Réponse à la recrudescence des plaintes (plus de 12 000) reçues par la Commission nationale de l’informatique et des libertés (Cnil) depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD), la procédure de sanction simplifiée, introduite en 2022, vise à punir les infractions mineures ne présentant pas de difficulté particulière. En nombre réduit jusqu’ici, ces affaires montrent que la maîtrise des règles propres au règlement européen est encore loin d’être acquise dans de nombreux secteurs d’activité en France.
Médecins, chirurgiens, communes, société de conseil en logiciels informatiques, détaillant spécialisé en habillement, la typologie des acteurs et organismes sanctionnés en 2023 pour des violations en matière de traitement de données personnelles est variée. Mais leur quantité demeure modeste. « Il y a encore peu de dossiers. Il y en avait quatre en 2022, douze ont été notifiées jusqu’ici en 2023. Ce n’est pas surprenant car les enjeux sont faibles. L’intérêt de cette procédure, moins lourde que celle relative à la sanction ordinaire, est qu’elle permet d’aller plus vite. Les amendes sont aussi moindres (20 000 euros maximum). Cette prévisibilité est d’ailleurs appréciable du point de vue du justiciable », note Mathilde Carle, counsel, chez Kramer Levin. Dans un des cas, une société de programmation informatique a écopé du montant maximal en mars 2023 pour défaut de sécurité de données et pour des motifs liés à l’encadrement des relations entre le responsable de traitement et le sous-traitant. Signe que la maturité attendue des sociétés expertes dans le domaine de la data peut jouer en leur défaveur.
Le choix initial d’une procédure de sanction simplifiée n’interdit pas de le réorienter vers celle dite de sanction ordinaire si, lors de l’instruction, l’agent désigné constate que les violations sont trop importantes. Dans ce cas, la présidente de la Cnil peut rebasculer le dossier vers cet autre mode de traitement. « Les critères de mise en œuvre de la procédure simplifiée sont encadrés par la loi relative à la responsabilité pénale et à la sécurité intérieure du 24 janvier 2022 (type de mesure correctrice applicable ; existence d’une jurisprudence établie ; simplicité des questions de fait et de droit à trancher). Le contradictoire semble également respecté, l’audiencement devant la Cnil est facultatif mais possible. C’est surtout la mise en œuvre de la sanction qui devra être surveillée avec vigilance pour éviter tout traitement inégal du justiciable », conclut Mathilde Carle.
Un outil qui permet de faire un focus
Au-delà des critères retenus par le législateur pour pouvoir mettre en œuvre cette solution, c’est aussi l’utilité de la procédure de sanction simplifiée pour résoudre des problématiques spécifiques qui la rend pertinente. « Sur un sujet très bordé sur le plan juridique comme la géolocalisation d’un chauffeur de véhicule de livraison par son employeur, la procédure de sanction simplifiée permet de traiter de façon pointue les failles particulières d’une entreprise. Elle est plus adaptée, notamment quand ce n’est pas l’ensemble de la compliance qui est concernée mais qu’il s’agit de procéder à un contrôle restreint sur un périmètre défini », note Pauline Ducoin, avocate directrice chez Cornet Vincent Ségurel (CVS).
Le montant des amendes infligées jusqu’à présent s’échelonne entre 5 000 et 15 000 euros. « Il faut donc que la Cnil n’ait pas intérêt à sanctionner plus lourdement les manquements observés, auquel cas il sera plus idoine d’opter pour la procédure de sanction ordinaire », ajoute Pauline Ducoin. La différence n’est pas neutre. Pour les entorses au droit les plus graves, la somme peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial d’une société.
« Sur le seul plan procédural, les choses vont quand même assez vite avec des délais d’un mois pour les réponses et un dispositif allégé puisqu’un seul agent, placé sous l’autorité de la présidente de la Cnil, est désigné pour instruire le dossier, rappelle Pauline Ducoin. Cela reste donc plus rapide que la procédure ordinaire, même si parfois certaines lourdeurs sont inévitables. Un point essentiel me paraît être le rappel que nul n’est à l’abri d’une sanction. Certaines entreprises avaient tendance à se dire jusqu’ici que les lourdeurs administratives pouvaient jouer en leur faveur. Avec cette procédure plus rapide, ce raisonnement ne tient plus, même si une infraction doit naturellement toujours être caractérisée pour entrer dans le circuit d’examen, que l’on soit en procédure ordinaire ou simplifiée », complète-t-elle.
Si cette agilité renforcée de la Cnil, dont les effectifs ont aussi été renforcés au fil des ans (245 agents), est le gage d’une plus grande rapidité et efficacité, il n’en reste pas moins que de nouveaux défis risquent d’alourdir sa barque, comme ceux liés à la régulation de l’intelligence artificielle. Le service dédié au sein de l’autorité ne comporte encore à ce jour que 4 personnes…
