10 sanctions express prononcées par la CNIL dans le cadre de sa nouvelle procédure
Le 7 novembre 2023 la CNIL a publié un article pour mettre en avant dix nouvelles sanctions, prononcées dans le cadre de sa procédure simplifiée.
De quelles informations disposons-nous sur ces sanctions ?
A vrai dire, pas grand-chose. Car si la CNIL a indiqué avoir prononcé 10 sanctions, on n’en connait ni le contenu détaillé ni les organismes sanctionnés. On sait uniquement que la CNIL s’est intéressée cette fois-ci à des sujets liés à la cybersurveillance des salariés (notamment sur des dispositifs de géolocalisation et de vidéosurveillance).
L’absence d’information résulte d’un choix de la CNIL. Les sanctions rendues dans le cadre de la procédure simplifiée ne seront jamais rendues publiques. Décryptons ensemble le sujet.
Pourquoi une procédure simplifiée de la CNIL ?
La réforme des procédures correctrices de la CNIL remonte à avril 2022. L’objectif de la CNIL est alors de gagner en efficacité face au nombre croissant de plaintes qu’elle reçoit.
Pour rappel, en 2018, 11 077 plaintes étaient enregistrées par la CNIL soit une augmentation de 32,5% liée à l’entrée en application du RGPD (CNIL, Rapport d’activités de 2018, page 4, ici). En 2022, on passe à 12 193 plaintes (CNIL, Rapport d’activité de 2022, page 14, ici). Soit une augmentation de 10% en quatre ans.
Les plaintes représentent une grande variété de sujets : plus ou moins graves au regard du RGPD, concernant peu ou beaucoup de personnes, ou parfois des cas isolés. La CNIL ne peut pas traiter toutes les plaintes de la même manière. C’est d’ailleurs ce qu’elle indique lors de la mise en place de la procédure simplifiée.
Comment fonctionnent les procédures de sanction de la CNIL ?
Le départ d’une procédure de sanction est souvent le même : il peut découler d’un contrôle de la CNIL (sujet sur lequel on peut vous aider à vous préparer) ou bien de réclamations provenant de personnes physiques. La présidente de la CNIL peut alors décider de passer à une procédure ordinaire ou une procédure simplifiée. Il peut également dès le départ, clôturer le dossier ou prononcer un rappel à l’ordre. Vous trouverez des exemples concrets sur deux organismes de recherche médicale.
Si les procédures de sanction sont enclenchées, leur première étape reste similaire. Un rapporteur est désigné par la présidente de la CNIL et un rapport est notifié à l’acteur présentant des défauts de conformité. Ce dernier dispose d’un délai d’un mois pour répondre au rapport. A la suite de quoi, l’instruction est clôturée.
Mais le cheminement ne s’arrête pas là. Lorsque l’on fait face à une procédure ordinaire, on peut être convoqué pour comparaître devant la formation restreinte de la CNIL. Une sorte de “tribunal” devant lequel on peut se défendre et où l’on peut aussi entendre des témoins.
En revanche, lorsque l’on fait face à une procédure simplifiée, notre dossier passe directement devant la formation restreinte, sans que l’on soit appelé à comparaître. Son traitement est de fait plus rapide. On vous le rappelle, seuls les dossiers peu complexes et sans gravité particulière passeront en procédure simplifiée !
En bout de course, toutes les sanctions prévues par le RGPD peuvent être prononcées lors d’une procédure ordinaire. Elles peuvent également être rendues publiques. Du côté de la procédure simplifiée, les sanctions sont plafonnées et ne pourront pas dépasser 20.000 € d’amendes. L’amende peut, bien entendu, être accompagnée d’un rappel à l’ordre ou d’une injonction mais le contenu de la sanction ne sera jamais rendu publique.
Le groupe tente d’ailleurs de défendre sa cause : l’obligation en matière de recueil de consentement n’est pas aussi précise que ce que la CNIL avance. L’autorité de contrôle n’en démordra cependant pas. Le recueil du consentement doit être assorti d’une information précise quant aux destinataires des données.
L’interprétation de la CNIL s’appuie ici sur le CPCE (codes des postes et des communications électroniques), le RGPD et les lignes directrices du comité européen de la protection des données sur le consentement.
Quelle conclusion peut-on tirer de ces éléments ?
Bien qu’on ne puisse pas connaître le contenu exact des décisions de la CNIL, et on l’avouera, on trouve cela dommage. Rien ne nous empêche de voir quelles professions ou secteurs d’activités ont déjà été impactés par la procédure simplifiée. En effet, la liste des sanctions prononcées par la CNIL reste toujours accessible depuis son site internet ici.
Si on en croit la dernière publication de la CNIL, il y aurait donc une vingtaine de sanctions prononcées via la procédure simplifiée depuis 2022, et surtout 27 sanctions déjà prononcées en 2023. Dont 18 correspondantes à la procédure simplifiée. Une belle augmentation par rapport à l’année 2022 et ces 22 sanctions dont 4 prononcées en procédure simplifiée.
Il semblerait donc que l’objectif de la CNIL d’être plus efficace soit bien atteint ! Peut-être cette dernière s’oriente-t-elle vers de plus nombreuses sanctions avec de plus petits montants comme le fait l’AEPD (Agencia Española de Protección de Datos) ? Seul l’avenir nous le dira. Il serait d’ailleurs intéressant de comparer l’activité des différentes autorités de contrôle sur le territoire de l’Union européenne. Peut-être le sujet de notre prochain article ? Il faudra suivre nos publications pour le savoir. 😉
De notre côté, nous allons attendre la mise à jour de la page « Sanctions » de la CNIL, pour en avoir un peu plus à se mettre sous la dent côté contenu des sanctions et pour vérifier nos chiffres.
De votre côté, on vous invite à prendre connaissance des diverses recommandations de la CNIL en matière de cybersurveillance, et également sur ses procédures de contrôles. Bien entendu, on reste également disponibles pour vous former sur ces sujets si vous le souhaitez. 😀
On vous dit à bientôt pour notre prochain article !
Pour retrouver les décisions publiques de la CNIL c’est par ici : https://www.legifrance.gouv.fr/search/cnil?tab_selection=cnil&searchField=ALL&query=&page=1&init=true&timeInterval=
Et pour retrouver nos formations sur pour connaître les règles en matière de cybersurveillance on vous invite à consulter nos programmes : ici (pour un focus sur les dispositifs vidéos) et ici (pour les traitements de données RH).