La procédure de sanction simplifiée : une nouvelle arme redoutable pour la CNIL !

Le 15 mars 2023, la CNIL a précisé ses points de contrôle pour cette nouvelle année. Ainsi, elle axera ses contrôles sur les thématiques suivantes :

• Utilisation des caméras « augmentées » par les acteurs publics ;
• Utilisation du fichier des incidents de crédit aux particuliers ;
• Gestion des dossiers de santé ;
• Gestion des applications mobiles ;
• Contrôle des DPO

Nous vous rappelons qu’en janvier et en avril 2022, les procédures de sanction de la CNIL ont fait l’objet d’une importante réforme avec la mise en place d’une procédure simplifiée pour les dossiers « simples » ou « d’une faible gravité » et ainsi permettre une meilleure prise en compte des plaintes adressées par les usagers.

Cette procédure permet à la Présidente de la CNIL de désigner un agent de la CNIL qui sera en charge d’instruire le dossier. Les sanctions susceptibles d’être prononcées dans ce cadre sont limitées au rappel à l’ordre, à une amende d’un montant maximum de 20 000€ et à une injonction avec astreinte plafonnée à 100€ par jour de retard. Ces sanctions ne peuvent, en revanche, pas être rendues publiques.

Suite à l’instauration de cette procédure de sanction simplifiée, la CNIL a prononcé de nombreuses sanctions sur la fin d’année 2022 pour les manquements suivants :

• Non-respect du droit d’accès et défaut de coopération avec la CNIL: sanction de deux médecins à une amende de 5 000 euros et injonction sous astreinte
• Non-respect du principe de limitation des finalités: sanction d’une université à une amende de 10 000 euros
• Non-respect du principe de minimisation des données, durée de conservation non limitée, défaut d’information et défaut de sécurité des données: sanction d’une société développant des logiciels de gestion et la commercialisation de logiciels à destination des collectivités territoriales à une amende de 15 000 euros

La CNIL ne s’arrête pas là puisque depuis notre dernière newsletter sur les sanctions du 24 janvier 2023, voici les sanctions et/ou mises en demeure prononcées par la CNIL :

• Manquement aux durées de conservation, à l’information, à l’encadrement des sous-traitants et à la sécurité: mise en demeure de deux établissements dans l’enseignement supérieur.
• Manquement à l’obligation de veiller à la minimisation des données, à l’encadrement des sous-traitants, à l’information des personnes et au consentement: la société CITYSCOOT a été sanctionnée d’une amende de 125 000€ d’amende pour atteinte disproportionnée à la vie privée de ses clients en les géolocalisation de manière quasi permanente.
• Manquement à l’obligation de réaliser une AIPD, absence de consultation de la CNIL, absence de base légale, manquement à l’obligation d’informer les personnes concernées : le ministère de l’Économie a été mis en demeure afin de régulariser un fichier utilisé par les douanes qui utilisent un système d’information du renseignement des navires et équipages (SIRENE) pour recenser toutes les personnes contrôlées en mer ou à quai et lutter contre la fraude.

La Loi Informatique et Libertés prévoit également la possibilité de faire un rappel des obligations légales aux différents organismes en cas de manquements. Ce cas de figure s’est produit pour deux organismes de recherche médicale qui ont fait l’objet d’un rappel des obligations légales concernant l’obligation de réaliser une analyse d’impacts et d’informer de manière complète les personnes concernées.

Soyez vigilants ! La plupart des sanctions ont pour origine des plaintes reçues par la CNIL. Il convient alors pour tous les professionnels que ce soit secteur privé ou secteur public de rester vigilants quelle que soit la taille de leur structure et de s’assurer de respecter les exigences du RGPD sous peine de se voir sanctionner par la CNIL.