Les procédures de mise en demeure et de sanction de la CNIL simplifiées pour des contrôles plus réguliers envers les petites et moyennes entreprises
Lancé en janvier 2020, le projet de loi « 4D » porté par Jacqueline Gourault, la ministre de la Cohésion des Territoires a pour ambition de mettre en place « des mesures de simplification de l’action publique locale ».
Au milieu d’une soixantaine d’articles se cachent les articles 41 et 42 relatifs aux procédures de mise en demeure et de sanction de la CNIL.
Simplification des procédures de mise en demeure et de sanction :
L’ambition de cette loi est de permettre à la CNIL de sanctionner plus rapidement les affaires dont elle a connaissance. En effet, à l’heure actuelle les procédures permettent à la Commission nationale d’émettre seulement une « cinquantaine de mises en demeure et une dizaine de sanctions par an .
Pour cela deux mesures ont été envisagées. Il s’agira tout d’abord de permettre au président de la CNIL de prononcer directement un rappel de ses obligations au responsable de traitement. De plus, en cas de nécessité de sanction, le président de la formation restreinte pourra statuer seul sur des affaires de faible gravité et d’un montant maximum limité.
En pratique le président de la formation restreinte pourra statuer sous deux conditions :
- D’une part pour des affaires qui ne « […] présente[nt] pas de difficulté particulière, eu égard à l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu’elle[s] présente[nt] à trancher » ;
- D’autre part pour des affaires qui nécessitent des amendes administratives d’un montant maximum de 20 000€ ou d’astreinte inférieures à 100 € par jour de retard dans des délais.
Un contrôle accru des manquements quotidiens des petites et moyennes entreprises :
Au regard du caractère cumulatif des critères de sanction par la procédure simplifiée, il apparaît clairement que les entreprises visées par ces contrôles et sanctions seront des petites et moyennes entreprises.
Même dans le cadre d’une affaire « ne présentant pas de difficulté particulière », il est impensable de sanctionner un géant du numérique d’un montant aussi dérisoire compte tenu de leur puissance mondiale. La sanction n’aurait alors aucun impact.Une procédure plus efficace mais limitative des droits de la défense :
La rapidité a un prix : une telle procédure simplifiée de sanction viendra limiter les droits de la défense des organismes mis en cause.
En effet, selon ce qui est prévu à l’article 41 du projet de loi, le responsable de traitement, ou le sous-traitant mis en cause, pourra uniquement « présenter des observations orales ». Ainsi, il n’aura plus la possibilité de « déposer des observations et se faire représenter ou assister » comme le prévoit la procédure actuelle.
Il apparait donc clairement qu’il devient impératif de se conformer à la réglementation en matière de protection des données à caractères personnel, car non seulement le contrôle concernera les entreprises de toutes tailles, mais il sera également plus régulier et les moyens de défenses seront a contrario limités. Nos experts seront ravis de vous accompagner dans cette démarche.
Georgia Suty, consultante en droit de la donnée.