Posted by Loi n°2022-52, 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure
Eléonore Scaramozzino, Avocat Partenaire, Constellation Avocats
Au 8 septembre 2021, 11 330 plaintes étaient en attente de traitement. Face à l’augmentation importante du nombre de plaintes reçues chaque année par la Cnil, la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure, introduit une procédure simplifiée permettant le prononcé de mesures correctrices et de sanctions par la Cnil pour des manquements aux exigences du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et de la loi n°78-17 du 6 janvier 1978, loi Informatique et Libertés (LIL) ne présentant pas de difficulté particulière et dont une des trois sanctions prévues par cette procédure simplifiée, constitue une réponse appropriée et proportionnée aux manquements constatés (article 20 et 22-1 (nouveau) de la loi n°78-17 du 6 janvier 1978).
Le président de la Cnil peut seul prononcer des mesures dites correctrices. Il peut s’agir d’un avertissement, lorsque les opérations de traitement envisagées sont susceptibles de violer les dispositions du RGPD ou de la loi Informatique et Libertés (art. 20, I). La forme peut également être celle d’une mise en demeure, lorsque le responsable de traitement ou le sous-traitant ne respecte pas ces dispositions et que le manquement constaté est susceptible de faire l’objet d’une mise en conformité. Lorsqu’il prononce une mise en conformité, le président de la Cnil doit systématiquement procéder au contrôle de la mise en conformité et, le cas échéant, de clôturer la mise en demeure, y compris lorsqu’il n’a pas demandé au responsable du traitement ou au sous-traitant de justifier de la mise en conformité. En revanche, la formation restreinte, formation collégiale (Président + 5 membres élus par la Commission), saisie par le Président de la Cnil , est habilitée au titre de l’article 16 de la LIL à prononcer des sanctions à l’encontre du responsable de traitement ou des sous-traitants ne respectant pas les obligations imposées par le RGPD (III de l’art 20 LIL : rappel à l’ordre, injonction de mise en conformité du traitement pouvant être assorti d’une astreinte, limitation du traitement, son interdiction, amende administrative ).
La loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure prévoit une simplification des procédures de sanction de la formation restreinte.
Prononcé d’une astreinte par le président de la formation restreinte
La loi complète l’article 20 de la LIL en permettant au président de la formation restreinte, lorsque cette dernière a été saisie par le président de la CNIL, de prononcer des injonctions de produire tout document nécessaire à l’instruction du dossier. Ces injonctions peuvent être assorties d’une astreinte dont le montant ne peut excéder 100 € par jour de retard. Cette évolution a été saluée par la Cnil, qui relevait que de telles « décisions de faible portée, très fréquemment attribuées à un juge statuant seul en matière administrative ou judiciaire, ne nécessitent pas l’intervention de l’ensemble de la formation restreinte et permettront de fluidifier et de simplifier l’action répressive de la Commission lorsque celle-ci se justifie. »
Procédure simplifiée de sanction pour les dossiers de faible gravité
L’application effective de cette nouvelle procédure est subordonnée à un décret en Conseil d’Etat qui devra préciser les modalités de mises en œuvre de la procédure simplifiée ainsi que les garanties applicables en matière de prévention des conflits d’intérêts pour les agents désignés rapporteurs.
LOI n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure : JOFR n°20 du 25 janvier 2022