Autorité de contrôle de la protection des données en France, la Commission Nationale de l’Informatique et des Libertés (ou CNIL) est dotée d’un pouvoir de sanctions, sur le fondement des articles 20 à 23 de la loi relative à l’informatique, aux fichiers et aux libertés (dite loi informatique et libertés). Le décret du 8 avril 2022 (décret n°2022-517, modifiant le décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi informatique et libertés), a créé une nouvelle forme de procédure de sanctions au sein de la CNIL.
Aussi, désormais, la CNIL peut sanctionner sous l’angle de la procédure dite ordinaire, ou de la procédure simplifiée.
Toutes les affaires ne peuvent pas être traitées en procédure simplifiée. Cette procédure de sanction ne peut être engagée, par le président de la CNIL, que lorsque l’affaire en question ne présente pas de difficulté particulière, eu égard :
- A l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la CNIL
- Ou parce que les questions de droit ou de fait à trancher sont simples.
Le président de la formation restreinte ou l’un de ses membres désigné à cet effet statue alors seul sur l’affaire.
Cette procédure expose les organismes en cause uniquement aux sanctions suivantes : rappels à l’ordre, des injonctions de mises en conformité, et des amendes jusqu’à 20 000 euros. Les astreintes ne peuvent dépasser un montant de 100 euros par jour de retard. Les sanctions ne sont par ailleurs pas rendues publiques.
Toutefois, il est important de préciser qu’il est possible pour le président de la formation restreinte (organe de sanction de la CNIL) de refuser de recourir à cette procédure simplifiée, ou bien de l’interrompre à tout moment. L’affaire en cause passe alors en procédure ordinaire. Les restrictions concernant les sanctions ne s’appliquent alors plus, notamment sur les montants des amendes et la publicité de la sanction.
En 2024, la CNIL a rendu 87 sanctions, dont plus de la moitié l’ont été en procédure simplifiée : 18 sanctions ont suivi la procédure ordinaire, contre 69 en procédure simplifiée. C’est presque trois fois plus qu’en 2023, où 18 sanctions avaient été rendues en procédure ordinaire, contre 24 en procédure simplifiée.
Les principaux manquements que la CNIL a sanctionnés en procédure simplifiée en 2024 sont le défaut de coopération, le non-respect de l’exercice des droits, le manquement à la minimisation des données ; et enfin le défaut de sécurité des données personnelles.
18 février 2025