L’évolution des pouvoirs répressifs de la CNIL

L’évolution des pouvoirs répressifs de la CNIL
Article RGPD

On vous l’a déjà présentée à plusieurs reprises, la CNIL est l’autorité de contrôle française en matière de protection des données.  Elle a de nombreuses missions, parmi lesquelles, on retrouve entre autres :

  • Ses missions liées à la protection des droits des personnes concernées, dont la réception de plaintes ;
  • Ses missions de contrôles et de sanctions.

On sait depuis plusieurs années que les sanctions prononcées par la CNIL sont en général liées à la réception des plaintes. En 2020, la CNIL a d’ailleurs reçu 13 585 plaintes et en 2021 plus de 14 000 selon les derniers chiffres connus. Chaque plainte reçue est étudiée par la Commission afin de décider, en fonction de la gravité ou du sujet de la plainte, si la CNIL doit mettre en place une action répressive ou si le dossier peut être clôturé.

Une réforme des actions répressives de la CNIL a eu lieu avec les modifications de la loi Informatique et Libertés et de son décret d’application, d’abord le 24 janvier puis le 8 avril 2022.

1. Une action simplifiée

Afin de pouvoir traiter chaque dossier de manière plus adaptée, la CNIL bénéficie depuis peu d’une procédure de sanction simplifiée. Cette dernière lui permettra de traiter plus rapidement : les dossiers peu complexes ou présentant une faible gravité et d’aboutir à une décision.

Il faut tout de même rappeler que cette procédure reste potentiellement une procédure de sanction à l’issue de laquelle peut être prononcé, selon les manquements constatés :

  • Un rappel à l’ordre,
  • Une amende d’un montant maximum de 20 000 €
  • Une injonction avec astreinte plafonnée à 100 € par jour de retard.

Les sanctions prononcées par le biais de la procédure simplifiée ne seront pas rendues publiques, au contraire des sanctions qui seront prononcées par la procédure habituelle.

2. Une réforme de la procédure habituelle

La procédure ordinaire a également évolué et prévoit notamment des délais rallongés pour produire des observations écrites de la part de l’organisme concerné par la procédure.

Du côté des mises en demeure on peut aussi noter quelques évolutions intéressantes. La présidente de la CNIL peut désormais décider si une mise en demeure appelle ou non une réponse écrite de la part de l’organisme concernée. Si un organisme doit répondre à une mise en demeure dans un délai imparti, tout retard peut désormais être assorti d’une astreinte de 100€ par jour de retard.

En parallèle de cette nouveauté, les mises en demeure ne seront plus limitées à un délai de 6 mois pour se mettre en conformité, ou pour corriger les défauts de conformité observés par la CNIL, mais pourront permettre aux organismes inculpés de mettre en place des programmes de mises en conformité plus longs.

Et vous ? que pensez-vous de ces évolutions ?

N’hésitez pas à partager vos ressentis !

Source :

Partager l'article

Articles similaires

Une sanction record prononcée par La Commission irlandaise de protection des données (DPC)
Article RGPD

Une sanction record prononcée par La Commission irlandaise de protection des données (DPC)

La Commission irlandaise de protection des données, autorité de contrôle en la matière, parfois appelée « le maillon faible » du RGPD, ou même le « goulot d’étranglement » du RGPD vient de frapper fort.
Lire la suite
(Encore) une affaire de prospection
Actualité Article RGPD

(Encore) une affaire de prospection

Une affaire qui à couté cher. Une sanction de 600 000 euros d'amande pour son procédé de prospection.
Lire la suite