La loi du 24 janvier 2022 relative à la responsabilité pénale et la sécurité intérieure introduit une procédure de sanction simplifiée en formation restreinte pour la Commission nationale de l’informatique et des libertés (Cnil). Aperçu des nouveaux pouvoir du gendarme de données personnelles.
Une procédure Cnil plus rapide
L’article 33 de la loi n°2022-52 du 24 janvier 2022 introduit une procédure de sanction simplifiée pour la Cnil. Elle figure à l’article 22-1 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Celle-ci permet désormais au président de la formation restreinte de statuer seul une affaire de moindre importance.
En effet, ce dernier peut adopter seulement trois types de sanctions à l’issue de la procédure : un rappel à l’ordre, une injonction sous astreinte de 100 euros maximum, et une amende administrative dont le montant ne peut excéder 20.000 euros.
Une procédure réservée au cas les plus simples
Afin d’engager cette nouvelle procédure, l’affaire en question doit respecter deux critères. Le président de la Cnil doit estimer que les mesures prévues, précitées, sont appropriées à la gravité des faits. De surcroît, l’affaire ne doit pas poser de difficulté particulière. C’est le cas notamment lorsqu’elle s’inscrit dans une jurisprudence établie de la Cnil, ou encore du fait de la simplicité des questions de fait et de droit qu’elle soulève.
Ainsi, cette procédure a pour objectif de fluidifier et simplifier l’action répressive de la Cnil, lui permettant de sanctionner davantage. Elle démontre aussi la volonté de la Cnil de pouvoir sanctionner tous défauts de conformité, indifféremment de l’importance des structures.
