Réforme des procédures correctrices de la CNIL : vers une action répressive simplifiée
Un nouveau décret a assoupli la procédure de sanction de la CNIL, renforçant considérablement sa capacité en la matière. Les entreprises, et notamment les TPE et PME, doivent être vigilantes car elles sont beaucoup plus exposées qu’auparavant
UNE PROCÉDURE ORDINAIRE PLUS FLUIDE
Le décret n°2022-517 du 8 avril 2022 a modifié les articles 39 à 41 du décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi n°78-17 et vient ainsi assouplir la procédure ordinaire.
D’une part, les délais de production d’écritures sont allongés à un mois contre 15 jours auparavant. Le nombre d’échanges contradictoires entre le mis en cause et les agents de la CNIL n’est plus limité, étant rappelé que “le mis en cause à toujours la possibilité de produire en dernier” et peut se faire assister ou représenter par tout conseil de son choix.
D’autre part, le rapporteur désigné par la Présidente de la Commission parmi ses membres (hors formation restreinte) dispose désormais de la faculté de mettre fin à la procédure s’il estime qu’il n’y a pas lieu de prononcer de mesures correctives.
Enfin, s’il “se déporte d’une affaire ou devient indisponible pour quelque motif que ce soit”, le nouveau rapporteur désigné par la Présidente de la Commission poursuivra la procédure sans qu’il lui soit nécessaire de réitérer les actes effectués par son prédécesseur.
UNE PROCÉDURE SIMPLIFIÉE POUR LES DOSSIERS PEU COMPLEXES OU DE FAIBLE GRAVITÉ
Cette procédure figure au nouvel art. 22-1 de la loi “Informatique et Libertés” modifiée et ses modalités de mise en œuvre sont précisées par les articles 45-1 et 45-2 du décret n°2019-536 du 29 mai 2019 – récemment modifié par le décret n°2022-517 du 8 avril 2022.
La procédure simplifiée est applicable aux dossiers qui ne présentent pas de difficulté particulière, compte tenu de la jurisprudence établie par la CNIL ou des décisions précédemment rendues par la formation restreinte. A titre d’exemples la CNIL a sanctionné à de multiples reprises des manquements liés : à la sécurité des données au point de rappeler les règles standards à respecter, au recueil du consentement pour le dépôt de cookies sur les sites. Sa jurisprudence en somme.
Les mesures susceptibles d’être prononcées à l’encontre du responsable du traitement ou du sous-traitant mis en cause ne seront pas rendues publiques.
Elles sont limitées à : (i) un rappel à l’ordre ; (ii) une injonction de mettre en conformité le traitement sous astreinte dans la limite de 100 € par jour de retard ou (iii) une amende administrative d’un montant maximal de 20.000 euros.
Le Président de la formation restreinte ou le membre qu’il a désigné “statue seul sur l’affaire” sur la base du rapport établi par le rapporteur nommé par la Présidente de la CNIL parmi ses agents.
Dès lors que le dossier présentera des difficultés, sous l’appréciation discrétionnaire de la CNIL, la procédure simplifiée peut être interrompue pour revenir à la procédure ordinaire.
A noter, les modalités de mise en œuvre de la procédure simplifiée font écho à l’appel d’offres de la CNIL “d’externalisation de certaines opérations de traitement de saisines” visant à confier à des organismes tiers une partie de la gestion de la procédure.
UNE PLACE CONSIDÉRABLE OCTROYÉE À DES EXPERTS EXTERNES
Procédure simplifiée ou procédure ordinaire, le rapporteur joue toujours un rôle essentiel.
Ce rôle peut désormais être confié à des experts externes à la CNIL (article 41 du décret n°2019-536 du 29 mai 2019) dans le cadre de la procédure simplifiée. Outre les agents permanents de la commission, la Présidente peut désigner comme rapporteur : “les magistrats, en activité ou honoraires, les membres de la juridiction administrative en activité ou honoraires, les fonctionnaires de catégorie A, les agents contractuels de l’Etat de niveau équivalent et les personnes justifiant d’une qualification dans les domaines relevant de la compétence de la commission et titulaires d’un des diplômes permettant d’accéder à un corps de catégorie A”.
Dans le cadre de la procédure ordinaire, ces experts peuvent également assister le rapporteur.
Force est de constater que les modifications réglementaires apportées à la procédure ordinaire mais surtout les modalités d’application de la procédure simplifiée renforcent considérablement le pouvoir de sanction de la CNIL. Concrètement, les TPE et PME sont très exposées. En somme, des myriades de sanctions à venir.