Les 10 nouvelles sanctions de la CNIL

18.12.2023

La procédure de sanction simplifiée peut être dirigée contre une organisation dès lors que celle-ci ne respecte pas les dispositions du Règlement général sur la protection des données (RGPD) ou de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite « Informatique et Libertés ».

Cette procédure ne peut toutefois être mise en œuvre que lorsque l’affaire dont il est question ne présente pas de difficulté particulière, c’est-à-dire lorsque les questions juridiques qu’elle implique et les faits dont il est question sont considérés comme simples par la CNIL. L’absence de difficulté particulière peut également être caractérisée dès lors que la formation restreinte de la CNIL a déjà rendu des décisions en la matière ou qu’il existe une jurisprudence établie (Loi Informatique et Libertés, article 22-1).

C’est au Président de la CNIL qu’il revient de déclencher la procédure de sanction simplifiée, et ce lorsqu’il estime que la réponse appropriée à la gravité des manquements constatés ne peut consister qu’en :

  • un rappel à l'ordre
  • une injonction de mettre le traitement en conformité avec le RGPD ou la loi Informatique et Libertés ou de satisfaire aux demandes d’exercice de droits émanant de la personne concernée. Cette injonction peut être assortie d'une astreinte dont le montant ne peut excéder 100 € par jour de retard à compter de la date fixée par la formation restreinte. La dite astreinte ne peut toutefois être appliquée lorsque le traitement est réalisé par l'Etat.
  • une amende administrative d’un montant maximal de 20 000 euros, excepté si le traitement a été réalisé par l’Etat.

Une fois la procédure engagée, il revient au président de la formation restreinte de la CNIL ou au membre de cette formation qui a été désigné dans cet optique de statuer seul sur l'affaire. Le président de la formation restreinte ou le membre désigné peuvent néanmoins parfaitement refuser de recourir à la procédure de sanction simplifiée, et ce pour tout motif.
De la même manière, ils peuvent décider de mettre un terme à la procédure. Dans cette hypothèse, l’affaire est traitée par une procédure ordinaire avec la désignation d’un commissaire-rapporteur par le président de la CNIL.

C’est dans le cadre de cette procédure de sanction simplifiée que la CNIL a rendu pas moins de dix décisions entre les mois de septembre et d’octobre 2023 sanctionnant non seulement des entreprises privées mais également des organismes publics.

Il était notamment reproché à ces organisations de ne pas satisfaire à l’obligation de répondre aux exigences de la CNIL, en particulier concernant la minimisation des données dans le cadre de la géolocalisation et de la vidéosurveillance continue des salariés. La CNIL a également considéré que les organisations visées par les sanctions faisaient défaut à leur obligation d’information concernant le traitement mis en œuvre et ses finalités, ainsi qu’à l’obligation de respecter les droits des personnes, en particulier le droit d’opposition.

Le montant total de ces décisions s’élève à pas moins de 97 000 euros d’amende.

Pour vous éviter d’être sanctionné par la CNIL, nous vous proposons un outil vous permettant de répondre à toutes les exigences de la réglementation en matière de données à caractère personnel.