Dans le cadre de sa procédure de sanction simplifiée, la CNIL a rendu depuis mars 2024 pas moins de 9 nouvelles décisions de sanction (dont deux liquidations d’astreinte) pour un montant total de 83 000 euros. Les sanctions ont notamment concerné des manquements à la minimisation des données, le défaut de coopération avec la CNIL ou encore le non-respect des droits des personnes.
Cette actualité relative à l’action répressive de la CNIL permet ainsi de mettre un coup de projecteur sur la procédure de sanction simplifiée, instaurée depuis avril 2022.
La procédure de sanction simplifiée a vocation à être mise en œuvre lorsqu’un manquement au RGPD ou à la loi Informatique et Libertés est constaté et que l’affaire ne présente pas de difficulté particulière quant à son instruction.
Le recours à cette procédure peut notamment s’observer au regard :
- de l’existence d’une jurisprudence établie;
- des décisions précédemment rendues par la formation restreinte de la CNIL;
- de la simplicité des questions de fait et de droit que l’affaire présente à trancher.
La procédure de sanction simplifiée est une procédure écrite et la prise de décision est confiée au président de la formation restreinte de la CNIL (nommé par la présidente de la CNIL), lequel rendra seul sa décision sans qu’aucune séance publique soit organisée.
Le président de la formation restreinte (ou un membre qu’il désigne) peut prononcer les mesures suivantes :
- Un rappel à l’ordre ;
- Une injonction de mettre le traitement en conformité, y compris sous astreinte d’un montant maximal de 100 € par jour de retard ;
- Une amende administrative d’un montant maximal de 20 000 €.
Le renforcement de l’appareil répressif de la CNIL opéré avec cette procédure simplifiée, couplé à une profusion de sanctions prononcées depuis le début de l’année 2024 démontre, si certains en doutaient encore, que la mise en conformité avec les réglementations françaises et européennes en matière de protection des données personnelles ne saurait être reléguée au second rang des enjeux structurels et stratégiques des entreprises, quelle que soit leur taille.