiter de données de santé des salariés. Quelles obligations de l’employeur ?
Contactez-nous