Archives

En simplifiant son processus de sanction, la Cnil joue la dissuasion

Pour faire face à l’accroissement des plaintes, la Cnil a mis en place une procédure de sanction accélérée et va externaliser une partie des traitements. Elle assouplit par ailleurs sa position sur les délais de mise en conformité.

C'est en 2018, année du règlement général sur la protection des données (RGPD), qu'a été franchi le cap des 10.000 saisines annuelles de la Commission nationale de l'informatique et des libertés (Cnil). Un chiffre qui semble se stabiliser depuis cette date aux alentours de 14.000 mais qui reste considérable eu égard aux effectifs limités, avec 263 agents, du régulateur des données personnelles.

Limitation aux dossiers peu complexes

Pour accélérer le traitement des dossiers et renforcer le rôle dissuasif des sanctions, la Cnil a décidé début avril 2022 de mettre en place une procédure simplifiée "pour les dossiers peu complexes". Dans ce cas, la présidente de la Cnil a désormais la possibilité de saisir le président de la formation restreinte qui peut désigner un rapporteur parmi les agents de la Cnil pour instruire le dossier. "La procédure de sanction simplifiée suit les mêmes étapes que la procédure de sanction ordinaire pour les délais, la procédure contradictoire (…) mais ses modalités de mise en œuvre sont allégées : le président de la formation restreinte (ou un membre qu’il désigne) statue seul et aucune séance publique n’est organisée, sauf si l’organisme demande à être entendu", précise le communiqué de la commission. Les sanctions potentiellement prononcées sont limitées au rappel à l’ordre, à une amende d’un montant maximum de 20.000 euros et à une injonction avec astreinte plafonnée à 100 euros par jour de retard. Elles ne peuvent pas être rendues publiques.

Externalisation de certains traitements

La procédure a par ailleurs fait l’objet de quelques ajustements avec des délais rallongés pour produire des observations et une simplification du travail d’instruction. La présidente de la Cnil peut par ailleurs adresser des mises en demeure n’appelant pas de réponse écrite des organismes. Enfin le délai de mise en conformité de six mois est supprimé "pour permettre aux organismes de déployer des programmes de conformité plus longs lorsque certaines situations l’exigent".
Ces simplifications ont été complétées en février par un appel d’offres pour externaliser "le traitement des plaintes simples et réclamations", représentant environ le tiers des saisines qu’elle reçoit, soit environ 4.000 plaintes. Cette externalisation vise à améliorer la réponse de la Cnil aux nombreuses saisines des particuliers et des entreprises, notamment liées à internet (spam, cookies...). Les dossiers où le droit n’est pas stabilisé et impliquant des ministères ne seront pas sous-traités.

Trois thématiques prioritaires en 2022

Dans son plan stratégique pour 2022, la Cnil a listé trois thématiques prioritaires. Le développement des caméras intelligentes "augmentées" par des algorithmes prédictifs. Un sujet qui concerne autant les usages dans la sphère publique et régalienne que le secteur privé. La Cnil va aussi se pencher sur la collecte de données par les smartphones, objet d’une grande "opacité". Elle va enfin investiguer le dossier des transferts de données dans le cloud et notamment vers les grandes plateformes américaines. Sur ce dernier dossier, on rappellera que l’accord visant à encadrer les transferts de données entre les États-Unis et l’Europe n’est toujours pas stabilisé. Car le "Safe Harbor" (2015) et le "Privacy Shield" (2020) ont été retoqués par la justice européenne. La Commission européenne a annoncé en mars qu’un accord était en vue. Les Cnil européennes, qui n’ont pas été consultées en amont, attendent cependant encore le projet de texte.