Lancée en 2022 par la Commission nationale de l’informatique et des libertés (CNIL), cette procédure de sanction simplifiée a été mise en place pour traiter rapidement les dossiers ne présentant pas de difficulté particulière et pour juguler la vague des plaintes depuis l’entrée en application du RGPD. Voici les grandes lignes de cette procédure de sanction simplifiée de la CNIL en quelques mots, redoutable et redoutée, qui concernent désormais … tout le monde !
Des sanctions plus souples et plus simples
Si vous pensiez passer entre les gouttes des sanctions de la CNIL parce que vous êtes une association, une profession libérale, une TPE ou une ETI, c’est… perdu. Pourquoi ? Parce que depuis le début de l’année 2022, la CNIL a mis en place un outil répressif supplémentaire. Plus simple et plus souple car plus rapide, la procédure de sanction simplifiée de la CNIL concerne néanmoins des non-conformités moins graves que les dossiers rendus publics dans le cadre de la procédure “ordinaire”et qui vise les grandes sociétés (Jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’€). Elle s’applique également sur des infractions qui ne portent pas atteinte aux droits et libertés des personnes concernées.
Des sanctions moins lourdes et limitées
Contrairement à la procédure ordinaire qui est lourde et complexe, la procédure simplifiée, elle, aboutit à seulement trois sortes de sanctions. D’abord un rappel à l’ordre, suivi ou pas d’une amende administrative de 20 000€ maximum, avec ou sans astreinte plafonnée à 100€ par jour de retard. Par ailleurs, ces sanctions ne sont en aucun cas rendues publiques. Il est également important de souligner que les sanctions émises lors de cette nouvelle procédure proviennent en majorité de plaintes de consommateurs (plus de 12 000 plaintes en 2022 !).
Les principaux manquements du RGPD sanctionnés
Tous les ans désormais, la CNIL indique les points de contrôle et les thématiques sur lesquelles les agents vont être beaucoup plus vigilants. Conséquence, les sanctions formulées correspondent aux thèmes de surveillance choisis. Comme par exemple l’utilisation des caméras augmentées, l’utilisation du fichier des incidents de crédits aux particuliers, la gestion des dossiers de santé, des applications mobiles ou encore le contrôle des DPO (Délégués à la protection des données). Si en 2023, la CNIL a rendu 24 décisions de sanctions, depuis le début de l’année 2024, on en est déjà à 15. Le total du montant ? 98 000€… A réfléchir…
Les principaux “défauts” concernent par conséquent :
- un manquement relatif aux missions et ressources du délégué à la protection des données ;
- un défaut de coopération avec la CNIL ;
- un défaut de sécurité des données (utilisation du protocole TLS et suites cryptographiques ) ;
- un non-respect des droits des personnes (exercice des droits d’effacement et d’opposition et du droit d’accès à un dossier médical) ;
- un manquement à l’information en matière de prospection politique ;
- un manquement aux obligations du sous-traitant.
Si vous voulez continuer à faire prospérer votre business et votre image de marque auprès de vos clients et de vos partenaires, il est primordial d’être au plus proche des recommandations de la CNIL en matière de RGPD. Pour un accompagnement de A à Z sur ce sujet complexe, n’hésitez pas à effectuer notre pré-audit gratuit ou nous contacter directement !