Premières sanctions prises dans le cadre d’une procédure simplifiée de la Cnil

Les premières sanctions prises dans le cadre d’une procédure simplifiée de la Cnil commencent à tomber depuis la réforme initiée début 2022.

La loi du 24 janvier 2022 est venue simplifier les procédures de mise en demeure et de sanction de la Cnil afin de fluidifier le traitement des plaintes qu’elle reçoit. L’étude de cette nouvelle procédure de sanction a été réalisée dans un article « Renforcement et simplification des pouvoirs de sanctions de la Cnil », publié sur le site web du cabinet Lexing Alain Bensoussan Avocats [1].

A titre de rappel, la nouvelle procédure de sanction simplifiée de la Cnil présente des modalités de mise en œuvre allégées permettant à la Cnil d’agir plus rapidement face au nombre important de plaintes reçues (plus de 12 000 en 2022). L’objectif est donc que la Cnil réponde efficacement aux demandes ne nécessitant pas l’intervention de l’ensemble de sa formation restreinte.

Depuis l’apparition de cette loi, quatre sanctions ont été prononcées via cette nouvelle procédure.

Les sanctions susceptibles d’être prononcées par la Cnil

Dans le cadre de cette nouvelle procédure simplifiée, le Président de la formation restreinte peut prononcer trois types de mesures :

• un rappel à l’ordre ;
• une injonction de mise en conformité éventuellement sous astreinte dont le montant ne peut dépasser 100 euros ;
• une amende administrative d’un montant ne pouvant excéder 20 000 euros.

En outre, ces sanctions ne peuvent jamais être rendues publiques.

Les dossiers ne présentant pas de difficulté particulière

La nouvelle procédure de sanction simplifiée aide la Cnil à remplir sa mission de sanction [2], telle que conférée par le chapitre VI du RGPD, en cas de manquement constatés plus ou moins graves aux dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants.

En effet, la Cnil se devait de pouvoir répondre aux dossiers qui ne présentent certes pas de forts enjeux ni de difficulté particulière mais qui peuvent justifier d’une sanction des organismes coupables de ce type de manquement.

Afin de pouvoir identifier ce niveau de gravité des dossiers présentés devant la Cnil, certains critères sont pris en compte :

• l’existence de décisions similaires préalables ;
• les décisions précédemment rendues par la formation restreinte/l’organe de la Cnil chargé de prononcer les sanctions ;
• la simplicité des questions de fait et de droit à trancher.

Néanmoins, aucun critère n’impose le renvoi automatique d’un dossier vers la procédure simplifiée. A cet égard, la présidente de la Cnil peut prendre la décision et décider, par la suite, de renvoyer un dossier vers une procédure de sanction ordinaire [3].

Les sanctions prononcées via la procédure de sanction simplifiée de la Cnil

Les amendes prononcées par la Cnil depuis l’adoption de la loi de janvier 2022 s’échelonnent entre 5 000 € et 15 000 € avec des injonctions sous astreinte [4] pour la moitié d’entre elles.

Elles visent des acteurs divers, publics comme privés, et portent sur des thématiques variées telles que :

• l’utilisation de fichiers administratifs à des fins de communication politique ;
• la vidéosurveillance, en général, ainsi que celle des salariés, en particulier ;
• le non-respect des droits des personnes ;
• le défaut de coopération avec la Cnil.

Malgré une attente de presque un an des sanctions prises depuis l’apparition de la procédure de sanction simplifiée, le nombre de contrôles risque d’augmenter significativement dans la mesure où ces derniers sont plus simples à mettre en œuvre et plus rapides.

Jusqu’alors, seules les grosses structures s’inquiétaient d’un potentiel contrôle de la Cnil. Désormais, la procédure de sanction simplifiée, visant les dossiers de faible gravité, permet à la Cnil de contrôler les organismes de plus petite taille qui doivent, par conséquent, se montrer eux aussi vigilants quant à la mise en œuvre effective de leurs obligations conférées par le RGPD ou par la loi.

Virginie Bensoussan-Brulé,
Marion Catier,
Tess Sedbon, élève avocate à l’HEDAC
Lexing Contentieux numérique

____________________________

[1] Virginie Bensoussan-Brulé, Tess Muckensturm, Marion Tête-Simler, « Renforcement et simplification des pouvoirs de sanction de la Cnil », Alain-bensoussan.com, 25 février 2022.
[2] « Mission 4 – Contrôler et sanctionner », Cnil.
[3] « Sanction », Cnil.
[4] Une injonction sous astreinte est un ordre de se mettre en conformité accompagné d’une somme à payer en cas de non-respect de la décision. La décision qui force le paiement de cette somme s’appelle une liquidation d’astreinte, « Injonction sous astreinte », Cnil.