Au JO du 25 janvier 2022 a été publiée la loi n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure qui institue notamment une procédure simplifiée de sanction par la Commission nationale de l’informatique et des libertés (CNIL) en cas de non conformité au RGPD.
.
Classé dans le dernier Titre de la loi, consacré aux dispositions diverses, transitoires et applicables à l’outre-mer, l’article 33 de la loi insère, dans la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, un article 22-1 qui prévoit que le Président de la CNIL peut infliger une sanction à un responsable de traitement ou à un sous-traitant selon une procédure simplifiée, sous certaines conditions afférentes à la nature du manquement sanctionnable et aux garanties procédurales applicables.
Cette procédure simplifiée pourra être mise en oeuvre lorsqu’aura été promulgué un décret en Conseil d’Etat relatif à ses modalités ainsi qu’aux garanties applicables en matière de prévention des conflits d’intérêts pour les agents rapporteurs.
1. Champ d’application
La procédure simplifiée pourra être mise en oeuvre pour infliger l’une des sanctions suivantes :
- le rappel à l’ordre ;
- l’injonction de mise en conformité avec le Règlement général pour la protection des données (RGPD) avec astreinte, à condition que cette dernière n’excède pas 100 € par jour de retard ;
- l’amende administrative, à condition que cette dernière n’excède pas 20 000 €.
Deux conditions de fond cumulatives devront être satisfaites :
- que l’affaire ne présente pas de difficulté particulière, eu égard :
- à l’existence d’une jurisprudence établie,
- à des décisions précédemment rendues par la formation restreinte,
- à la simplicité des questions de fait et de droit qu’elle présente à trancher ;
- que l’une des 3 sanctions ci-dessus apparaisse comme étant la réponse appropriée à la gravité des manquements constatés.
Le Président de la formation restreinte ou le membre désigné pourra, pour tout motif, refuser de recourir à la procédure simplifiée ou l’interrompre. Dans ce cas, le Président de la CNIL reprendra la procédure de droit commun devant la Commission restreinte.
2. Procédure
Le traitement de la procédure de sanction sera assuré, non plus par la Commission restreinte mais par le Président de cette commission ou l’un de ses membres. La procédure ne sera donc plus collégiale mais “à juge unique”.
La base des poursuites sera un rapport établi par un agent habilité des services de la CNIL.
Ce rapport devra être notifié au responsable de traitement ou au sous-traitant, qui sera informé du fait qu’il peut se faire représenter ou assister, présenter des observations écrites et demander à être entendu.
Le Président de la formation restreinte ou le membre désigné pourra également solliciter les observations de toute personne pouvant contribuer à son information.
Il statuera ensuite mais ne pourra rendre publiques la décision prise.
La formation restreinte devra être informée de cette décision.
3. Exécution de la sanction
S’agissant de l’amende administrative :
- lorsqu’une amende administrative sera devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, ce dernier pourra ordonner que l’amende administrative s’impute sur l’amende pénale qu’il prononce ;
- par ailleurs, le montant définitif de l’astreinte sera fixé et cette dernière sera liquidée par la personne ayant statué ;
- enfin, l’amende administrative et l’astreinte seront recouvrées comme les créances de l’Etat étrangères à l’impôt et au domaine.