Introduction
Le 22 mai 2025, la CNIL a annoncé dix nouvelles sanctions prononcées depuis le début de l’année dans le cadre de sa procédure simplifiée. Ces décisions visent principalement des manquements relatifs à la sécurité des données, à la surveillance des salariés et à l’information des personnes concernées. Le montant total des amendes s’élève à 104 000 euros, ce qui constitue un signal fort en matière de conformité au RGPD, même pour des infractions dites « classiques ».
Qu’est-ce que la procédure simplifiée ?
La procédure simplifiée permet à la CNIL de traiter plus rapidement certains manquements ne nécessitant pas de débat complexe. Elle s’applique à des faits clairs, documentés, pour lesquels les principes du RGPD sont nettement enfreints. Ce mécanisme permet d’accroître l’efficacité des contrôles et des sanctions, offrant ainsi une réponse plus agile aux violations courantes du règlement.
Les types de manquements constatés
1. Surveillance des salariés : 6 décisions
Dans plus de la moitié des cas, les entreprises ont été sanctionnées pour avoir :
- Installé des dispositifs de vidéosurveillance sans base légale
- Surveillé les activités des salariés sans information préalable
- Conservé indûment des données issues des dispositifs de contrôle
Le RGPD impose une transparence absolue envers les salariés. Toute surveillance doit être justifiée, proportionnée et déclarée, conformément aux principes fondamentaux de protection des données personnelles.
2. Sécurité des accès et mots de passe
Un manquement a été relevé sur la faiblesse des mots de passe utilisés et sur l’absence de politique de gestion des accès. Les systèmes informatiques en question étaient exposés à des risques importants de compromission, mettant potentiellement en danger les données personnelles traitées.
Le principe de sécurité (article 32 RGPD) exige des mesures techniques rigoureuses, notamment sur les identifiants et mots de passe, afin de garantir un niveau de protection adapté aux risques.
3. Absence de notification de violation
Une structure a été sanctionnée pour ne pas avoir notifié à la CNIL une violation de données personnelles, alors que cette obligation s’impose dès lors que le risque pour les personnes est avéré. L’article 33 du RGPD impose une notification dans les 72 heures après la découverte de l’incident, permettant ainsi une réaction rapide et coordonnée face aux risques potentiels.
Des amendes modulées mais dissuasives
Les montants varient selon la gravité des faits, la taille de l’organisme et sa coopération avec l’autorité[1]. Certaines sanctions restent symboliques (1 000 à 4 000 €), mais leur impact juridique est fort, créant des précédents et établissant des standards de conformité clairs.
La procédure simplifiée est une réponse rapide et ciblée aux non-conformités récurrentes, permettant à la CNIL d’intervenir efficacement sans mobiliser l’ensemble de son appareil répressif pour des cas relativement simples.
Ce qu’il faut retenir
- Le RGPD ne s’applique pas uniquement aux grandes entreprises ou aux cas complexes
- Les contrôles se multiplient et touchent tous les secteurs d’activité
- La procédure simplifiée devient un levier puissant pour corriger rapidement les pratiques non conformes
- La régularité et la documentation des traitements sont essentielles pour éviter des sanctions, même de faible montant
Conclusion
Cette série de sanctions démontre la volonté de la CNIL d’intensifier ses contrôles et d’utiliser pleinement les outils à sa disposition pour faire respecter le RGPD. Les organisations de toutes tailles doivent rester vigilantes et maintenir un niveau élevé de conformité, même pour les aspects qui pourraient sembler secondaires ou techniques. La procédure simplifiée permet désormais une réponse plus rapide et systématique aux manquements courants, renforçant ainsi l’effectivité du règlement européen.
